Exchange サーバーのインターネット向け IP を変更する

tag-icon tag-icon domain-name-system firewall pfsense exchange-2016
Exchange サーバーのインターネット向け IP を変更する

Exchange Server 2016 CU21 のインターネット接続 IP を変更する必要があります。

ルーティング ソリューションとして pfSense を使用し、新しいゲートウェイ (新しい ISP) を設定すると、問題なく動作します。アップストリーム ゲートウェイは xxx161/29 IP アドレスに設定されています。WAN インターフェイスに設定されている静的 IP アドレスは xxx162 です。

ISP が複数の WAN IP を提供しており、環境では複数のサーバーが同じポートを使用する必要があるため、代わりにプロキシ サービスを使用して、シンプルさを保つために仮想 IP が作成されます。新しい WAN IP が xxx163/29 に設定されます。

NATポットフォワードを作成しました:

インターフェース: プロトコル: 送信元アドレス: 送信元ポート: 宛先アドレス: 宛先ポート: NAT IP: NAT ポート:

WAN TCP * * xxx163 110(POP3) 192.168.1.32 110(POP3)

WAN TCP * * xxx163 143(IMAP) 192.168.1.32 143(IMAP)

WAN TCP * * xxx163 443(HTTPS) 192.168.1.32 443(HTTPS)

WAN TCP * * xxx163 993(IMAP/S) 192.168.1.32 993(IMAP/S)

WAN TCP * * xxx163 995(POP3/S) 192.168.1.32 995(POP3/S)

次に、NAT ルールを作成しました。

プロトコル: 送信元: ポート: 宛先: ポート: ゲートウェイ: 説明:

TCP * * 192.168.1.32 110(POP3) * NAT POP3

TCP * * 192.168.1.32 143(IMAP) * NAT IMAP

TCP * * 192.168.1.32 443(HTTPS) * NAT HTTPS

TCP * * 192.168.1.32 993(IMAP/S) * NAT IMAP/S

TCP * * 192.168.1.32 995(POP3/S) * NAT POP3/S

Exchange Server のデフォルト ゲートウェイを変更しました (古いルーターは 192.168.1.1 を使用していましたが、新しいルーターは 192.168.1.2 です - pfSense)

古いルーターでは、NAT ルールが無効になっており、ポート転送も無効になっています。

Exchange Server でインターネット アクセスをテストしました。新しい WAN IP をゲートウェイとして使用し、動作します。

ネームサーバーで、新しい WAN IP 上の mail.contoso.com のレコードを変更しました。

外部 DNS プロバイダーで、次の新しい IP のレコードを変更します。

記録: 名前: 内容:

ポップxxx163

IMAP xxx163

SMTP xxx163

メールxxx163

ウェブメール xxx163

メールxxx163

MXxxx163

これらすべての変更はインターネットを通じて伝播され、チェックされ翻訳元Cisco Talos でも確認しました。

Google メールボックスに電子メールを送信して Exchange 上のメール フローをテストしたところ、うまくいきましたが、その間は VPN 経由で接続していました。

VPN がないと、OWA、Android のメール クライアント、PC の Outlook メール クライアントにアクセスできませんでした。

PC で flushdns を実行し、再起動しました。nslookup は正しい新しい WAN IP を提供しましたが、mail.contoso.com に ping を実行しようとすると、古い WAN IP が返されました。インターネットに伝播するまでしばらく待ちましたが、効果はありませんでした。

どなたかアドバイスをいただける方、または私のアプローチに何か欠けている点があるとお気づきの方は、大変助かります。

編集1。 ファイアウォールがブロックしているようです。ログには、LAN インターフェースのブロック、ソース IP:192.168.1.32:443、宛先 IP として、ポート 39618 から 39637 までの ISP からの IP が表示されています。

編集2。

VPN がオンの場合でも OWA にアクセスできません。また、pfSense Easy ルールを使用して、ポート 38000 から 40000 に追加されたトラフィックを許可しましたが、それでも効果がありません。

答え1

解決済み:仮想 IP から WAN アドレスに変更し、すべてを適切に設定すると、動作します。問題は、ISP が、上記の構成で使用された .162/29 の範囲ではなく、ルーティング ネットワークに異なるサブネット .152/29 を提供したことです。

関連情報