Port-Forwarding eingehende Mails Exchange-Server mehrere Router Mikrotik

Mitglied: jochenmuell

jochenmuell (Level 1) - Jetzt verbinden

16.01.2016, aktualisiert 15:40 Uhr, 1762 Aufrufe, 9 Kommentare

Hallo Zusammen,

ich hoffe dass mir jemand von Euch den entscheidenden Tipp geben kann! Habe folgendes Problem:

Wir verwenden einen SBS2011-Server mit Exchange 2010. Soweit lief dieser problemlos hinter einer Fritzbox mit DSL-Anschluss. Mails kommen über SMTP / SMTP TLS direkt herein und werden über unseren Provider auch direkt raus gesendet. Zusätzlich ist der HTTPS-Port auf der Fritzbox freigegeben damit sich unsere Smartphones verbinden können.

Nun haben wir (da der DSL-Anschluss chronisch überlastet war), eine WLAN-Brücke zu einem KabelDeutschland-Business-Anschluss in Betrieb genommen (bei mir zuhause, da in der Firma kein KD verfügbar).

Folgendes Szenario:

Netzwerk Firma:
Mikrotik1 (RB2011): IP 192.168.3.1
FritzBox DSL: IP 192.168.3.2
Exchange-Server: 192.168.3.215

Netzwerk Zuhause
Mikrotik2 (RB2011): IP 192.168.11.1
Fritzbox KD: IP 192.168.10.1 (Exposed Host eingerichtet zum Mikrotik2)

Die beiden Mikrotiks sind per WLAN verbunden. Das ganze Routing läuft einwandfrei, d.h. der Internetverkehr in der Firma wird über die WLAN-Bridge und den KD-Anschluss geleitet. Sollte die WLAN-Bridge ausfallen schaltet der Mikrotik1 automatisch auf die Fritzbox (192.168.3.2) für den Internetzugang um.
Der Email-Verkehr, OWA, Smartphone, etc wurden bisher jedoch noch direkt über die Fritzbox geleitet. Im Exchange war dazu Standard-Gateway 192.168.3.2 eingetragen.

Dies soll sich nun aber ändern. Ausgehende Mails, sowie die Verbindung zu den Smartphones und OWA sollen über den KD-Anschluss laufen, da dieser wesentlich mehr Upload-Speed bietet. Eingehende Mails sollen aber weiterhin über die Fritzbox (DSL) rein kommen, da nur für diese eine statische IP vorhanden/verfügbar ist.

Ich habe das Standard-Gateway im Exchange auf 192.168.3.1 abgeändert und am Mikrotik2 das Portforwarding für HTTPS auf den Exchange eingestellt. Nun habe ich Zugriff per Smartphone / OWA und es werden auch Mails versendet. Nur leider kommt nichts mehr rein!

Stehe gerade auf dem Schlauch, was ich noch einstellen muss.

Bitte um Tipps! (wahrscheinlich ist die Lösung sehr simpel...)

Danke

Gruß
Jochen
Mitglied: aqui
LÖSUNG 16.01.2016, aktualisiert um 15:40 Uhr
Ich habe das Standard-Gateway im Exchange auf 192.168.3.1 abgeändert
Wo zeigt denn das Default Gateway der .3.1 hin ???
Für eingehende Emails (SMTP) ist das dann tödlich wenn das nicht die FB ist, denn die Reply bzw. ACK Pakets des Exchange für SMTP müssen ja zwingend auch wieder über die FB raus (statische Provider IP).
Wenn nun das Exchange Gateway auf die .3.1 zeigt ist es essentiell wichtig was mit den SMTP Reply Paketen passiert.
Doese kommen ja immer per Port Forwarding an der FB rein und gehen an den Exchange, der Antworten nun aber durch seine neue GW Adresse an die .3.1 sendet.
Routet der Mikrotik (Firma .3.1) die nun aber zurück über den KD Anschluss raus bekommen Absendende SMTP Server die Mails an euch via FB Adresse raussenden nun ja mit den Replies eine vollkommen andere Absender IP, nämlich aus dem KD Netz bzw. KD Router.
Dadurch kommt es zum sofortigen Abbruch der SMTP TCP Session durch den IP Absender Adress Mismatch...logisch.
Kardinalsfrage ist also WO der .3.1er MT sein Default Gateway hat ??? Wenn das das KD Netz ist liegt hier dein Denkfehler !

Dein Design ist ein klassisches PBR Design. Du musst mit dem MT (Firma) sicherstellen das dieser MT TCP 25 Pakets über eine PBR Liste mit next Hop Gateway FB versendet und den Rest des Traffics mit next Hop MT 2, sprich KD.
So wird ein Schuh draus !
Damit geht dann SMTP Traffic immer fest über die FB raus und der Rest über die MT Strecke und KD. Sowas nennt man dann Policy Based Routing. Erledigen die MTs im Handumdrehen.
Hast du das berücksichtigt ?
http://blog.butchevans.com/2008/09/mikrotik-policy-routing-implementati ...
Bitte warten ..
Mitglied: jochenmuell
16.01.2016 um 15:42 Uhr
Hallo Aqui,

danke für deine Antwort. Meine Gedanken sind auch in diese Richtung gegangen, nur leider hatte ich keine Ahnung wo ich ansetzen muss. Ich denke das hilft mir nun weiter und ich probiere das gleich mal aus.

Merci

(falls ich es nicht hin bekommen dann schreib ich einfach nochmal!)

Gruß
Bitte warten ..
Mitglied: aqui
16.01.2016, aktualisiert um 15:49 Uhr
nur leider hatte ich keine Ahnung wo ich ansetzen muss.
Mmmmhhh...du hast doch alles schon so wunderbar zum Fliegen gebracht ?? Wenn man nur mal ein klein wenig darüber nachdenkt wie sich die IP Pakete in deinem Netz bewegen sticht einem das doch sofort ins Auge....!
Die Suchfunktion hier hätte ggf. auch geholfen...
Cisco Beispiel:
https://www.administrator.de/articles/detail.php?id=103423
Mikrotik Beispiel:
https://www.administrator.de/index.php?content=180258
Na wir warten dann mal gespannt aufs Feedback ;-) face-wink
Bitte warten ..
Mitglied: jochenmuell
16.01.2016 um 16:18 Uhr
Vorab: es funktioniert!

Also ich hab jetzt mal folgendes gemacht:

IP-Mangle
chain prerouting
src.address 192.168.3.215
Protocol TCP
src.port 25
Action mark Routing
new Routing mark mail_smtp

IP-Rout
Dst.Address 0.0.0.0/0
Gateway 192.168.3.2
Distance 3
Routing Mark mail_smtp

so funktioniert es auf jeden Fall. Nur wie ist es jetzt mit ausgehenden Mails? Diese werden nun ja auch wieder über die FB 192.168.3.2 geleitet, oder?
Bitte warten ..
Mitglied: aqui
16.01.2016, aktualisiert um 16:26 Uhr
Ja ! TCP 25 ist TCP 25 ! Da muss deine Policy Liste etwas trickreicher sein. Nachdenken ist wieder angesagt...! Hilft aber (vermutlich) nicht ums gleich vorweg zu nehmen... :-( face-sad
Man könnte die Policy List nun so umschreiben das Pakete die den Exchange als Absender IP haben und TCP 25 sind über den KD Link gehen. Dann würden outbound Emails über den KD Link gehen.
Hier ist aber Vorsicht angedacht.
Damit erscheinen dann Mails an diesen Servern mit einer KD Kunden Absender IP. Das wird vermutlich bei diversen Mail Servern den Spam Filter triggern ob dieser IP und damit die Mails dann sofort blockieren.
Ob das Sinn macht dieses Risiko einzugehen musst du selber entscheiden. Es ist sicher sauberer den ganzen TCP 25 Traffic über die FB abzuwickeln und den ganzen Rest dann über KD.
Its your choice...
Bitte warten ..
Mitglied: jochenmuell
16.01.2016 um 16:28 Uhr
Leider muss ich mich korrigieren.

Es kommen zwar wieder Mails rein, aber der Zugang via Smartphone funktioniert dafür nicht mehr... Wahrscheinlich wird nun der gesamte Verkehr vom Exchange über die FB geleitet.

Ich versuch es dann mal weiter...
Bitte warten ..
Mitglied: aqui
16.01.2016, aktualisiert um 16:32 Uhr
Wahrscheinlich wird nun der gesamte Verkehr vom Exchange über die FB geleitet.
Nöö, das kann ja niemals sein, denn deine Policy List filtert ja auf TCP 25 !!
Die Smartphones nutzen eigentlich TCP 443 für den Exchange Zugriff (Active Sync etc.) ! Das solltest du aber zur Sicherheit mal sniffern.
Wireshark ist hier dein Freund und sagt dir sofort was los ist !!
Bitte warten ..
Mitglied: jochenmuell
16.01.2016 um 16:51 Uhr
Es tut jetzt wieder.

Ich hab mir selber ein "Ei" gelegt. Neben Port 25 habe ich noch den TLS Port "markiert". Habe aber aus Versehen den Port 443 anstatt 465 eingegeben und somit den HTTPS-Verkehr markiert (und folglich umgeleitet).

Fehler behoben und es geht jetzt tatsächlich...


Du schreibst:
Man könnte die Policy List nun so umschreiben das Pakete die den Exchange als Absender IP haben und TCP 25 sind über den KD Link gehen. Dann würden outbound Emails über den KD Link gehen.

Das verstehe ich nicht ganz.
Nach meinem Verständnis habe ich jetzt ja den gesamten Verkehr, der auf Port 25 läuft und vom Exchange kommt, markiert. Der markierte Verkehr wird dann über die FB umgeleitet. Das betrifft doch nun sowohl eingehende Mails als auch ausgehende.
Wie kann ich da nochmal unterscheiden? Oder sprichst du von einem weiteren Filter der sich auf den Empfänger bezieht?
Der Exchange sendet auf jeden Fall über den Strato-Smarthost damit das von dir beschriebene Problem nicht auftritt. Der Empfang kommt auch über Strato, da hier zwischengespeichert wird falls unser Server nicht empfangen kann.

Wäre schön, wenn Du mir das erklären könntest, was du gemeint hast.

Gruß
Bitte warten ..
Mitglied: aqui
17.01.2016, aktualisiert um 18:31 Uhr
Ja, so wie du es jetzt gemacht hast ja. Da du ja nun nur global auf TCP 25 filterst und das mit next Hop an die FB schickst ist das sauber.
Das Problem tritt nur auf sollte man auch die Absender IP mit in die PBR Liste nehmen und so vom Exchange selber initiierten outbound Mail Traffic über den anderen Link schicken wollen.
Das wird dann wieder an dem Absender IP Mismatch scheitern, ist oder war keine gute Idee.
So wie du es jetzt gelöst hast ist es sauber und sollte auch so sein.
Siehst du ja auch daran das es fehlerfrei klappt ;-) face-wink
Case closed !
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 15 StundenAllgemeinOff Topic47 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 22 StundenFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server12 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...