OPNsense Forum

International Forums => German - Deutsch => Topic started by: choffmeister on January 05, 2019, 02:41:29 am

Title: Mail Server soll über eine dedizierte IP raus senden
Post by: choffmeister on January 05, 2019, 02:41:29 am
Hallo an alle,
ich habe ein Problem und benötige einmal eure Hilfe.

Ich habe folgendes Scenario :

Ich habe einen /28 Adress Pool von meinem Provider, welchen ich der Firewall zugewiesen haben ( Wan und Virtuelle IPs )

Konfiguriert habe ich zudem HA Proxy für das Exchange Backend in Verbindung mittels Lets Encrypt, was auch funktioniert.

Das einzige Problem was ich habe ist das der Exchange über eine dedizierte IP Adresse heraus senden soll was mir aber partout nicht gelingen will, er nimmt immer eine IP welche er nicht nehmen soll und sendet somit über die falsche raus.
Somit stimmt mein SPF Eintrag nicht und die Mails werden abgelehnt.
Kann mir jemand sagen was ich wo konfigurieren muss und ev. ein Beispiel geben ?

Danke schon einmal im Voraus.
Gruß
Christian
Title: Re: Mail Server soll über eine dedizierte IP raus senden
Post by: fabian on January 05, 2019, 09:57:53 am
du kannst auch einfach den SPF-Eintrag anpassen:

http://www.openspf.org/SPF_Record_Syntax (ctrl+f ip4)

Einfach hier das /28 hinterlegen und es geht auch.

Ansonsten musst du einen Source NAT-Eintrag unter Firewall machen, damit immer die gleiche IP drin steht aber ich finde das nicht allzu schön.

PS: Die wirklich gut funktionierende Lösung heißt übrigens IPv6, da du dort direkt die Server-IP in den SPF-Eintrag schreiben kannst.
Title: Re: Mail Server soll über eine dedizierte IP raus senden
Post by: choffmeister on January 06, 2019, 01:13:33 pm
Hallo Fabian, danke für die Rückmeldung,
mein Problem ist das ich nicht wirklich Fit bin in Firewall dingen und mich erst so nach und nach durch die Themen durcharbeite.
Leider ist es so das ich mit dem Begriff Source NAT nicht wirklich viel anfangen kann, ich habe zwar Verstanden worauf du hinaus willst und mir ist auch klar wie das funktionieren soll, jedoch habe ich keine Ahnung wo und wie der Eintrag aussehen muss.
Wärst Du so nett und könntest mir ein Beispiel für einen Mail Server geben ?
Ich habe es zwar selber versucht heraus zu finden wie ich was einstellen muss, aber sobald ich was mache, ist mein Outlook nicht mehr in der Lage den Exchange Server zu finden.
Title: Re: Mail Server soll über eine dedizierte IP raus senden
Post by: fabian on January 06, 2019, 04:52:27 pm
Ich habe mal vor längerer Zeit ein Tutorial für HackingLab gemacht: https://www.hacking-lab.com/export/sites/www.hacking-lab.com/Remote_Sec_Lab/opnsense-configuration.pdf

In deinem Fall einfach bei "Pass Traffic to Hacking-Lab" starten und die Einstellungen ggf. anpassen.
Title: Re: Mail Server soll über eine dedizierte IP raus senden
Post by: choffmeister on January 06, 2019, 08:58:44 pm
Hallo Fabian, danke für das PDF, ist für mich verständlich, dennoch laufe ich gegen eine Wand.
Sobald ich Outbound Proxy umstelle geht mein OWA und die andere Website nicht mehr über HAProxy.

Ich weiß es ist ev. etwas viel verlangt, aber hättest Du ev. mal eine wenig zeit für mich um mit mir zusammen auf meine Firewall zu schauen ?
Title: Re: Mail Server soll über eine dedizierte IP raus senden
Post by: fabian on January 06, 2019, 10:42:21 pm
klingt fast nach einem Problem, dass die Regel zu viel umfasst. Würde die mal auf TCP/25 beschränken.
Title: Re: Mail Server soll über eine dedizierte IP raus senden
Post by: choffmeister on January 07, 2019, 10:18:34 pm
Hallo Fabian, danke für das PDF, es war mir eine große Hilfe.

Die Ursache warum mein HA Proxy die Seiten nicht mehr ausgeliefert hat war in den Outbound Regeln zu finden.

Folgendes :
Nachdem ich von Automatic outbound NAT rule generation auf Hybrid umgestellt habe, sind 3 Rules unter Manual Rules vorhanden gewesen. ( Habe ich ganz sicher nicht manuell angelegt )
Ich vermute einmal das sie bei der Installation der OPNSense automatisch angelegt werden.
Diese habe ich deaktiviert und Schwupps ging der Zugriff auf die URLs per HA Proxy wieder.

Dann habe ich die SNAT einrichten können und es hat alles funktioniert wie gewünscht.

Danke nochmal für deine Hilfe, TOP, war schon echt am verzweifeln.