Exchange met Dual-WAN - Serversoftware en clouddiensten

maandag 26 mei 2014 17:40

Acties:

Verwijderd

Topicstarter

Beste tweakers,

Ik heb voor een klant een dual-WAN router aangesloten met een kpn en upc lijn. De oude situatie was alleen een kpn lijn. Nu ik dit over gezet heb liep de email niet meer lekker. Deze bounced af en toe de mail, maar soms word deze wel verstuurd. Gebruik word gemaakt van een interne exchange 2010 server. Uitgaande mail gaat via smarthost. Hier had ik ook dus de smtp van kpn en upc ingezet. Maar dit is dus niet de beste oplossing.

Wat is hier de beste oplossing voor? Load balance al het verkeer van de exchange naar buiten over de KPN WAN?

Hoor graag jullie mening.

Thx

maandag 26 mei 2014 17:54

Acties:

_JGC_

Sowieso zou ik niet echt gaan loadbalancen, maar de een als failover gebruiken als de ander er niet is. Verder kan je voor SMTP een bepaalde interface forceren in je router als het een beetje fatsoenlijk ding is.

Reden waarom ik niet zou loadbalancen:
- veel websites gaan k*tten met sessies en cookies als je tussen twee pageloads op de andere interface gezet wordt (onder meer gezien met marktplaats, misschien hebben ze dit wel gefixt inmiddels)
- als je 2 ongelijke lijnen hebt (KPN 8Mbit, UPC 120Mbit), zou jij het dan leuk vinden als je download geloadbalanced wordt naar de KPN lijn?

maandag 26 mei 2014 17:56

Acties:

plizz

Welke router gebruik je om je verkeer te loadbalancen? Je kunt pocily-based routing toepassen. Zodat je bepaald welke verkeer door KPN of UPC lijn gaat.

maandag 26 mei 2014 19:07

Acties:

Verwijderd

Topicstarter

_JGC_ schreef op maandag 26 mei 2014 @ 17:54:
Sowieso zou ik niet echt gaan loadbalancen, maar de een als failover gebruiken als de ander er niet is. Verder kan je voor SMTP een bepaalde interface forceren in je router als het een beetje fatsoenlijk ding is.

Reden waarom ik niet zou loadbalancen:
- veel websites gaan k*tten met sessies en cookies als je tussen twee pageloads op de andere interface gezet wordt (onder meer gezien met marktplaats, misschien hebben ze dit wel gefixt inmiddels)
- als je 2 ongelijke lijnen hebt (KPN 8Mbit, UPC 120Mbit), zou jij het dan leuk vinden als je download geloadbalanced wordt naar de KPN lijn?

Wil ik inderdaad gaan veranderen maar daar moet nog een nieuw MX record voor aangemaakt worden bij de provider. De KPN is 3mbit en UPC 120mbit, veel verkeer gaat wel over de UPC zie ik maar omdat de mail ene keer wel verzend en andere keer niet blijkt er toch wel veel geswitched te worden van interface.

plizz schreef op maandag 26 mei 2014 @ 17:56:
Welke router gebruik je om je verkeer te loadbalancen? Je kunt pocily-based routing toepassen. Zodat je bepaald welke verkeer door KPN of UPC lijn gaat.

Er hangt een Draytek Vigor 2860. Zou dus een policy route (TCP, port 25) van Source IP: (Exchange server IP) naar WAN1 voldoende zijn?

Thx

maandag 26 mei 2014 19:28

Acties:

plizz

Als ik de handleiding van Draytek lees, klop je instelling van je route policy.

maandag 26 mei 2014 21:06

Acties:

DJSnels

Je kunt met een DrayTek het beste het volgende doen voor je uitgaande smtp:
-configureer beide smarthosts in je Exchange server
-maak 2 loadbalance regels aan met het externe IP van de KPN-smarthost geforceerd over WAN1 en de andere over WAN2 (of andersom)

Binnenkomend kun je beide smtp openzetten naar de interne Exchange server, mits je de reverse DNS goed kunt zetten voor dat IP (bijvoorbeeld webmail.bedrijf.nl of whatever).

edit: op de loadbalance regels moet je de auto-failover uiteraard wel uitzetten.

[ Voor 8% gewijzigd door DJSnels op 26-05-2014 21:07 ]

maandag 26 mei 2014 23:00

Acties:

Verwijderd

Topicstarter

DJSnels schreef op maandag 26 mei 2014 @ 21:06:
Je kunt met een DrayTek het beste het volgende doen voor je uitgaande smtp:
-configureer beide smarthosts in je Exchange server
-maak 2 loadbalance regels aan met het externe IP van de KPN-smarthost geforceerd over WAN1 en de andere over WAN2 (of andersom)

Binnenkomend kun je beide smtp openzetten naar de interne Exchange server, mits je de reverse DNS goed kunt zetten voor dat IP (bijvoorbeeld webmail.bedrijf.nl of whatever).

edit: op de loadbalance regels moet je de auto-failover uiteraard wel uitzetten.

Wat is hier beter aan dan simpelweg al het smtp verkeer over 1 WAN forceren zoals plizz aangaf? Puur betere failover?

Binnenkomend word het smtp verkeer al geforward naar de Exchange en dat loopt goed.

maandag 26 mei 2014 23:31

Acties:

DJSnels

Verwijderd schreef op maandag 26 mei 2014 @ 23:00:
[...]

Wat is hier beter aan dan simpelweg al het smtp verkeer over 1 WAN forceren zoals plizz aangaf? Puur betere failover?

Binnenkomend word het smtp verkeer al geforward naar de Exchange en dat loopt goed.

Dan kun je nog naar buiten mailen als 1 van je lijnen plat ligt. Als je ermee kunt leven dat je uitgaande mail plat ligt bij een storing dan is dit uiteraard niet nodig. Echter is dit in 10 minuten ingeregeld dus waarom niet

Edit: en hetzelfde voor je binnenkomende mail, anders krijgen externe die jou mailen "Delivery is Delayed"

[ Voor 8% gewijzigd door DJSnels op 26-05-2014 23:32 ]

maandag 26 mei 2014 23:37

Acties:

DukeBox

loves wheat smoothies

Waarom gebruik je geen policy based reversed PAT ? Zo kun je je router als SMTP smart host instellen en deze zorgt ervoor dat afhankelijk van de gekozen WAN poort naar de betreffende smarthost wordt geNAT.
Zo doe ik dat op de ciscoasa met dual wan ook altijd.. werkt prima, je kan zelfs ook nog weight rules meegeven.

[ Voor 21% gewijzigd door DukeBox op 26-05-2014 23:38 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 27 mei 2014 00:01

Acties:

DJSnels

DukeBox schreef op maandag 26 mei 2014 @ 23:37:
Waarom gebruik je geen policy based reversed PAT ? Zo kun je je router als SMTP smart host instellen en deze zorgt ervoor dat afhankelijk van de gekozen WAN poort naar de betreffende smarthost wordt geNAT.
Zo doe ik dat op de ciscoasa met dual wan ook altijd.. werkt prima, je kan zelfs ook nog weight rules meegeven.

Volgens mij valt dat niet binnen de featureset van een DrayTek

dinsdag 27 mei 2014 01:08

Acties:

Verwijderd

Topicstarter

DJSnels schreef op maandag 26 mei 2014 @ 23:31:
[...]

Dan kun je nog naar buiten mailen als 1 van je lijnen plat ligt. Als je ermee kunt leven dat je uitgaande mail plat ligt bij een storing dan is dit uiteraard niet nodig. Echter is dit in 10 minuten ingeregeld dus waarom niet

Edit: en hetzelfde voor je binnenkomende mail, anders krijgen externe die jou mailen "Delivery is Delayed"

Heb voor nu even destination IP van de smarthost over wan1 gestuurd, maar ga dit binnenkort nog wel even verder uitbreiden. thanks voor de info.

DukeBox schreef op maandag 26 mei 2014 @ 23:37:
Waarom gebruik je geen policy based reversed PAT ? Zo kun je je router als SMTP smart host instellen en deze zorgt ervoor dat afhankelijk van de gekozen WAN poort naar de betreffende smarthost wordt geNAT.
Zo doe ik dat op de ciscoasa met dual wan ook altijd.. werkt prima, je kan zelfs ook nog weight rules meegeven.

Nee klinkt leuk maar die features hebben we inderdaad niet.

donderdag 29 mei 2014 17:10

Acties:

jadjong

Verwijderd schreef op maandag 26 mei 2014 @ 17:40:

Wat is hier de beste oplossing voor? Load balance al het verkeer van de exchange naar buiten over de KPN WAN?

Het gaat mis bij de reverse-dns check van de ontvanger. In jouw sendconnector staat een FQDN ingevuld, waarschijnlijk iets als adsl-14-3-5-73.planet-ams.kpn.com. Als de ontvanger nu het adres van de mailserver (14.3.5.75) opvraagt zal deze adsl-14-3-5-73.planet-ams.kpn.com terugkrijgen. Dat klopt met de sendconnector. Wanneer mail via de upc-lijn verstuurt wordt komt er een heel ander ip in de mail te staan, die bij een lookup h4526985.upc-h..members.a2000.chello.ziggo.nl terug krijgt. Dat lijkt niet op de FQDN in de sendconnector dus de ontvanger vertrouwt het niet.

donderdag 29 mei 2014 18:10

Acties:

DukeBox

loves wheat smoothies

Verwijderd schreef op dinsdag 27 mei 2014 @ 01:08:
Nee klinkt leuk maar die features hebben we inderdaad niet.

Sure ? Volgens de specs:

Policy based routing is onderdeel van de loadbalancing functionaliteit en er kunnen 50 loadbalancing regels worden aangemaakt.

Waarom niet gekozen voor bijv. een ASA ? Kost maar een paar tientjes meer. Daar kan je ook de helo/ehlo rules mee re-writen zodat je PTR klopt per sessie. Uiteraard is dat minder van belang bij gebruik van een smarthost/relay.

[ Voor 15% gewijzigd door DukeBox op 29-05-2014 18:13 ]

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 4 juni 2014 13:54

Acties:

Paul

In plaats van twee smarthosts en allemaal instellingen doen in de router om te zorgen dat je daar over de juiste manier bij kunt komen kun je ook authenticated SMTP gebruiken. Helaas doet KPN daar niet aan (tenminste, mail.kpnmail.nl niet. Ik weet niet of ze dat bij zakelijke verbindingen wel toestaan). UPC lijkt het wel te accepteren. In noodgevallen kun je ook je GMail-account gebruiken om de SMTP-servers van Google te gebruiken

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 4 juni 2014 14:17

Acties:

DukeBox

loves wheat smoothies

zakelijk is kpn ook authenticatie loos.. (smtp.zakelijkmail.nl & mail.kpn-officedsl.nl)

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 4 juni 2014 18:42

Acties:

_JGC_

Nadeel van gmail is dat het de afzender aanpast naar het account dat je gebruikt voor authenticatie.

woensdag 4 juni 2014 22:05

Acties:

DukeBox

loves wheat smoothies

^ Dat kan je in je routing preferences aanpassen. Je kan zelfs IP's (v4 en v6) toevoegen die anoniem mogen relayen met gebruik van je domein naam.

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 5 juni 2014 00:50

Acties:

Dysmael

Of je gaat zelf je e-mail versturen want je hebt niet voor niets een Exchange server.

Totaal geen reden om smarthosts te gebruiken. Zowel bij Ziggo als bij KPN kan je poort 25 uitgaand gewoon gebruiken. Zoals het ook hoort bij zakelijke lijnen.

Vervolgens stel je op je Exchange server, in de Send Connector als DNS-naam bv mail.domein.nl in en laat je bij zowel Ziggo als bij KPN de PTR aanpassen van je IP naar dezelfde FQDN (mail.domein.nl)

Dan heb je daarmee uitgaande e-mail afgedekt.

Voor inkomende mail maak je twee MX records in de DNS zone; zelfde prio of verschillende prio. Eén record naar het IP van je Ziggolijn en één records naar het IP van je KPN lijn. In de router zorg je dat NAT goed staat ingesteld zodat op beide lijnen poort 25 inkomend naar je Exchange server staat ingesteld en je bent klaar.

donderdag 5 juni 2014 01:03

Acties:

DukeBox

loves wheat smoothies

En zowel de ziggo als de kpn ip-ranges staan bij de meeste spam checkers geblacklist..

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 5 juni 2014 07:06

Acties:

Dysmael

Daar is niks van waar. En als je IP al op een blacklist staat dan heb je die snel genoeg zelf verwijderd. Een klant is overgestapt op een KPN-lijn en kreeg een 'bevuild' IP-blok. Ik heb gebeld met KPN en gelijk een ander 'schoon' IP-blok gekregen. Als je de lijn al enige tijd hebt dan moet je natuurlijk zelf een delisting aanvragen bij de desbetreffende blacklister.