Hallo Zusammen, ich habe folgende Rahmenparameter:
Sophos UTM 9.3-15
- 2 WAN Schnittstellen mit Upload-Ausgleich (100 und 0) damit die PCs zuerst mit der schnellen 100 MBit Leitung arbeiten und bei Ausfall die andere Leitung nehmen.
Die andere WAN Schnittstelle (2MBit) hat 5 zusätzliche öffentliche IP Adressen.
Ein Exchange Server 2013 steht im internen Netz und ein Exchange EDGE steht in der DMZ. Der Edge sendet und empfängt die E-Mails von/nach dem Internet und tauscht sie nach innen mit dem Exchange Server aus.
Versand muss über eine der zusätzlichen öffentlichen IPs der 2 MBit Leitung erfolgen.
1) Es gibt eine Multipath Regel um den Upload-Ausgleich zu umgehen:
Bindung nach Schnittstelle
EDGE Server - SMTP Messaging - Internet IPv4 - WAN_2MBit
2) Es gibt eine SNAT Regel für den ausgehenden SMTP Traffic:
EDGE Server - SMTP Messaging - Internet IPv4
Quellübersetzung: WAN_2MBit_IP139 (Adress)
und eine dazu passende Firewallregel
3) Es gibt für den eingehenden SMTP Traffic eine DNAT Regel:
Any - SMTP Messaging - WAN_2Mbit_IP139 (Adress)
Zielübersetzung: EDGE Server
auch hier mit passender Firewall Regel
Effekt ist nun, dass man E-Mails an den EDGE Server schicken kann, aber
der EDGE Server keine E-Mail verschicken kann.
Ein Telnet vom EDGE Server nach außen zu einem anderen Mail Server auf
Port 25 kommt definitiv nicht durch.
Irgendwo muss wohl bei den Regeln in der Sophos ein kleiner Denkfehler liegen, da auf einer virtuellen TEST Sophos mit auch zwei WAN Leitungen und eigentlich den gleichen Regeln von dem virtuellen SBS2011 ein Telnet ins Internet auf Port 25 zu einem anderen Mail Server funktioniert.
Falls jemand eine Idee hätte wo denn der Denkfehler sein könnte würde mir das sehr weiterhelfen.
Noch erwähnen wollte ich, dass momentan der derzeitige IST Stand beim Wechsel auf die Sophos erhalten bleibt und dann in einem weiteren Schritt der EDGE Server von der Sophos als E-Mail Proxy abgelöst wird.
Und am Rande eine Frage in die Runde: gibt es für die Sophos denn eventuell auch eine "angenehmere" Art der Darstellung innerhalb der Logfiles? Die TMG2010 hat zwar nur eine einzige Logfunktion aber die zeigt einem sofort und so gesehen sehr übersichtlich die Datenpakete mit den Infos: Quell IP - Ziel IP - Port - matching rule - allow/deny.......
Über einen guten Tipp wo mein Denkfehler im Regelwerk steckt
würde ich mich freuen, damit die Sophos auch demnächst die
TMG2010 dauerhaft ersetzen kann.
B. Giggenbach
This thread was automatically locked due to age.
