Menggabung beberapa Isp Untuk Mail Server / Application Server
salah satu cara menggabungkan lebih dari 1 isp dengan mikrotik untuk mail server atau application server yang lain untuk high availability / redundant / backup bisa dengan topologi dasar di bawah ini, tapi kita akan kesulitan dalam routing, dnat marking dll
dengan konfigurasi di atas tentu blm bisa menjalankan fungsi high availability / redundant / backup karena gateway masih mengarah ke salah satu isp meski port forwarding (dnat) sudah di lakukan di kedua router, dan kadang kita tidak bisa menggabungkan router isp 1 dan isp 2 karena policy dari masing2 isp tsb, untuk lebih simple mengatur routing nya tp harus menambah 1 router lagi seperti di bawah ini, yang tujuan nya dnat trafik dari router 1 akan di reply oleh router tambahan dengan cara masquerade dan dnat dan di teruskan ke mail server, maka request dari router tambahan ke mail server akan di reply ke router tambahan dan request dari router 2 ke mail server akan di reply ke router 2.
Isp 1 dnat langsung ke router tambahan
ip f n
add chain=srcnat action=masquerade src-address=10.10.0.200 out-interface=Wan
add chain=dstnat dst-address=111.123.123.123 protocol=tcp dst-port=25 in-interface=Wan action=dst-nat to-addresses=10.10.0.200 to-ports=25
Isp 2 dnat langsung ke mail server
ip f n
add chain=srcnat action=masquerade scr-address=10.10.0.10 out-interface=Wan
add chain=dstnat dst-address=222.123.123.123 protocol=tcp dst-port=25 in-interface=Wan action=dst-nat to-addresses=10.10.0.10 to-ports=25
Router tambahan mikrotik dnat ke mail server
ip f n
add chain=srcnat action=masquerade dst-address=10.10.0.10
add chain=dstnat protocol=tcp dst-port=25 action=dst-nat to-addresses=10.10.0.10 to-ports=25
Router tambahan dengan linux iptables nya sbb
-A POSTROUTING -d 10.10.0.10 -j MASQUERADE
-A PREROUTING -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.10.0.10:25
dnat nya bisa di teruskan untuk port2 yang lain sesuai kebutuhan,
kelebihan metode ini adalah simple routing nya
untuk testing bisa di telnet via ip pub kedua isp tsb tentunya dari jaringan luar selain kedua isp tsb
Adpun opsi mx rec nya
Opsi 1 ada yang bilang loadbalance
MX 10 mail1.domain.com
MX 10 mail2.domain.com
mail1.domain.com A 222.123.123.123
mail2.domain.com A 111.123.123.123
Opsi 2 ada yang bilang simple round robin
MX 10 mail.domain.com
mail.domain.com A 222.123.123.123
A 111.123.123.123
Opsi 3 sebagi backup/cadangan / primer sekunder
MX 10 mail.domain.com
MX 20 backup.domain.com
mail.domain.com A 222.123.123.123
backup.domain.com A 111.123.123.123
source https://help.dyn.com/articles/mx-lb/
Untuk kedua isp yang router nya di gabung seperti di bawah ini
Hanya tambahan untuk router utama di mana ip 111.123.123.123 dengan gw 111.123.123.124
/ip firewall mangle
add action=mark-routing chain=prerouting comment=Mark-routing-to-ispA disabled=\
no new-routing-mark=to-ispA src-address=10.10.0.200
/ip route
add check-gateway=ping disabled=yes distance=1 gateway=111.123.123.124 \
routing-mark=to-ispA
Bisa juga dengan menambah kan HA Proxy sbb
untuk config HA Proxy di sini https://blog.fals.my.id/2018/07/haproxy-for-smtp-loadbalance-haproxy.html
Tinggal sesuaikan ip nya
Tentunya Ha Proxy dan Mail Server dalam host virtual mesin yang sama
kekurangan dari model di atas
1. setiap penambahan isp perlu menambahkan router / proxy tambahan
2. traffic yang lewat isp 1 hanya di kenal traffic local karena di belakang router / proxy, jadi kemungkinan kerja antispam kurang optimal krn di kenali sebagai local traffic
3. mungkin perlu anti spam dari pihak ketiga yang akan memfilter sebelum masuk ke lewat kedua isp yang kita pakai, terutama via isp pertama
adapun penggabungan dengan antispam gateway appliance sbb
untuk instalasi dan konfigurasi salah satu antispam bisa merujuk ke sini
https://blog.fals.my.id/2016/03/install-scrollout-f1-untuk-security.html
https://blog.fals.my.id/2016/09/membuat-smtp-relay-dari-scrollout-f1.html
Atau juga bisa sbb memakai layanan dari pihak ketiga
Salam
dengan konfigurasi di atas tentu blm bisa menjalankan fungsi high availability / redundant / backup karena gateway masih mengarah ke salah satu isp meski port forwarding (dnat) sudah di lakukan di kedua router, dan kadang kita tidak bisa menggabungkan router isp 1 dan isp 2 karena policy dari masing2 isp tsb, untuk lebih simple mengatur routing nya tp harus menambah 1 router lagi seperti di bawah ini, yang tujuan nya dnat trafik dari router 1 akan di reply oleh router tambahan dengan cara masquerade dan dnat dan di teruskan ke mail server, maka request dari router tambahan ke mail server akan di reply ke router tambahan dan request dari router 2 ke mail server akan di reply ke router 2.
ip f n
add chain=srcnat action=masquerade src-address=10.10.0.200 out-interface=Wan
add chain=dstnat dst-address=111.123.123.123 protocol=tcp dst-port=25 in-interface=Wan action=dst-nat to-addresses=10.10.0.200 to-ports=25
Isp 2 dnat langsung ke mail server
ip f n
add chain=srcnat action=masquerade scr-address=10.10.0.10 out-interface=Wan
add chain=dstnat dst-address=222.123.123.123 protocol=tcp dst-port=25 in-interface=Wan action=dst-nat to-addresses=10.10.0.10 to-ports=25
Router tambahan mikrotik dnat ke mail server
ip f n
add chain=srcnat action=masquerade dst-address=10.10.0.10
add chain=dstnat protocol=tcp dst-port=25 action=dst-nat to-addresses=10.10.0.10 to-ports=25
Router tambahan dengan linux iptables nya sbb
-A POSTROUTING -d 10.10.0.10 -j MASQUERADE
-A PREROUTING -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.10.0.10:25
dnat nya bisa di teruskan untuk port2 yang lain sesuai kebutuhan,
kelebihan metode ini adalah simple routing nya
untuk testing bisa di telnet via ip pub kedua isp tsb tentunya dari jaringan luar selain kedua isp tsb
Adpun opsi mx rec nya
Opsi 1 ada yang bilang loadbalance
MX 10 mail1.domain.com
MX 10 mail2.domain.com
mail1.domain.com A 222.123.123.123
mail2.domain.com A 111.123.123.123
Opsi 2 ada yang bilang simple round robin
MX 10 mail.domain.com
mail.domain.com A 222.123.123.123
A 111.123.123.123
Opsi 3 sebagi backup/cadangan / primer sekunder
MX 10 mail.domain.com
MX 20 backup.domain.com
mail.domain.com A 222.123.123.123
backup.domain.com A 111.123.123.123
source https://help.dyn.com/articles/mx-lb/
Untuk kedua isp yang router nya di gabung seperti di bawah ini
Hanya tambahan untuk router utama di mana ip 111.123.123.123 dengan gw 111.123.123.124
/ip firewall mangle
add action=mark-routing chain=prerouting comment=Mark-routing-to-ispA disabled=\
no new-routing-mark=to-ispA src-address=10.10.0.200
/ip route
add check-gateway=ping disabled=yes distance=1 gateway=111.123.123.124 \
routing-mark=to-ispA
Bisa juga dengan menambah kan HA Proxy sbb
Tinggal sesuaikan ip nya
Tentunya Ha Proxy dan Mail Server dalam host virtual mesin yang sama
kekurangan dari model di atas
1. setiap penambahan isp perlu menambahkan router / proxy tambahan
2. traffic yang lewat isp 1 hanya di kenal traffic local karena di belakang router / proxy, jadi kemungkinan kerja antispam kurang optimal krn di kenali sebagai local traffic
3. mungkin perlu anti spam dari pihak ketiga yang akan memfilter sebelum masuk ke lewat kedua isp yang kita pakai, terutama via isp pertama
adapun penggabungan dengan antispam gateway appliance sbb
https://blog.fals.my.id/2016/03/install-scrollout-f1-untuk-security.html
https://blog.fals.my.id/2016/09/membuat-smtp-relay-dari-scrollout-f1.html
Atau juga bisa sbb memakai layanan dari pihak ketiga
Salam
Komentar
Posting Komentar