Мне нужно изменить IP-адрес, выходящий в Интернет, для сервера Exchange 2016 CU21.
В качестве решения маршрутизации используем pfSense, на котором установлен New Gateway - Новый провайдер, работает без проблем. Шлюз восходящего направления настроен на IP-адрес x.x.x.161/29. Для интерфейса WAN установлен статический IP-адрес x.x.x.162.
Поскольку интернет-провайдер предоставил несколько IP-адресов WAN, а нашей среде требуется несколько серверов для использования одного и того же порта, а вместо этого используется прокси-сервис, для простоты создается виртуальный IP-адрес. Установлен новый IP-адрес WAN, x.x.x.163/29.
Создан NAT Pot Forward:
Интерфейс: Протокол: Адрес источника: Порты источника: Адрес назначения: Порты назначения: NAT IP: NAT порты:
WAN TCP * * x.x.x.163 110(POP3) 192.168.1.32 110(POP3)
WAN TCP * * x.x.x.163 143(IMAP) 192.168.1.32 143(IMAP)
WAN TCP * * x.x.x.163 443(HTTPS) 192.168.1.32 443(HTTPS)
WAN TCP * * x.x.x.163 993(IMAP/S) 192.168.1.32 993(IMAP/S)
WAN TCP * * x.x.x.163 995(POP3/S) 192.168.1.32 995(POP3/S)
Затем создали правила NAT:
Протокол: Источник: Порт: Назначение: Порт: Шлюз: Описание:
TCP * * 192.168.1.32 110(POP3) * NAT POP3
TCP * * 192.168.1.32 143(IMAP) * NAT IMAP
TCP * * 192.168.1.32 443 (HTTPS) * NAT HTTPS
TCP * * 192.168.1.32 993(IMAP/S) * NAT IMAP/S
TCP * * 192.168.1.32 995(POP3/S) * NAT POP3/S
Изменен шлюз по умолчанию на сервере Exchange (старый маршрутизатор использовал 192.168.1.1, а новый — 192.168.1.2 — pfSense)
На старом роутере отключены правила NAT, отключена переадресация портов.
Протестирован доступ в Интернет на Exchange Server, он использует новый IP-адрес WAN в качестве шлюза и работает.
На сервере имен изменена запись для mail.contoso.com на новый IP-адрес глобальной сети.
У поставщика внешнего DNS измените запись на новый IP-адрес на следующее:
Запись: Имя: Содержание:
ПОП х.х.х.163
IMAP х.х.х.163
SMTP х.х.х.163
ПОЧТА x.x.x.163
ВЕБ-ПОЧТА x.x.x.163
ЭЛЕКТРОННАЯ ПОЧТА x.x.x.163
MX х.х.х.163
Со всеми этими изменениями, распространяемыми через Интернет, проверено www.whatsmydns.net, тоже проверил с Cisco Talos.
Протестировал поток почты на Exchange, отправив электронные письма на почтовые ящики Google, и это сработало, но в то время я был подключен через VPN.
Без VPN я не смог получить доступ к OWA, почтовому клиенту на Android или почтовому клиенту Outlook на ПК.
Я сделал flushdns на ПК и перезапустил его, так как nslookup предоставил правильный новый IP-адрес WAN, но когда я попытался пропинговать mail.contoso.com, он вернул старый IP-адрес WAN. Я позволил пройти некоторое время для распространения через Интернет, но не преобладал.
Если у кого-нибудь есть какие-либо советы или если вы заметите, что мой подход что-то упускает, это будет очень полезно!
Изменить 1.
Похоже, брандмауэр блокирует меня. Найдено в журналах, блокировка интерфейса локальной сети, IP-адрес источника: 192.168.1.32:443, а в качестве IP-адреса назначения я вижу свой IP-адрес от моего интернет-провайдера с портами от 39618 до 39637.
Изменить 2.
Доступ к OWA невозможен даже при включенном VPN. Кроме того, использовал правило pfSense Easy и разрешил трафик, добавленный с порта 38000 до 40000, но все равно не преобладал.
