flobert
Goto Top

Fortigate 50B lässt keine Verbindung vom Telekom-Fallback-Server zu

Mahlzeit!

Wir haben seit 13.01. ein Problem mit der Zustellbarkeit der Mails die an uns gesendet werden.
Die Mails werden an uns gesendet, die Fortigate hat im Traffic-Log den Verbindungsversuch drinnen und schreibt nach zwei erfolgreichen Verbindungen eine "deny" Meldung rein und als Fehlernachricht steht "no session matched".
Das lustige daran: Das passiert nicht bei allen Mails - aber auch nicht nur bei bestimmten. Wir haben Kunden / Lieferanten von Deutschland, Slowenien und Österreich wo wir dieses Problem haben...

Nochmals Mahlzeit.

Nun ein bisschen ausführlicher:

Aufgefallen ist die Thematik am 17.01. weil mein Chef meinte er warte auf ein E-Mail von einem Kunden das bis jetzt noch nicht angekommen ist. Eine Kollegin meinte dann "ja, ich warte auch auf ein Mail" daraufhin bin ich stutzig geworden und habe die Logs der Firewall durchsucht - aber nichts gefunden. Dachte zuerst natürlich an den Spam-Filter und habe die betreffenden Mail-Adressen auf die Whitelist gesetzt - hat aber nichts gebracht. Dann habe ich noch die SMTP Server vom Absender auf die Whitelist gesetzt - hat auch nichts gebracht, die IP Adresse des Telekom Servers auf die Whitelist > kein Erfolg. Das komplette UTM Profil neu angelegt - keine manuellen Spam-Filter hinterlegt, jeglichen Internetverkehr "verboten" (Internetradios,... wohlgemerkt nicht in der Firwall verboten, sondern per interner Mail an die Leute geschickt) Firewall neu gestartet, Firmware aktualisiert, unzählige Stunden mit der Telekom-Hotline verbracht (bzgl. der Unzustellbarkeit der Nachrichten die bei denen im Fallback liegen). Jetzt hatte ich gestern nochmal einen Techniker von unserem EDV-Systemhaus hier und der meinte auch nur "Firewall ist richtig konfiguriert, passt soweit alles. Einziges der Upload von 0,3mbit ist schlecht". Heute hatte ich einen Upload von 0,1 - 0,2 mbit. (gemessen mit speedtest.net und speedmeter.de auf dem Salzburger Server).

Am Exchange kann es nicht liegen, da ich die Mail gar nicht mal bei der Fortigate durch bekomme.


Die einzige regelmäßigkeit die mir auffällt ist, dass der Absender-Server sich bis zu fünf mal erfolgreich mit unserer Firewall verbindet, dann aber gleich der Server der Telekom drei mal mit dem selben SRC PORT verbinden versucht (2 mal davon gelingt es, beim dritten mal bekommt er ein "deny" mit Fehlernachricht "no session matched") und die Mail im Fallback landet......

Gibt es da eine Einstellmöglichkeit diesbezüglich in der Fortigate?!


Heute kommt der Telekom-Techniker um das Modem zu tauschen und die Leitungen durchzumessen... Mal schauen was dabei raus kommt...


Konfiguration: schlechtes Österreichisches Telekom ADSL Internet (sind im äußersten Einzugsgebiet), Fortigate 50B v4.0,build0511,120110 (MR3 Patch 4), SBS 2003 mit MX3 Eintrag auf unseren Server und Backup-Mail-Server bei der Telekom falls wir mal einen Stromausfall haben (relativ häufig bei uns - jedoch hängt die gesamte Hardware an USVs.


Ich freue mich schon auf Eure Hilfe, deshalb schon ein herzliches Vielen Dank im Voraus!

Gruß
Florian


NACHTRAG:
Manchmal funktioniert die Verbindung vom Telekom-Server jedoch und es werden ein paar Mails die darin liegen zugestellt... War zumindest letzte Woche noch so...

2. Nachtrag:
So sieht das ganze im Traffic Log bei der Fortigate aus:
950acf664941cef8fd6bfbf06d3744ec

Der 213.33.87.8 ist der MX3.bon.at (Backup-Server der Telekom)
Der 195.70.115.204 ist der SMTP von unserem Kunden... >> Es kommt aber keine Mail durch...

3. Nachtrag:
Telekom Austria Techniker war gerade da und hat den Router und im Wählamt die Gegenstelle getauscht - kein Unterschied...

4. Nachtrag:
Wir haben gestern die Fortigate zurückgesetzt und die MR2 Patch10 aufgespielt... Neu konfiguriert und seither funktionierts... Mal schaun was der Analyzer noch so loggt....

Content-ID: 179813

Url: https://administrator.de/contentid/179813

Ausgedruckt am: 14.11.2024 um 17:11 Uhr

GuentherH
GuentherH 31.01.2012 um 09:46:15 Uhr
Goto Top
Hallo.

und Backup-Mail-Server bei der Telekom falls wir mal einen Stromausfall haben

Nimm den raus, ist nicht nötig. Jeder ordentlicher Mailserver versucht bis zu 48 Stunden lang Mails zuzustellen. Erst dann wird ein NDR an den Absender genriert.
Ein 2. MX ist eher hinderlich, da dieser auch gegen SPAM abgesichert werden muss.

LG Günther
Flobert
Flobert 31.01.2012 um 09:50:37 Uhr
Goto Top
Danke für die rasche Antwort.

Das habe ich auch vor, jedoch will ich zuerst die Mails haben die auf dem Backup-Server liegen ;)
Und da ich jetzt zumindest eine Server-IP habe bei der ich sicher bin dass der Mail-Verkehr nicht richtig funktioniert lasse ich den jetzt noch bestehen (bzw. möchte ich noch lassen) bis das Problem behoben ist...

Einziges was mir Sorgen macht: Was ist wenn genau der Fallback das Problem ist...
Was mich zur nächsten Frage bringt: Warum seit 17.01.12 und die Jahre davor nicht... Firmwareaktualisierung habe ich auch erst NACH dem Erkennen des Problemes gemacht - zwecks Fehler eingrenzen...

Gruß
Florian
harald21
harald21 31.01.2012 um 15:48:11 Uhr
Goto Top
Hallo,

bei der Firmware-Aktualisierung bist du meiner Meinung nach zu Weit gegangen: FortiOS 4.0 MR3 ist für den Produktivbetrieb noch nicht ausreichend stabil, du solltest besser FortiOS 4.0 MR2patch10 verwenden. (ein Downgrade der Firmware wird jetzt allerdings schwierig).

Ansonsten nehme ich an, das du den Mailempfang (SMTP) über eine virtuelle IP konfiguriert hast?
Das sollte eigentlich problemlos funktionieren, wir haben hier eine ähnliche Konfiguration.

mfg
Harald
Flobert
Flobert 31.01.2012 um 18:54:29 Uhr
Goto Top
Das mit der Firmware habe ich auch schon gehört - aber erst nach dem Upgrade... Egal. Es läuft und daran liegt unser Mail Problem sicher nicht.
Jup. Konfiguration der Fortigate funktionierte jetzt ja 3 Jahre ohne Probleme. Server ist natürlich als Virtuelle IP angelegt und geroutet...
harald21
harald21 01.02.2012 um 08:01:11 Uhr
Goto Top
Hallo Flobert,

ich nehme an, der Screeshot stammt aus dem Traffic Log? Kannst du bitte den kompletten "Deny"-Eintrag hier posten? (am Besten im RAW-Modus als Text).
Habt ihr evtl. eine DoS-Policy?

Alternativ kannst du ja auch versuchen den Traffic zu sniffen (am Besten mit Putty, da kannst du alles in ein Log schreiben lassen und dieses dann später in Ruhe auswerten)

diag sniff packet any 'tcp and port 25 an host 213.33.87.8' 3

mfg
Harald
Flobert
Flobert 01.02.2012, aktualisiert am 10.04.2013 um 10:57:57 Uhr
Goto Top
Hallo Harald,

danke für deine Antwort und deinen Tipp.
Wir bekommen heute nachmittag einen Fortianalyzer beigestellt... Wir hätten versucht den per Internet dran zu hängen (ist ja ohne Probleme möglich bei der Fortigate) leider lässt das unser Upload nicht zu... Wir konnten zum Fortianalyzer nämlich nichtmal eine Verbindung herstellen... face-smile

Die Mails aus dem Fallback werden jetzt an meine private Mail Adresse weiter geleitet - die rufe ich dann per Webmail ab und verteile diese dann im ganzen Haus... Werde das aber noch ändern und im Outlook per POP abrufen ;)
Sobald alle Mails aus dem Fallback raus sind drehen wir diesen ab.
Warum der Aufwand fragt Ihr Euch? Ich bekomme keine Liste von der Telekom in der die Absender stehen die aktuell im Fallback liegen - könnten dann den Fallback sofort löschen und ich die Absender informieren dass wir nix bekommen von denen, aber ok...


Den kompletten DENY Eintrag habe ich blöderweise nirgends mehr gespeichert - hatte das LOG zwar, aber finde es gerade nicht face-smile


edit:
Zwar schon ewig zurück, ABER das Problem war tatsächlich die Fortigate. Firmware Downgrade brachte die Rettung und die Lösung des Problems.