davidson
Goto Top

Pfsense Exchange OWA von aussen nicht erreichbar

Hallo Team

Danke noch für ihre Hilfe. Danke Aqui für deine tipps und tolle Anleitungen.

Portweiterleitung 443 HTTPS OWA Exchange auf Pfsense klappt bei mir leider nicht, brauche bitte ihre Hilfe...
Von intern erreichbar, nur von Extern nicht, zu info ist schon mal gelaufen auf andere Firewall, also mit Exchange ist alles in Ordnung.

so sieht meine Pfsense Konfiguration aus.
Firewall Rules
b234a412f2b61e612724e95612a4a510

Firewall NAT
be56a5ef2bb9eacafcb9ef5de89a5599

Danke!

Content-ID: 253277

Url: https://administrator.de/contentid/253277

Ausgedruckt am: 13.11.2024 um 01:11 Uhr

Criemo
Criemo 29.10.2014 um 07:22:42 Uhr
Goto Top
Hi,
Woher soll die Firewall denn wissen wohin sie leiten soll, wenn du keine Zieladresse angeben hast?

VG
Criemo
Criemo
Criemo 29.10.2014 um 07:24:53 Uhr
Goto Top
Also eigentlich sollte es so aussehen:
Source IP: externes Interface
Source Port: gewünschter externer Port

Destination: Mail server
Destination Port: 443

VG
davidson
davidson 29.10.2014 um 07:56:22 Uhr
Goto Top
Hallo Criemo
Danke für die Antwort

Zitat von @Criemo:

Also eigentlich sollte es so aussehen:
Source IP: externes Interface
Source Port: gewünschter externer Port

Destination: Mail server
Destination Port: 443

VG

Das habe ich auch probiert ging nicht und dann habe ich alles auf any gestellt geht auch nicht. Weiß nicht wo der Wurm liegt.
transocean
transocean 29.10.2014 um 08:21:28 Uhr
Goto Top
Moin,

IF---> WAN, Proto---->TCP, Src.addr--->*, Src.Ports--->*, Dest. addr--->WAN adress, Dest. ports--->443(HTTPS), NAT IP--->Interne IP vom OWA Host,
NAT Ports--->443(HTTPS)

Gruß

Uwe
Pjordorf
Pjordorf 29.10.2014 um 11:42:05 Uhr
Goto Top
Hallo,

Zitat von @davidson:
zu info ist schon mal gelaufen auf andere Firewall
Ja, mein Auto hat auch schon mal mit einen anderen Motor funktioniert.... Hast du Probleme mit der anderen?


also mit Exchange ist alles in Ordnung.
Wenn du es sagst, wird es so sein.....

so sieht meine Pfsense Konfiguration aus.
Ich sehe 2 (Zwei) identische Bilder. Wo soll da der Unterschied sein oder sind deine Bilder nur da um uns zu verwirren? (Auch ich hab mal Fehler in den Antworten drin, aber die meisten finde ich beim nochmaligen lesen dann doch...)

Warum TCP UND UDP? Reicht dir ein TCP nicht?
Warum habe ich das Gefühl das du an deinen Bilder rumgefummelt hast und uns Informationen vorenthältst?
Am WAN sieht es aus als wenn dort noch mehr stand (aber wir nicht wissen sollen)
Am Dest. Port ist entweder wichtiges von dir ausgeblendet oder eminent wichtiges eben nicht eingetragen. Für was sollen wir uns entscheiden? Dir ist schon klar das dein (Einzigartiges) Internes Netz von anderen auch genau so millionenfach genutzt wird? Ist ja der sinn bei NAT. Nein, deine Externe WAN IP wollen wir wirklich nicht wissen. Deine 192.168. Angabe ist kein Ziel, und hier muss ein Ziel aber stehen. Daher bezweifle ich das dein SMTP Eingehend Post an dein Exchange schiebt.

Wenn du dir bei deiner Fragestellung schon keine mühe machst und uns einfach mehrfache Bilder mit unvollständigen Informationen hier reinknallst, warum sollen wir uns dann mühe machen? Es ist dein Exchange der per OWA nicht erreicht wird.

Also, mach es wie es sich gehört. Nutze TCP und ein Ziel. Und wenn dein WAN korrekt ist, sollte es gehen sofern du nicht irgendwo den WAN gesperrt hast. Schau dir deine Konfiguration deiner PFSense nochmals genau an.....

Gruß,
Peter
davidson
davidson 29.10.2014 um 11:52:19 Uhr
Goto Top
Hallo
Pjordorf
Entschuldigung wg die Bilder, habe korrigiert, nochmal sorry!
aqui
Lösung aqui 31.10.2014, aktualisiert am 05.11.2014 um 09:38:59 Uhr
Goto Top
Das kann so niemals gehen !
Am WAN Port sind als Zieladressen die internen 192.168.0.x IPs eingetragen, was Unsinn ist. Der remote Client spricht doch niemals diese IPs an als Ziel, denn das sind private RFC 1918 IP Adressen die im Internet gar nicht geroutet werden. Folglich sind diese IP Adressen also Unsinn, da Clients diese niemals so senden.
Als "Ziel" für den remoten Zugriff kann also nur die öffentliche Provider IP also die WAN IP Adresse des pfSense gelten, denn die wird ja vom Client angesprochen als Ziel.
ACHTUNG: Das auch nur wenn du KEINEN weiteren NAT Router VOR der pfSense haben solltest !
Leider sagst du nichts über dein Netzwerk Setup deshalb kann man hier nur raten face-sad
Ist hier ein weiterer NAT Router davor dann musst du aufpassen, denn im Default blockt die pfSense generell ALLE RFC 1918 IP Adressen am WAN Port.
Mit einem NAT Router davor musst du im "General Setup" den Haken bei "Blocking RFC 1918 addresses" zwingend entfernen.

Sieh immer ins Firewall Log ! Dort siehst du genau was vorget und was geblockt wird !
davidson
davidson 31.10.2014 um 15:48:30 Uhr
Goto Top
Zitat von @aqui:

Das kann so niemals gehen !
Am WAN Port sind als Zieladressen die internen 192.168.0.x IPs eingetragen, was Unsinn ist. Der remote Client spricht doch niemals
diese IPs an als Ziel, denn das sind private RFC 1918 IP Adressen die im Internet gar nicht geroutet werden. Folglich sind diese
IP Adressen also Unsinn, da Clients diese niemals so senden.
Als "Ziel" für den remoten Zugriff kann also nur die öffentliche Provider IP also die WAN IP Adresse des
pfSense gelten, denn die wird ja vom Client angesprochen als Ziel.
ACHTUNG: Das auch nur wenn du KEINEN weiteren NAT Router VOR der pfSense haben solltest !
Leider sagst du nichts über dein Netzwerk Setup deshalb kann man hier nur raten face-sad
Ist hier ein weiterer NAT Router davor dann musst du aufpassen, denn im Default blockt die pfSense generell ALLE RFC 1918 IP
Adressen am WAN Port.
Mit einem NAT Router davor musst du im "General Setup" den Haken bei "Blocking RFC 1918 addresses" zwingend
entfernen.

Sieh immer ins Firewall Log ! Dort siehst du genau was vorget und was geblockt wird !

Hallo
Danke nochmal!
werde die Zieladressen korrigieren und nochmal testen, ich melde mich.
Vor der Pfsense ist kein weiterer Router mehr. Also so sieht das aus:
Kabelbw Modem >>>>> Pfsense >>>>>Switch>>>>>> Cleints

Danke!
aqui
Lösung aqui 31.10.2014, aktualisiert am 05.11.2014 um 09:38:46 Uhr
Goto Top
Ist das Kabelbw Modem wirklich ein Modem und KEIN Router ?
Obs wirklich ein nur Modem ist kannst du daran sehen das das WAN interface im Dashboard der pfSense eine öffentliche IP Adresse hat, also KEINE IP Adresse ist die mit 10.x.x.x, 172.16-32.x.x oder 192.168.x.x anfängt !!
Wenn das der Fall ist, dann ist das wirklich ein Modem, denn das routet bekanntermaßen nicht und reicht das öffentliche Provider IP Netz direkt durch wie es auch soll.

ACHTUNG: Wenn dem so ist dann darfst du natürlich NICHT den Haken bei "Blocking RFC 1918 addresses" im General Setting entfernen ! Der muss dann bleiben.

Sofern du von Kabel BW keinen feste IP Adresse bekommen hast und die wechseln kann, macht es Sinn sich einen kostenfreien Account bei einem DynDNS Provider wie z.B. no-ip.com zu generieren.
Damit hast du dann zu einer wechselnden IP Adresse immer einen festen Host Namen wie z.B. davidson-netz.no-ip.com
Wenn du das dann als Zieladresse bei OWA angibst kannst du trotz wechselnder IP immer einen festen Hostnamen für die Verbindung verwenden.
Wenn du eine feste IP haben solltest muss das natürlich nicht sein, klar.
davidson
davidson 05.11.2014 um 09:38:41 Uhr
Goto Top
Hallo Aqui
du hast recht, das lag wohl an Ferewall Regeln und zwar WAN Port Zieladressen, richtig ist WAN ADRESSE und tatatatata alles wunderbar.

Danke Aqui und an alle auch.
aqui
aqui 05.11.2014 um 19:21:53 Uhr
Goto Top
Alles wird gut face-smile