Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 4036 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit Emails, Webseiten, OWA und ActiveSync

IPH
Hallo zusammen,

ich hoffe ihr könnt mir ein wenig Hilfestellung bei meinen Problemen geben. Folgendes Hintergrundwissen vorweg:


  • ASG 220 mit Version 8.309 im Einsatz.
  • zwei feste IP-Adressen vom ISP
  • OWA per DNAT Regeln zum Mailserver (1. feste IP)
  • Cloudspeicher per DNAT auf einen Server in der DMZ (2. feste IP)


Problem:

Seit ende letzter Woche haben wir vermehrt Probleme mit dem Mailempfang, OWA, ActiveSync und Webseitenaufrufe.

Unser OWA ist nur sporadisch erreichbar. Mal ist er ein paar Stunden von extern erreichbar, mal nicht. Intern gibt es keine Probleme. Selbiges gilt für ActiveSync zum Abruf der Mails per Smartphone.
Komischerweise ist unser Cloudserver, welcher ebenfalls per DNAT und einer anderen IP eingerichtet wurde, immer zu erreichen.

Einige Webseiten sind stellenweise nicht erreichbar. Nach ein paar Minuten allerdings wieder aufrufbar (Beispiel Facebook und per Google-Suche). Auch hier gibt es keinen ersichtlichen Grund.

Und das letzte Problem betrifft unsere Emails. Es häufig sich in letzter Zeit u.a. die Fehler "RDNS/HELO (RDNS missing)" oder "all relevant MX records point to non-existent hosts".
Nach manueller Ausnahme gehen die Emails beim erneuten Versenden ohne Probleme durch.

Ich habe jetzt schon einige Sachen ausprobiert. Von neu angelegten DNAT Regeln bis hin zu anderen DNS-Forwarder. Es gibt aber immer mal wieder Probleme.
Heute morgen hab ich der ASG einen Neustart verpasst. Danach lief es erstmal gut. Aktuell treten aber wieder die o.g. Probleme auf.

Auch habe ich keine nennenswerten Änderungen in letzter Zeit vorgenommen. Vom einen auf den anderen Tag kamen die Probleme auf.
Einzig den IPS habe ich aktiviert (wurde vom Vorgänger deaktiviert, empfand ich aber als wichtig). Dies ist aber schon 2-3 Monate her.

Könnte es an den DNS-Forwarder liegen? Dort habe ich mittlerweile 8 Server eingetragen (2x Google, 2x Telekom, 2x 1&1, 2x htp).

Könnte vielleicht auch ein Update auf UTM 9 etwas bringen? Allerdings schrecke ich noch ein wenig davon ab...

Vielleicht habt ihr ja noch eine zündende Idee?!?

Vielen Dank!

Gruß
Lars


This thread was automatically locked due to age.
Parents
  • 0
    Wie sagt BAlfson immer:
    "Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • 0
    Wie sagt BAlfson immer:
    "Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
  • 0 in reply to scorpionking
    Wie sagt BAlfson immer:
    "Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.


    Hallo Scorpionking,

    danke vorab für deine Rückmeldung. Ich muss zugeben, dass ich noch Nachholbedarf bei der Administration der Astaro habe. 

    Gibt es bestimmte "Merkmale" auf die ich in den Logs achten kann? So ein Tageslog erschlägt einen erstmal [;)]

    Vielen Dank!

    EDIT

    Habe im IPS-Log folgende Meldung entdeckt:

    "(smtp) Attempted command buffer overflow"

    Könnte das was bedeuten? Quell-IP ist die Astaro und Ziel-IP unser Exchange 2010.
  • 0 in reply to IPH
    Naja, im IPS Log ist eigenlich jde Zeile interessant. Im Firewall v.a. die mit action="drop".

    Dann vielleicht mal noch nach der IP-Adresse des Exchange-Servers suchen. Und den Zeitraum eingrenzen in einen Bereich, in dem das Problem auf jeden Fall auftrat.

    EDIT

    Habe im IPS-Log folgende Meldung entdeckt:

    "(smtp) Attempted command buffer overflow"

    Könnte das was bedeuten? Quell-IP ist die Astaro und Ziel-IP unser Exchange 2010.

    Jep, könnte die Mail-Probleme erklären, wenn's öfter vorkommt.
    Dann am Besten mal die ganze Log-Zeile hier posten. Sensible Daten ***-en.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Naja, im IPS Log ist eigenlich jde Zeile interessant. Im Firewall v.a. die mit action="drop".

    Dann vielleicht mal noch nach der IP-Adresse des Exchange-Servers suchen. Und den Zeitraum eingrenzen in einen Bereich, in dem das Problem auf jeden Fall auftrat.


    Jep, könnte die Mail-Probleme erklären, wenn's öfter vorkommt.
    Dann am Besten mal die ganze Log-Zeile hier posten. Sensible Daten ***-en.


    Anbei die komplette Zeile aus dem IPS-Log:

    2013:04:09-11:48:14 mail snort[7339]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="" reason="(smtp) Attempted command buffer overflow: more than 512 chars" group="0" srcip="ASTARO-IP" dstip="EXCHANGE-IP" proto="6" srcport="48357" dstport="25" sid="0" class="Attempted Administrator Privilege Gain" priority="1"  generator="124" msgid="1"

    Diese kommt häufiger vor.

    Auch im Firewall-Log habe ich einige Drops. Anbei vielleicht mal eine, welche helfen könnte?!

    2013:04:09-12:01:18 mail ulogd[5606]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="****" dstmac="****" srcip="****" dstip="ASTARO-IP" proto="6" length="52" tos="0x00" prec="0x00" ttl="120" srcport="52352" dstport="58530" tcpflags="SYN" 

    Hoffentlich habe ich alles ge*** [;)]
  • 0 in reply to IPH
    Ich würde als ersten Schritt mal IPS komplett abschalten und schauen, was dann noch Probleme macht.

    Dann kann man an's Feintuning gehen und z.B. Regel 2101 über den Advanced-Reiter deaktivieren.


    Auf jeden Fall auch mal die DNS-Einstellungen prüfen, s. https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566

    Generell ist aber anzuraten: Nicht zu viel selber umbasteln, lieber rechtzeitig einen Experten ins Haus holen...

    Hoffentlich habe ich alles ge*** [[;)]]

    Ich habe zumindest nichts gesehen, mit dem ich dich direkt angreifen könnte. [[;)]]

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Ich würde als ersten Schritt mal IPS komplett abschalten und schauen, was dann noch Probleme macht.

    Dann kann man an's Feintuning gehen und z.B. Regel 2101 über den Advanced-Reiter deaktivieren.


    Auf jeden Fall auch mal die DNS-Einstellungen prüfen, s. http://www.astaro.org/gateway-products/management-networking-logging-reporting/27989-solved-dns-best-practice.html#post123165

    Generell ist aber anzuraten: Nicht zu viel selber umbasteln, lieber rechtzeitig einen Experten ins Haus holen...


    Ich habe zumindest nichts gesehen, mit dem ich dich direkt angreifen könnte. [;)]


    Ok. Der IPS ist vorerst komplett deaktiviert und die DNS-Einstellungen hab ich nochmals kontrolliert, waren aber wie im verlinkten Thread hinterlegt (außer der OpenDNS).

    Dann werde ich die nächsten Stunden bzw. den nächsten Tag abwarten und schauen was passiert.

    Danke bis hierhin und schönen Feierabend!
Cookie Information Banner