Wir haben eine UTM 220. Diese ist hinter einer Cisco ASA installiert. Die ASa ist mit einer pub IP für Web (PNAT) und einer IP für Mail (NAT) auf dem outside konfiguriert (Ich weiss die UTM kann die ASA ersetzen, aber zur Zeit können wir aus div. Gründen nur diese Konfiguration verwenden)
Kurz zur Konfiguration.
Das Internal Interface der UTM hängt am Inside der ASA. Dieses Interface (ASA) wird auch als GW für die UTM verwendet. DAS DMZ Interface der UTM ist in einem eigenen VLAN, dem auch das ASA-DMZ Interface ist.
Mittels einer MultiPath Regel konnte ich schon erreichen, das die UTM die Mails über das UTM-DMZ Interface verschickt. Vorher hat Sie einfach immer das Internal genommen, somit war die IP die falsche.
Jetzt das Problem. Wenn eine Mail auf dem Outside der ASA ankommt, dann wird die Outside IP- auf die UTM-DMZ genattet, soweit ok. Die Mail trifft auf der UTM ein und wird gescannt. Dann soll die Mail ja an unseren interne MAilserver zugestellt werden. Von der Logik her sollte die UTM, dazu das DMZ Interface verwenden und über die ASA von der DMZ auf das interne Netz zugreifen. Das passiert aber nicht. Die UTM stellt die Mail direkt über ihr internal Interface an unseren direkt zu. Sie geht nicht über die ASA. Scheinbar wird auch die Firewall der UTM umgangen. Es ist keine SMTP Regel in der UTM definiert, trotzdem stellt die UTM alle Mails an unseren interen Server zu.
Wie kann ich der UTM beibringen, dass Sie bei eingehenden Mails nicht ihr internen Routing (DMZ-Internal) verwendet sondern nach dem Scan der Mails, diese über die ASA abwickelt?
habe schon div. Policy-Routings probiert, entweder mache ich es falsch oder habe einen Denkfehler
Ich hoffe ich die Erklärung reicht...
This thread was automatically locked due to age.
