Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 7456 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Port wird nicht nach außen durchgelassen

itpsc
Hallo Zusammen, ich habe folgende Rahmenparameter:
Sophos UTM 9.3-15
- 2 WAN Schnittstellen mit Upload-Ausgleich (100 und 0) damit die PCs zuerst mit der schnellen 100 MBit Leitung arbeiten und bei Ausfall die andere Leitung nehmen.
Die andere WAN Schnittstelle (2MBit) hat 5 zusätzliche öffentliche IP Adressen.

Ein Exchange Server 2013 steht im internen Netz und ein Exchange EDGE steht in der DMZ. Der Edge sendet und empfängt die E-Mails von/nach dem Internet und tauscht sie nach innen mit dem Exchange Server aus.

Versand muss über eine der zusätzlichen öffentlichen IPs der 2 MBit Leitung erfolgen.

1) Es gibt eine Multipath Regel um den Upload-Ausgleich zu umgehen:
    Bindung nach Schnittstelle
    EDGE Server - SMTP Messaging - Internet IPv4 - WAN_2MBit

2) Es gibt eine SNAT Regel für den ausgehenden SMTP Traffic:
     EDGE Server - SMTP Messaging - Internet IPv4 
     Quellübersetzung:  WAN_2MBit_IP139 (Adress)
     und eine dazu passende Firewallregel

3) Es gibt für den eingehenden SMTP Traffic eine DNAT Regel:
    Any - SMTP Messaging - WAN_2Mbit_IP139 (Adress)
    Zielübersetzung:   EDGE Server
    auch hier mit passender Firewall Regel

Effekt ist nun, dass man E-Mails an den EDGE Server schicken kann, aber
der EDGE Server keine E-Mail verschicken kann.
Ein Telnet vom EDGE Server nach außen zu einem anderen Mail Server auf
Port 25 kommt definitiv nicht durch.
Irgendwo muss wohl bei den Regeln in der Sophos ein kleiner Denkfehler liegen, da auf einer virtuellen TEST Sophos mit auch zwei WAN Leitungen und eigentlich den gleichen Regeln von dem virtuellen SBS2011 ein Telnet ins Internet auf Port 25 zu einem anderen Mail Server funktioniert.
Falls jemand eine Idee hätte wo denn der Denkfehler sein könnte würde mir das sehr weiterhelfen.
Noch erwähnen wollte ich, dass momentan der derzeitige IST Stand beim Wechsel auf die Sophos erhalten bleibt und dann in einem weiteren Schritt der EDGE Server von der Sophos als E-Mail Proxy abgelöst wird.

Und am Rande eine Frage in die Runde: gibt es für die Sophos denn eventuell auch eine "angenehmere" Art der Darstellung innerhalb der Logfiles? Die TMG2010 hat zwar nur eine einzige Logfunktion aber die zeigt einem sofort und so gesehen sehr übersichtlich die Datenpakete mit den Infos:  Quell IP - Ziel IP - Port - matching rule - allow/deny.......

Über einen guten Tipp wo mein Denkfehler im Regelwerk steckt
würde ich mich freuen, damit die Sophos auch demnächst die
TMG2010 dauerhaft ersetzen kann.

B. Giggenbach


This thread was automatically locked due to age.
Parents
  • 0

    3) Es gibt für den eingehenden SMTP Traffic eine DNAT Regel:
        Any - SMTP Messaging - WAN_2Mbit_IP139 (Adress)
        Zielübersetzung:   EDGE Server
        auch hier mit passender Firewall Regel


    Hallo B. Giggenbach,

    wenn ich es richtig deute hast du hier einen Konfigurationsfehler eingebaut. Any bedeutet alle Pakete die ankommen, auch die internen. Das bedeutet du hast einen Loop eingebaut. Trag mal anstatt any -> Internet IPv4 ein.

    vg
    mod
Reply
  • 0

    3) Es gibt für den eingehenden SMTP Traffic eine DNAT Regel:
        Any - SMTP Messaging - WAN_2Mbit_IP139 (Adress)
        Zielübersetzung:   EDGE Server
        auch hier mit passender Firewall Regel


    Hallo B. Giggenbach,

    wenn ich es richtig deute hast du hier einen Konfigurationsfehler eingebaut. Any bedeutet alle Pakete die ankommen, auch die internen. Das bedeutet du hast einen Loop eingebaut. Trag mal anstatt any -> Internet IPv4 ein.

    vg
    mod
Children
No Data
Cookie Information Banner