Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pix 501 SMTP Probleme

Mitglied: florian.rhomberg

florian.rhomberg (Level 1) - Jetzt verbinden

06.11.2007, aktualisiert 28.12.2007, 4782 Aufrufe, 2 Kommentare

Ich habe ein großes Problem mit einem Exchange Server 2003 den ich hinter einen Pix 501 Firewall schalten möchte

Hallo!
Ich hoffe ihr könnt mit helfen, ihr seit wirklich sowas wie meine letzte Hoffnung. Ich habe über das Wochenende verzweifelt versucht einen Exchange Server 2003 hinter einer Pix 501 Firewall zum laufen zu bekommen. Erschwert wird das ganz noch durch eine sehr ungewöhnliche Netzwerkkonfiguration, da wir eine Schule sind. Bei mir werden die offiziellen IP Adressen (193.170.x.x) zunächst durch eine Firewall unseres Schulrates in 10.67.60.x Adressen übersetzt. Gleichzeitig blockt dieser Firewall (zu dem ich keine Zugriff hat) alle "gefährlichen" Ports darunter fällt auch der smtp Port. Daher werden alle E-Mails von außen zunächst an einen smtp Server des Schulnetzes geleitet welches dann die E-Mail an das smtp Protokoll meines Exchange 2003 weiterleitet. Da ich trotz all dem, dem Schulnetz nicht traue wollte ich jetzt eine Pix 501 zwischen meinen Exchange Server und dem Schulnetz schalten.

Der Pix selber hat eine andere 10.67.60.x Adresse als mein Mailserver. Also habe ich zunächst eine 1:1 NAT Übersetzung von 10.67.60.x auf 192.168.1.3 konfiguriert. Dann konnte mein Exchange Server ins Internet. Dann habe ich eine neue Regel erstellt die mir eine inbound connection von jedem externen Port auf Port 25 des Exchange Server erlaubt. Außerdem habe ich noch über die Befehlszeile "no fixup smtp 25" der config hinzugefügt da ich gelesen habe, dass es sonst ein Problem mit dem Exchange Server gibt. Das sollte doch funktionieren, oder? Damit sollte doch mein Mailserver nun erreichbar sein.

Nun tatsächlich schaffe ich es von einem Server der parallel im Schulnetz zum Pix geschalten ist eine E-Mail an den Server zu schicken. Ebenso kann der Server E-Mails verschicken. Nur wenn die e-mails von außen kommen dann funktioniert der Server nicht. Laut dem Schulnetz ist es für deren SMTP Server nicht möglich meinen SMTP zu kontaktieren, woran kann das liegen? Wenn ich den Mailserver wieder parallel zum Pix schalte dann erreicht aber der SMTP Server des Schulnetzes meinen SMTP Server. Also muss das Problem bei mir liegen. Kann mir da jemand helfen? Ich poste hier auch meine config. Ich hoffe für einen Cisco Experten ist dieses Problem sofort erkenntlich!

Vielen Dank für jede Hilfe,
Florian

01.
Result of firewall command: "write terminal" 
02.
  
03.
Building configuration... 
04.
: Saved 
05.
06.
PIX Version 6.3(5) 
07.
interface ethernet0 auto 
08.
interface ethernet1 100full 
09.
nameif ethernet0 outside security0 
10.
nameif ethernet1 inside security100 
11.
enable password QSBw6fE/9tVdB3LW encrypted 
12.
passwd 2KFQnbNIdI.2KYOU encrypted 
13.
hostname pixfirewall 
14.
domain-name ciscopix.com 
15.
fixup protocol dns maximum-length 512 
16.
fixup protocol ftp 21 
17.
fixup protocol h323 h225 1720 
18.
fixup protocol h323 ras 1718-1719 
19.
fixup protocol http 80 
20.
fixup protocol rsh 514 
21.
fixup protocol rtsp 554 
22.
fixup protocol sip 5060 
23.
fixup protocol sip udp 5060 
24.
fixup protocol skinny 2000 
25.
no fixup protocol smtp 25 
26.
fixup protocol sqlnet 1521 
27.
fixup protocol tftp 69 
28.
names 
29.
name 192.168.1.4 proxy 
30.
name 192.168.1.3 mail 
31.
object-group network proxy  
32.
  description Group of all Proxy Servers at HTL 
33.
  network-object proxy 255.255.255.255  
34.
object-group service MediaServer tcp-udp  
35.
  port-object range 1755 1755  
36.
  port-object range 5005 5005  
37.
  port-object range 554 554  
38.
object-group service MailServerTCP tcp  
39.
  port-object eq www  
40.
  port-object eq ftp-data  
41.
  port-object range 3389 3389  
42.
  port-object eq pop3  
43.
  port-object eq https  
44.
  port-object eq ftp  
45.
  port-object eq smtp  
46.
  port-object eq domain  
47.
object-group service MailServerTCPUDP tcp-udp  
48.
  port-object range 143 143  
49.
  port-object range 22 22  
50.
  port-object range 220 220  
51.
access-list outside_access_in permit tcp any interface outside eq 3389 log disable 
52.
access-list outside_access_in permit udp any interface outside eq ntp log disable 
53.
access-list outside_access_in permit tcp any interface outside object-group MediaServer log disable 
54.
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCP log 7  
55.
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCPUDP log 7  
56.
access-list outside_access_in permit ip any host 10.67.60.232 log disable 
57.
access-list outside_access_in permit icmp any host 10.67.60.232 log disable 
58.
access-list inside_access_in permit tcp any any log disable 
59.
access-list inside_access_in permit udp any any log disable 
60.
pager lines 24 
61.
logging on 
62.
mtu outside 1500 
63.
mtu inside 1500 
64.
ip address outside 10.67.60.209 255.255.255.0 
65.
ip address inside 192.168.1.1 255.255.255.0 
66.
ip audit info action alarm 
67.
ip audit attack action alarm 
68.
pdm location proxy 255.255.255.255 inside 
69.
pdm location mail 255.255.255.255 inside 
70.
pdm location 10.70.252.166 255.255.255.255 outside 
71.
pdm group proxy inside 
72.
pdm logging informational 100 
73.
pdm history enable 
74.
arp timeout 14400 
75.
global (outside) 1 interface 
76.
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0 
77.
static (inside,outside) tcp interface 81 proxy 81 netmask 255.255.255.255 0 0  
78.
static (inside,outside) tcp interface 3389 proxy 3389 netmask 255.255.255.255 0 0  
79.
static (inside,outside) udp interface ntp proxy ntp netmask 255.255.255.255 0 0  
80.
static (inside,outside) tcp interface 1755 proxy 1755 netmask 255.255.255.255 0 0  
81.
static (inside,outside) udp interface 1755 proxy 1755 netmask 255.255.255.255 0 0  
82.
static (inside,outside) tcp interface 554 proxy 554 netmask 255.255.255.255 0 0  
83.
static (inside,outside) udp interface 5005 proxy 5005 netmask 255.255.255.255 0 0  
84.
static (inside,outside) 10.67.60.232 mail netmask 255.255.255.255 0 0  
85.
access-group outside_access_in in interface outside 
86.
access-group inside_access_in in interface inside 
87.
route outside 0.0.0.0 0.0.0.0 10.67.60.128 1 
88.
timeout xlate 0:05:00 
89.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
90.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
91.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 
92.
timeout uauth 0:05:00 absolute 
93.
aaa-server TACACS+ protocol tacacs+  
94.
aaa-server TACACS+ max-failed-attempts 3  
95.
aaa-server TACACS+ deadtime 10  
96.
aaa-server RADIUS protocol radius  
97.
aaa-server RADIUS max-failed-attempts 3  
98.
aaa-server RADIUS deadtime 10  
99.
aaa-server LOCAL protocol local  
100.
http server enable 
101.
http 10.70.252.166 255.255.255.255 outside 
102.
http 192.168.1.0 255.255.255.0 inside 
103.
no snmp-server location 
104.
no snmp-server contact 
105.
snmp-server community public 
106.
no snmp-server enable traps 
107.
floodguard enable 
108.
telnet timeout 5 
109.
ssh timeout 5 
110.
console timeout 0 
111.
dhcpd address 192.168.1.2-192.168.1.33 inside 
112.
dhcpd lease 3600 
113.
dhcpd ping_timeout 750 
114.
dhcpd auto_config outside 
115.
terminal width 80 
116.
Cryptochecksum:71f18deecf7db9b499a39adf8b63c8d6 
117.
: end 
118.
[OK]
Mitglied: florian.rhomberg
07.11.2007 um 16:49 Uhr
Weiß da wirklich niemand einen Rat? Kann mir vielleicht einer den Ausschnitt einer Pix Konfiguration posten mit der der STMP Server funktioniert hat?

Liebe Grüße,
Florian
Bitte warten ..
Mitglied: stefanth
28.12.2007 um 08:22 Uhr
Hallo,
ich hatte das Problem, dass die Pix interne Mails geblockt hat.
Habe einen POP/SMPTP Server der die Mails holt und dann per SMTP an meine Exchange weiterreicht.
Ich habe die ESMTP prüfung daktiviert. Frag mich aber nicht mehr wie es bei der 6er Version geht. Denke es war eine service-policy.
Bei der 8er Version finde ich das unter Configuration - Service Policy Rules - global_policy - inspection_default-Rule Actions und hier ESMTP ausschalten.
Warum diese Policy den internen Lanverkehr beachtet - keine Ahnung.
Hoffe es hilft Dir weiter bzw. bringt Dich in eine Richtung den Fehler zu finden.

MFG
Stefan
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Keine PDM-Konfiguration meiner guten alten pix 501

Frage von rabo001Router & Routing1 Kommentar

Hallo, ich weis es ist ein Uraltteil aber ich möchte sie weiter nutzen meine pix501. Nur jetzt gibt es ...

Firewall

Cisco Pix 501 - Fehler Unable to launch device manager !!?

Frage von babyloniaFirewall7 Kommentare

Hi, Cisco Pix 501 Version 6.3(5) Ich habe den PIX Device Manager pdm304.bin installiert. Dann habe ich versucht den ...

Exchange Server

Exchange 2010 SMART Host SMTP Relay Probleme

Frage von dawdadExchange Server6 Kommentare

Moin, ich weiß nicht ob ich hier richtig bin aber ich suche auf diesen weg einen Windows Exchange Admin ...

Exchange Server

SMTP konfigurieren

gelöst Frage von almeraExchange Server3 Kommentare

Hi Folks, ich versuche gerade meinen ersten Exchange Server, hier in Version 2010, aufzusetzen. Und, wie zu erwarten, ich ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 14 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz22 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...