dapedda
Goto Top

Sophos: Exchange 2013 auf SMTP Port 25 nicht erreichbar

Servus zusammen,

ich habe folgendes Problem: von der Sophos UTM 9 ist der neue Exchange 2013 auf dem Port 25 nicht erreichbar, jedoch auf den Ports 465 und 587 (ermittelt durch telnet von der UTM aus). Den alten Exchange 2007 erreiche ich aber schon über SMTP.

Rahmenbedingungen:
UTM im Netz 192.168.101.0/24
Exchange 2007 im Netz 192.168.101.0/24
Exchange 2013 im Netz 192.168.4.0/23

Statische Route zum Exchange 2013 auf UTM ist gesetzt (mittels Route geprüft). Das Gateway ist ein VPN-Tunnel. Exchange lässt sich von der UTM aus anpingen und auch auf diverse Ports per telnet verbinden.

Gegenkontrolle:
aus dem Netz 192.168.0.0/24 konnte ich erfolgreich den Exchange 2013 per telnet auf dem Port 25 erreichen. Ebenso aus einem Netz 192.168.93.0/24.

Wo bitte wird der Port 25 zum neuen Exchange 2013 von der Sophos aus geblockt? Ich habe alle Firewallregeln überprüft, ebenso die NAT-Einstellungen und keinen Hinweis auf einen Fehler gefunden.

Wäre um jeden Tip von Euch dankbar.

Viele Grüße,

Peter

Content-ID: 247887

Url: https://administrator.de/contentid/247887

Ausgedruckt am: 07.11.2024 um 22:11 Uhr

Robobob
Robobob 30.08.2014 um 15:29:41 Uhr
Goto Top
Hi,

wie sehen deine NAT Regeln aus?

FULL NAT??

Und auch unter Advanced: Rule applies to IPSec Packets?
DaPedda
DaPedda 30.08.2014 um 15:38:13 Uhr
Goto Top
Hi,

ich brauch keine NAT-Regeln für den internen Verkehr, nur für den externen von und zur Sophos.

Man beachte: auf den Zielserver erreiche ich von der Sophos aus jeden Port, nur den 25er nicht, da kommt dann Connection time out. Allerdings bringt die Gegenprobe, das ich den Port 25 auf den Zielserver aus anderen Subnetze erreiche.

Gruß Peter
Lochkartenstanzer
Lochkartenstanzer 30.08.2014 um 23:47:39 Uhr
Goto Top
Moin,

Sniff mal per wireshark mit, ob die Pakete die utm verlassen und beim Exchange ankommen.

Lks
funk-dept
funk-dept 31.08.2014 aktualisiert um 23:50:20 Uhr
Goto Top
Hallo Peter!

Wie sieht die Konfiguration des Standard SMTP Empfangsconnectors (Default Frontend) auf dem Exchange 2013 Server aus ? Die Bereichsdefinition wären interessant...


Gruß,


Benjamin
DaPedda
DaPedda 01.09.2014 um 09:16:53 Uhr
Goto Top
Grüß Dich Benjamin,

huier habe ich die Voreinstellungen rausgechmissen und die Adresse der UTM eingetragen sowie die IP der Netzwerkschnittstelle.
Aber das hat ja nix damit zu tun, das ich von allen anderen Subnetze den Port erreiche, nur von der UTM aus nicht face-wink

Gruß Peter
Lochkartenstanzer
Lochkartenstanzer 01.09.2014 um 10:31:58 Uhr
Goto Top
Zitat von @DaPedda:

Aber das hat ja nix damit zu tun, das ich von allen anderen Subnetze den Port erreiche, nur von der UTM aus nicht face-wink

Deswegen sollte Du prüfen, ob die Pakete überhaupt die UTM verlassen udn an dem exchange ankommen. z.B. mt Wireshark oder einem anderen sniffer.

lks
DaPedda
DaPedda 01.09.2014 aktualisiert um 15:05:50 Uhr
Goto Top
Servus,

mit Wireshark geprüft: es gehen keine Pakete über den Port 25 an den Zielserver raus. Die Gegenkentrolle über den Port 465 war erfolgreich. Allerdings gehen Pakete von der UTM an einen anderen Exchange sehr wohl raus.

DaPedda
Lochkartenstanzer
Lochkartenstanzer 01.09.2014 um 15:08:41 Uhr
Goto Top
Zitat von @DaPedda:

mit Wireshark geprüft: es gehen keine Pakete über den Port 25 an den Zielserver raus. Die Gegenkentrolle über den
Port 465 war erfolgreich. Allerdings gehen Pakete von der UTM an einen anderen Exchange sehr wohl raus.

Dann hast du in der UTM offensichtlich irgendwo eine Regel, die diese Pakete blockiert. Da ich die Sophos UTM leider nicht kenne, kann ich dir nur allgemeine Ratschläge geben:

  • Prüf Routing
  • Prüf ob für SMTP irgendwelche transparente proxies aktiv sind, die das blocken könnten.
  • prüf die Firewallregelen
  • schalte ggf. die logging-stufe auf debug und schau, ob die UTM irgendetwas über die SMTP-Pakete sagt.

lks
funk-dept
funk-dept 01.09.2014 um 23:37:42 Uhr
Goto Top
Ok, wie sieht deine Paketfilter Regel für smtp Richtung Exchange 2013 Server aus?
Kenne die UTM recht gut da wir sie auch an einigen Standorten im Einsatz haben.


Gruß
Benjamin
DaPedda
DaPedda 04.09.2014 um 10:01:00 Uhr
Goto Top
Servus Benjamin,

habe eine Regel Internal Adress (die Firewall) > SMTP > any

Alleine damit sollte es doch funktionieren.

Gruß Peter
Lochkartenstanzer
Lösung Lochkartenstanzer 04.09.2014, aktualisiert am 07.09.2014 um 18:10:01 Uhr
Goto Top
Zitat von @DaPedda:

habe eine Regel Internal Adress (die Firewall) > SMTP > any

Alleine damit sollte es doch funktionieren.

Es sei denn, voher gobt es eine andere Regel, die das peket abfängt. die Reihenfolge der regeln ist i.d.R. wichtig.

lks
funk-dept
funk-dept 04.09.2014 um 12:52:24 Uhr
Goto Top
Wird auf die quell Adresse (dem client von dem du per Telnet an den Exchange willst) nat angewendet? Ansonsten gib als quell Adresse in dem Paket Filter mal explizit die ursprüngliche IP an! Richte einfach den Host als network Definition (Host) ein. Du kannst in den Paket Filter Regeln unter Advanced ganz unten auch anklicken dass die Regeln bei Anwendung gelogged werden. Du findest dann im Log "firewall".

Sorry für groß und Kleinschreibung. Mein ipad will nicht so wie ich gerne hätte.


Gruß

Benjamin
DaPedda
DaPedda 04.09.2014 um 12:56:37 Uhr
Goto Top
Leute.... ich hab die Lösung:

es war eine aktivierte DNAT-Regel die hier zwischen gefunkt hat. Diese deaktiviert, externe und interne Mailversand getetstet, MX-Einträge gecheckt,... funktioniert alles.

Ich Danke Euch sehr für Eure hilfreiche Hinweise. Schönen Tag noch.

Gruß,

Peter
Robobob
Robobob 04.09.2014 aktualisiert um 13:22:49 Uhr
Goto Top
Heißt, du hast meinen ersten Beitrag nicht beachtet...
Lochkartenstanzer
Lochkartenstanzer 04.09.2014 um 13:23:50 Uhr
Goto Top
Zitat von @DaPedda:

es war eine aktivierte DNAT-Regel die hier zwischen gefunkt hat.

Sowas in der Art hatten wir ja schon vermutet.

Ich Danke Euch sehr für Eure hilfreiche Hinweise. Schönen Tag noch.

Gern geschehen.

Dann noch einen Haken dran. udn alles wird gut. face-smile


lks