gelöst SMTP Regel Cisco ASA Firewal

Mitglied: Yannosch

Yannosch (Level 2) - Jetzt verbinden

2017/04/20 um 10:18 Uhr, 915 Aufrufe, 10 Kommentare

Hallo @all,

nachdem ich nun durch die Hilfe von @aqui die ASA in den Betrieb nehmen konnte habe ich ein damit verbundes Problem feststellen müssen.

Unser Drucker [192.168.0.21] ist nun nicht mehr in der Lage E-Mails über seinen SMTP Client zu verschicken.
Fehlermeldung der Logs:
Ich habe bereits versucht eine Firewall-Regel anzulegen - dies hatte allerdings das Resultat, dass überhaupt nichts mehr ging [Clients keine Internetverbindung Usw.]

Eigentlich sollte doch nur der TCP/Smtp Service freigehalten werden.

Habe schon ein Network-Host PrinterMFP mit der passenden IP-Adresse angelegt. Außerdem noch einen Service mit Port 587 [smtp Port für smtp.office365.com] .

Ist das falsch? - Bzw. was kann ich anders machen dass es evtl. wieder funktioniert.

Außerdem frage ich mich wie es möglich ist mit unserem E-Mail-Clients weiterhin E-Mails zu senden? Im Prinzip haben die ja die selben SMTP Einstellungen .... habe ich ja selbst so eingerichtet ...

Naja - Fakt ist mit der neuen ASA sendet unser Drucker keine Faxe oder Scans mehr als E-Mail...

Hier die Config meiner ASA:


Wäre schön wenn mir jemand helfen könnte... weiß grad echt nicht weiter.

LG Yannosch

Mitglied: Pjordorf
2017/04/20 um 10:39 Uhr
Hallo,

Zitat von Yannosch:
Unser Drucker [192.168.0.21] ist nun nicht mehr in der Lage E-Mails über seinen SMTP Client zu verschicken.
Welche IP hat der Mailserver?
Was hat die ASA überhaupt damit zu tun wenn alles im LAN passiert?

Ich habe bereits versucht eine Firewall-Regel anzulegen - dies hatte allerdings das Resultat, dass überhaupt nichts mehr ging [Clients keine Internetverbindung Usw.]
Dann hast du was falsch gemacht

Eigentlich sollte doch nur der TCP/Smtp Service freigehalten werden.
Wer?
Wo?
Intern?
Extern?
VLANs?
Routing?
NATten?

Gruß,
Peter
Bitte warten ..
Mitglied: Yannosch
2017/04/20, aktualisiert um 10:43 Uhr
Hey ... die Rede war doch von Office365 [Exchange Plan1]... welche IP dieser Server von Microsoft hat weiß ich leider nicht

Es ist ein reiner SMTP Client mit STARTTLS Authentifizierung und den Office365 Benutzer Credentials als Login ...

Hat geklappt bevor die ASA eingerichtet wurde.
Bitte warten ..
Mitglied: Pjordorf
2017/04/20 um 10:44 Uhr
Hallo,

Zitat von Yannosch:
Hey ... die Rede war doch von Office365
Sorry, mein Fehler.

Gruß,
Peter
Bitte warten ..
Mitglied: Yannosch
2017/04/20 um 10:46 Uhr
Kein Problem alles gut - hast du da zufällig eine Idee ? ...

Ich weiß nicht was ich noch freizuschalten habe ...

Habe ja sogar ip any any permit auf inside liegen ... keine Ahnung was noch geändert werden muss...
Bitte warten ..
Mitglied: aqui
2017/04/20, aktualisiert um 11:01 Uhr
Ein reiner SMTP Server macht aber kein STARTTLS und nutzt ausschliesslich nur Port TCP 25.
Für STARTTLS Verwendung gibt es den Port TCP 465 und auch TCP 587
Beide Ports werden für Secure SMTP verwendet wobei TCP 587 der aktuelle ist. Bist du dir also sicher das deine Anwendung wirklich 587 nutzt ? Sinnigerweise wäre es besser beide Ports in das Object Profil zu nehmen.
Bei dir wird in der Firewall vermutlich einer dieser beiden Ports (oder auch beide) geblockt oder du hast das in der Object Group vergessen.
Du solltest zudem sicherstellen das der Drucker den Mailserver auch wirklich erreichen kann (Ping etc.) Dafür macht es Sinn den Drucker mal abzustöpseln und die Drucker IP auf einen Laptop zu konfigurieren um die Connectivity zu checken. Gut wenn man vom Drucker über dessen Panel oder GUI Pingen kann geht das ja auch. Kann der Drucker IP technisch den Mail Server gar nicht erreichen, ist so ein Finetuning dann natürlich eh obsolet, das ist klar.

Auch dns-server value 8.8.8.8 4.2.2.2 zu konfigurieren ist keine besonders intelligente Idee wo heute jeder Grundschüler weiss das Google dann ein Profil deines Surf- und Internetverhaltens allgemein detailiert protokolliert und diese Profile über Dritte weitervermarktet. Aber gut...wenn du bewusst mit runtergelassener Hose dastehen willst ist das natürlich ok.
Zudem fehlen in deiner Firewall Definition noch weitere Mail Protokolle wie POP3S und auch IMAPS.
So richtig customized ist die ASA Konfig nicht.
Bitte warten ..
Mitglied: Yannosch
2017/04/20 um 11:08 Uhr
Zitat von aqui:

Ein reiner SMTP Server macht aber kein STARTTLS und nutzt ausschliesslich nur Port TCP 25.

Postausgangsserver (SMTP):


smtp.office365.com


587

Das sind die Infos seitens Microsoft bezgl. der SMTP Einstellungen für Office365 Exchange Plan1

Für STARTTLS Verwendung gibt es den Port TCP 465 und auch TCP 587
Beide Ports werden für Secure SMTP verwendet wobei TCP 587 der aktuelle ist. Bist du dir also sicher das deine Anwendung wirklich 587 nutzt ? Sinnigerweise wäre es besser beide Ports in das Object Profil zu nehmen.

Werde ich auf jedenfall ausprobieren.

Bei dir wird in der Firewall vermutlich einer dieser beiden Ports (oder auch beide) geblockt oder du hast das in der Object Group vergessen.
Du solltest zudem sicherstellen das der Drucker den Mailserver auch wirklich erreichen kann (Ping etc.) Dafür macht es Sinn den Drucker mal abzustöpseln und die Drucker IP auf einen Laptop zu konfigurieren um die Connectivity zu checken. Gut wenn man vom Drucker über dessen Panel oder GUI Pingen kann geht das ja auch. Kann der Drucker IP technisch den Mail Server gar nicht erreichen, ist so ein Finetuning dann natürlich eh obsolet, das ist klar.

Da der "Mailserver" ja außerhalb steht, weiß ich nicht in wie weit es nötig ist die öffentliche IP des Exchange zu pingen?...


Auch dns-server value 8.8.8.8 4.2.2.2 zu konfigurieren ist keine besonders intelligente Idee wo heute jeder Grundschüler weiss das Google dann ein Profil deines Surf- und Internetverhaltens allgemein detailiert protokolliert und diese Profile über Dritte weitervermarktet. Aber gut...wenn du bewusst mit runtergelassener Hose dastehen willst ist das natürlich ok.
Zudem fehlen in deiner Firewall Definition noch weitere Mail Protokolle wie POP3S und auch IMAPS.
So richtig customized ist die ASA Konfig nicht.

Ich bin dir für deine zahlreichen Tipps wirklich dankbar - aber bin gerade dabei alles nach für nach einzurichten. Leider kann ich keine "customized Configurations" ausscheißen.

Basierend auf den bisherigen Informationen vielleicht noch jemand eine Idee?
Bitte warten ..
Mitglied: Yannosch
2017/04/20 um 11:32 Uhr
Die Tests ergaben keine Besserung ...
noch Ideen? ... ._.
Bitte warten ..
Mitglied: Yannosch
2017/04/20 um 15:05 Uhr
Könnte es auch am DNS liegen?

Habe hier keinen eigenen DNS-Server ...
Vielleicht kann der Drucker sich nicht verbinden weil er den Namen smtp.office365.com nicht auflösen kann...
Bitte warten ..
Mitglied: Yannosch
2017/04/20 um 16:25 Uhr
Also an alle die es interessiert:

Das Problem besteht tatsächlich in der Namensauflösung - zumindest glaube ich das.
Nachdem ich im SMTP Client unseres Druckers statt smtp.office365.com eine der IP-Adressen eingetragen habe funktioniert das Senden wieder.

An was kann das denn liegen?
Sollte ich DNS auf der ASA für inside & outside aktivieren oder was kann ich tun?

Mich interessiert der genaue Hintergrund .... ich verstehe es nicht ...

liebe Grüße
Yannosch
Bitte warten ..
Mitglied: aqui
2017/04/21 um 13:46 Uhr
Das liegt dann daran das der Drucker den Hostnamen nicht auflösen kann in die IP Adresse !!
Der Grund kann vielschichtig sein:
  • Der Drucker hat gar keinen DNS Server konfiguriert.
  • DNS IP ist eingetragen aber IP Adresse des DNS ist vom Drucker nicht erreichbar dadurch das im Pfad eine Firewall ist die TCP oder UDP 53 blockiert (DNS Ports)
  • DNS Server kann den Namen nicht auflösen
Vermutlich sind es die ersten beiden Punkte.
Ein Wireshark Trace bringt hier sofortige Klarheit !
  • Hast du einen lokalen DNS mit einer Weiterleitung auf einen Provider DNS ?
  • Arbeitet die ASA als Proxy DNS und der lokale DNS leitet auf die ASA LAN IP weiter ?
  • Arbeitest du ganz ohne lokalen DNS und hast die ASA oder den Provider DNS auf deinen Endgeräten
Für eine genauere Analyse lieferst du viel zu wenig Input was dein DNS Umfeld anbetrifft. Da können auch wir nur im freien Fall raten...
Bitte warten ..
Heiß diskutierte Inhalte
C und C++
Powershell Skript Datei mit bestimmten Inhalt finden und dann Datei löschen
gelöst AlexFMFrageC und C++21 Kommentare

Hallo Mitnander, Ich versuche vergeblich mit der Powershell Dateien zu löschen die einen bestimmten Textinhalt haben Mein bisheriges Script: ...

Ausbildung
MCSA Kurs Server 2016 mit VM Jobchancen
gelöst IntershipFrageAusbildung19 Kommentare

Hallo Leute, dies ist eine dringende Frage für mich, da ich gerne einen MCSA Kurs belegen möchte. Ich brauche ...

Netzwerke
SonicWall VPN - Windows top - Mac flopp
MazenauerFrageNetzwerke12 Kommentare

Grüezi und hallo Vorgeschichte, das Übliche: Marketingfirma. Corona. Homeoffice. Soweit so normal, nur scheinen die iMacs irgendein Problem mit ...

Windows 10
Windows 10 Pro mehrere RDP Benutzer
Jannik2018FrageWindows 1010 Kommentare

Hallo zusammen, kann ich bei Windows 10 Pro irgendwie Freischalten das 2 benutzer sich gleichzeitig per RDP verbinden können ...

Windows Server
Kein Import in HyperV möglich
gelöst stalkerdabFrageWindows Server10 Kommentare

Hi, aufgrund eines dummen fehlers meinerseits, löschte ich versehentlich meine VM aus HyperV. Als wäre das nicht schlimm genug, ...

Exchange Server
Exchange 2016 - sporadische TLS Unavailable Fehler
westberlinerFrageExchange Server10 Kommentare

Hallo Zusammen, ich habe hier einen Exchange 2016 mit einer Watchguard Firewall davor. Der Exchange ist per Static-Nat von ...

Ähnliche Inhalte
Router & Routing
Cisco Asa VPN Fragen
brooksFrageRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

LAN, WAN, Wireless
Cisco ASA Passwort Reset
YannoschAnleitungLAN, WAN, Wireless4 Kommentare

Hallo zusammen, aus gegebenen Anlass hier eine Anleitung zum Reset des Passworts bei einer Cisco ASA5505. WICHTIG: Ich gebe ...

Firewall
Cisco ASA 5505 ohne Lizenz
gelöst it-levFrageFirewall7 Kommentare

Hallo all, die ASA 5505 läuft 202x aus und in der Bucht ist diese günstig zu kaufen. Ich wollte ...

Switche und Hubs
Firmware Update Cisco ASA 5505
JoeJoeFrageSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

Firewall
Cisco ASA 5506-X Performance Problem
gelöst georgkupferFrageFirewall19 Kommentare

ich habe hier eine völlig jungfreuliche Cisco ASA 5506 X Firewall mit Firepower. Derzeit laufen noch keine weitere Services, ...

Netzwerkmanagement
Cisco VPN ASA - User mit letztem Login
DrAlcomeFrageNetzwerkmanagement1 Kommentar

Hallo zusammen, wir haben einen (über die Jahre gewachsenen) großen Pulk an VPN-Usern, von denen aber mittlerweile einige keinen ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT