OWA and PPC mailsync with two different Servers

Let me repeat in my own words to be sure I understad.  You have FQDNs in public DNS that resolve to separate public IPs and the IPs are 'Additional Addresses' on the External interface of your Astaro for example:

OWA_Exch1.company.com -> 80.90.100.201 = "External [Exchange1] (Address)"
OWA_Exch2.company.com -> 80.90.100.202 = "External [Exchange2] (Address)"

You have host definitions like 'Exchange Server 1 -> 172.16.1.1'.

And you have two NAT rules like 'Any -> HTTPS -> External [Exchange1] (Address) : DNAT to Exchange Server 1'

It works from the outside, but not from the inside.

If that's right, then the easiest is to create a forward-lookup zone for "company.com" in your internal DNS and create records like 'OWA_Exch1 -> 172.16.1.1'.

Was this the issue?

Cheers - Bob

Hi,

thats correct but it's not working fromt the outside [;)] at the moment i have generic proxy and DNAT rules turned on...

ext_interface -> HTTPS -> ip exchange1 -> HTTPS
ext_interface -> HTTPS -> ip exchange2 -> HTTPS

in the generic proxy i can not well-define the ip's

so I create two DNAT rules

[OWA exchange1]
vlan1 (Network) → HTTPS → ext_interface (seperate ip with dns record!)
Destination translation: ip exchange1 -> HTTPS

[OWA exchange1]
vlan2 (Network) → HTTPS → ext_interface (seperate ip with dns record!)
Destination translation: ip exchange2 -> HTTPS    

The order is also correct. The problem is wen i trie to connect with exchange2 there is the iis7 page of the exchange1 but exchange1 works quite well.

ext_interface -> HTTPS -> ip exchange1 -> HTTPS
ext_interface -> HTTPS -> ip exchange2 -> HTTPS

Rule sets are processed sequentially.  Once a packet qualifies for a DNAT, no others are processed.  That's why you need two different public IPs as Additional Addresses on the External interface.

in the generic proxy i can not well-define the ip's

It's not clear why you would want/need a generic proxy.

You shouldn't need the DNATs for the VLANs.  If you don't have internal DNS, configure the Astaro DNS to resolve the FQDNs internally to the private IP for each Exchange server.

Cheers - Bob

I created a new interface on the firewall with an additional ipadress reachable from outside with a dns record. Here i can set another genereic proxy.

Also i must create two DNAT rules without there is no owa viewable from outside.

DNAT1
vlan1 → HTTPS → interface_ext1 [dns record1]
Destination translation: exchangeserver1 → HTTPS
Automatic packet filter rule: x
Initial packets are logged : x

DNAT2
vlan2 → HTTPS → interface_ext2 [dns record2]
Destination translation: exchangeserver2 → HTTPS
Automatic packet filter rule: x
Initial packets are logged : x

I knew I documented this here somewhere.  Please read through https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44114.

Cheers - Bob

Thanks for your support!