16
Watchguard XTM505 Incoming SMTP
Hallo Zusammen,
ich bin derzeit bei der Inbetriebnahme einer neuen XTM505 von Watchguard. Da ich die derzeitige Firewall ablösen möchte soll der eingehende Mailverkehr bereits über die neue Firewall geleitet werden.
Hierfür habe ich eine Firewall Policie "SMTP-proxy" angelegt die von Any-External an unseren Exchanger weiterleiten soll.
Im Syslog kann ich die Anfragen zur eingehenden Mail sehen. Diese werden aber geblockt. Der Syslog-Eintrag sieht wie folgt aus:
Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx Source Interface=0-External Destination Interface=Firebox Source Port=60917 Destination Port=25 Protocol=smtp/tcp
Ich habe die Firewall-Policie jetzt 2x angelegt (1x per Webinterface und 1x per Watchguard System Manager). Auch einen Neustart der Firewall habe ich schon durchgeführt. Also diese Fehlerquellen schließe ich mal aus.
Mache ich was falsch? Ist der Weg über den SMTP-Proxy falsch? In der Doku und im Watchguard-Forum habe ich jetzt auch nicht wirklich eine Antwort zu meinem Problem gefunden. Könntet Ihr mir evtl. bitte noch einen Tipp geben?
Vielen Dank im Voraus.
VG Michl
P.S. Hier noch die Hardcopys der Config
ich bin derzeit bei der Inbetriebnahme einer neuen XTM505 von Watchguard. Da ich die derzeitige Firewall ablösen möchte soll der eingehende Mailverkehr bereits über die neue Firewall geleitet werden.
Hierfür habe ich eine Firewall Policie "SMTP-proxy" angelegt die von Any-External an unseren Exchanger weiterleiten soll.
Im Syslog kann ich die Anfragen zur eingehenden Mail sehen. Diese werden aber geblockt. Der Syslog-Eintrag sieht wie folgt aus:
Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx Source Interface=0-External Destination Interface=Firebox Source Port=60917 Destination Port=25 Protocol=smtp/tcp
Ich habe die Firewall-Policie jetzt 2x angelegt (1x per Webinterface und 1x per Watchguard System Manager). Auch einen Neustart der Firewall habe ich schon durchgeführt. Also diese Fehlerquellen schließe ich mal aus.
Mache ich was falsch? Ist der Weg über den SMTP-Proxy falsch? In der Doku und im Watchguard-Forum habe ich jetzt auch nicht wirklich eine Antwort zu meinem Problem gefunden. Könntet Ihr mir evtl. bitte noch einen Tipp geben?
Vielen Dank im Voraus.
VG Michl
P.S. Hier noch die Hardcopys der Config
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191266
Url: https://administrator.de/contentid/191266
Printed on: April 27, 2024 at 01:04 o'clock
16 Comments
Latest comment
Hallo Michl,
Da stimmt deine Regel einfach nicht.
Poste doch mal die Regel, mit gekürzten IPs.
Wichtig ist noch das Ziel muss ein SNAT (Static NAT),also ExterneIP -> Exchange IP.
VG
Deepsys
Zitat von @VaderDarth:
Hierfür habe ich eine Firewall Policie "SMTP-proxy" angelegt die von Any-External an unseren Exchanger weiterleiten
soll.
Proxy ist schon OK, aber auch komplexer. Evtl. erstmal ein einfache Regel ohne Proxy.Hierfür habe ich eine Firewall Policie "SMTP-proxy" angelegt die von Any-External an unseren Exchanger weiterleiten
soll.
Im Syslog kann ich die Anfragen zur eingehenden Mail sehen. Diese werden aber geblockt. Der Syslog-Eintrag sieht wie folgt aus:
Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx
Source Interface=0-External Destination Interface=Firebox Source Port=60917 Destination Port=25 Protocol=smtp/tcp
Der Punkt ist hier " Policy=Unhandled External Packet-00", die XTM meint sie hat keine Regel für dieses Paket und verwirft es (Standard).Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx
Source Interface=0-External Destination Interface=Firebox Source Port=60917 Destination Port=25 Protocol=smtp/tcp
Da stimmt deine Regel einfach nicht.
Ich habe die Firewall-Policie jetzt 2x angelegt (1x per Webinterface und 1x per Watchguard System Manager). Auch einen Neustart
der Firewall habe ich schon durchgeführt. Also diese Fehlerquellen schließe ich mal aus.
Jo, ist ja auch kein Fehler der XTM der Firewall habe ich schon durchgeführt. Also diese Fehlerquellen schließe ich mal aus.
Poste doch mal die Regel, mit gekürzten IPs.
Wichtig ist noch das Ziel muss ein SNAT (Static NAT),also ExterneIP -> Exchange IP.
VG
Deepsys
Hi Deepsys,
Vielen Dank für Deine schnelle Antwort. Nachdem man hier keine Attachments veröffentlichen kann würde ich Dir gerne per PN den link zu den Hardcopys schicken.
Die SNAT habe ich gerade eben noch konfiguriert. Danke für den Tipp.
Vielen Dank schon mal für Deine Hilfe
VG Michl
Vielen Dank für Deine schnelle Antwort. Nachdem man hier keine Attachments veröffentlichen kann würde ich Dir gerne per PN den link zu den Hardcopys schicken.
Die SNAT habe ich gerade eben noch konfiguriert. Danke für den Tipp.
Vielen Dank schon mal für Deine Hilfe
VG Michl
Hallo,
Doch kann man und Frau. Du hast bei deiner Frage oben die Möglichkeit die zu Bearbeiten und dort problemlos Bilder mit anzugeben.
Und deine
Gruß,
Peter
Doch kann man und Frau. Du hast bei deiner Frage oben die Möglichkeit die zu Bearbeiten und dort problemlos Bilder mit anzugeben.
per PN den link zu den Hardcopys schicken.
Damit andere hier dir nicht helfen können / sollen?Und deine
Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx
sieht für mich aus als wenn die Quelle Extern ist und das Ziel auch Extern ist? Oder habt ihr im LAN / DMZ ein 93.x.x.x/x Netz?Gruß,
Peter
Hallo Peter,
natürlich nehme ich jede Hilfe gerne an. Ich hatte nur die Bilder-Funktion übersehen. Danke für den Tipp. Ich habe in meiner Beschreibung auch die Hardcopys schon ergänzt ;o)
Bzgl. Deiner Frage wegen den Quell- und Ziel-IPs:
Wir sind bei Domainfactory. Dort habe ich einen MX-Eintrag für unseren Exchange mit unserer öffentlichen IP 93.xxx.xxx.xxx und einer hohen Prio 1 konfiguriert. Sekundär arbeitet der Domainfactory-Mailserver als Backup mit einer Prio von 100. Können Mails nicht zugestellt werden cached der DF-Server die Mails noch bis zu 72 Std. und versucht die immer wieder zuzustellen.
Die Zustellversuche werden von verschiedenen Mailserver der DF vorgenommen, die IP-Adressen ändern sich auch dementsprechend was die Source-IP angeht.
VG Michl
natürlich nehme ich jede Hilfe gerne an. Ich hatte nur die Bilder-Funktion übersehen. Danke für den Tipp. Ich habe in meiner Beschreibung auch die Hardcopys schon ergänzt ;o)
Bzgl. Deiner Frage wegen den Quell- und Ziel-IPs:
Wir sind bei Domainfactory. Dort habe ich einen MX-Eintrag für unseren Exchange mit unserer öffentlichen IP 93.xxx.xxx.xxx und einer hohen Prio 1 konfiguriert. Sekundär arbeitet der Domainfactory-Mailserver als Backup mit einer Prio von 100. Können Mails nicht zugestellt werden cached der DF-Server die Mails noch bis zu 72 Std. und versucht die immer wieder zuzustellen.
Die Zustellversuche werden von verschiedenen Mailserver der DF vorgenommen, die IP-Adressen ändern sich auch dementsprechend was die Source-IP angeht.
VG Michl
Die SNAT habe ich gerade eben noch konfiguriert. Danke für den Tipp.
Und wo?
In dem Bilder fehlt genau diese.
Unter To muss etwas in der Art ExtIP-->192.168.x.x stehen.
Die Watchguard muss SMTP annehmen und dann an den Exchange weiterleiten.
So klappt das nicht und du bekommst immer den Fehler.
VG
Deepsys
Sorry, den hatte ich nicht angehängt.
VG Michl
VG Michl
So, jetzt bin ich nach Deiner Anweisung einen Schritt weiter. Ich habe es in der Proxy-Regel unter To eingetragen
Jetzt finde ich zwar keine Deny-Einträge mehr im Syslog, die Mails werden aber weder zugestellt noch als unzustellbar zurückgewiesen.
In den Hub-Einstellungen des Exchangers ist die IP der Watchguard aber mit eingetragen.
VG Michl
Jetzt finde ich zwar keine Deny-Einträge mehr im Syslog, die Mails werden aber weder zugestellt noch als unzustellbar zurückgewiesen.
In den Hub-Einstellungen des Exchangers ist die IP der Watchguard aber mit eingetragen.
VG Michl
Guten Morgen,
OK, das sieht eigentlich gut aus ...
Dann aktivier mal unter "Properties" das Logging "Send log messages" und mach den Firebox System Manager auf.
Dort solltest du nun im Traffic Monitor sehen was mit deiner Email passiert. Sie sollte grün sein und an deinen Host gehen.
Ach ja, und im Proxy bitte auch das Logging einschalten.
Dann sehen wir weiter.
VG
Deepsys
OK, das sieht eigentlich gut aus ...
Dann aktivier mal unter "Properties" das Logging "Send log messages" und mach den Firebox System Manager auf.
Dort solltest du nun im Traffic Monitor sehen was mit deiner Email passiert. Sie sollte grün sein und an deinen Host gehen.
Ach ja, und im Proxy bitte auch das Logging einschalten.
Dann sehen wir weiter.
VG
Deepsys
Ok, deswegen habe ich nix gesehen. Ich hab das Logging zwar im Proxy, nicht aber in der Policy aktiviert.
Also so wie es aussieht akzeptiert er jetzt die Mails und läßt die durch. Der Log sieht wie folgt aus:
2012-09-17 10:39:20 Allow 216.xxx.xxx.xxx 93.xxx.xxx.xxx smtp/tcp 50212 25 0-External 3-intern alt Allowed 52 114 (SMTP-proxy Incoming Firma-00) proc_id="firewall" rc="100" dst_ip_nat="192.xxx.xxx.xxx" tcp_info="offset 8 S 673912923 win 32" Traffic
Den Empfangsconnector habe ich aufgeschraubt, so dass er von allen möglichen IP-Adressen Mails empfangen kann. An dem sollte es eigentlich nicht liegen.
VG Michl
Also so wie es aussieht akzeptiert er jetzt die Mails und läßt die durch. Der Log sieht wie folgt aus:
2012-09-17 10:39:20 Allow 216.xxx.xxx.xxx 93.xxx.xxx.xxx smtp/tcp 50212 25 0-External 3-intern alt Allowed 52 114 (SMTP-proxy Incoming Firma-00) proc_id="firewall" rc="100" dst_ip_nat="192.xxx.xxx.xxx" tcp_info="offset 8 S 673912923 win 32" Traffic
Den Empfangsconnector habe ich aufgeschraubt, so dass er von allen möglichen IP-Adressen Mails empfangen kann. An dem sollte es eigentlich nicht liegen.
VG Michl
Die Policy scheint ja jetzt zu passen. Die Mails werden dem Exchange aber nicht zugestellt. Nachdem jetzt aber in irgendeiner Form für Domainfactory eine Verbindung da ist kommen die Testmails mit einem Unzustellbarkeitsbericht zurück "Relaying denied".
Hab ich da noch was übersehen?
Danke für die Hilfe.
VG Michl
Hab ich da noch was übersehen?
Danke für die Hilfe.
VG Michl
Hallo,
Wo hast du das am Exchange geprüft? SMTP Log?
Gruß,
Peter
Wo hast du das am Exchange geprüft? SMTP Log?
Gruß,
Peter
Hallo Peter,
ich habe in den LOG-Files "MessageTracking" nachgesehen. Zu mal die Mail dann entweder angenommen (und auch im Postfach landet) oder abgewiesen wird (und hier würde dann die Fehlermeldung anders aussehen)
Der Exchangeserver funktioniert einwandfrei. Er bekommt die Mails derzeit von einem anderen Gateway. Ich nehme nur die neue Firewall mit einer Testdomäne in Betrieb um dann irgendwann komplett umswitchen zu können.
VG Michl
ich habe in den LOG-Files "MessageTracking" nachgesehen. Zu mal die Mail dann entweder angenommen (und auch im Postfach landet) oder abgewiesen wird (und hier würde dann die Fehlermeldung anders aussehen)
Der Exchangeserver funktioniert einwandfrei. Er bekommt die Mails derzeit von einem anderen Gateway. Ich nehme nur die neue Firewall mit einer Testdomäne in Betrieb um dann irgendwann komplett umswitchen zu können.
VG Michl
Hi
Schau dir noch mal den Proxy der Watchguard an, der Log sagt nur das die Regel funktioniert.
Mir fehlt aber der Log vom Proxy selber.
Der sollte so in der Art smtp-proxy oder so heißen.
Kann sein das der Proxy antwortet
VG
Deepsys
Zitat von @VaderDarth:
Die Policy scheint ja jetzt zu passen. Die Mails werden dem Exchange aber nicht zugestellt. Nachdem jetzt aber in irgendeiner Form
für Domainfactory eine Verbindung da ist kommen die Testmails mit einem Unzustellbarkeitsbericht zurück "Relaying
denied".
Die Policy scheint ja jetzt zu passen. Die Mails werden dem Exchange aber nicht zugestellt. Nachdem jetzt aber in irgendeiner Form
für Domainfactory eine Verbindung da ist kommen die Testmails mit einem Unzustellbarkeitsbericht zurück "Relaying
denied".
Schau dir noch mal den Proxy der Watchguard an, der Log sagt nur das die Regel funktioniert.
Mir fehlt aber der Log vom Proxy selber.
Der sollte so in der Art smtp-proxy oder so heißen.
Kann sein das der Proxy antwortet
VG
Deepsys
In den LOG-Files finde ich nur den Eintrag den ich schon gepostet habe.
2012-09-17 17:25:57 Allow 80.xxx.xxx.xxx 93.xxx.xxx.xxx smtp/tcp 38062 25 0-External 3-intern alt Allowed 60 55 (SMTP-proxy Incoming Firma-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.xxx.xxx" tcp_info="offset 10 S 2253737948 win 53270" Traffic
Ich habe aber das Logging "Enable logging for report" aktiviert. Das ist doch der richtige punkt, oder?
VG Michl
2012-09-17 17:25:57 Allow 80.xxx.xxx.xxx 93.xxx.xxx.xxx smtp/tcp 38062 25 0-External 3-intern alt Allowed 60 55 (SMTP-proxy Incoming Firma-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.xxx.xxx" tcp_info="offset 10 S 2253737948 win 53270" Traffic
Ich habe aber das Logging "Enable logging for report" aktiviert. Das ist doch der richtige punkt, oder?
VG Michl
So, jetzt hab ich die Lösung. Hat ja wieder mal was völlig bescheuertes sein müssen.
Nachdem ich den Netzwerkmonitor auf dem Exchanger installiert hatte konnte ich sehen, dass die Anfragen bis zum Exchangeserver kamen. Mails wurden zugestellt und eine Bestätigung über den Erhalt der Mail wurde wiederum zurück an den Provider gesendet. Nachdem ich derzeit 2 Gateways betreibe (Watchguard ist derzeit nur in der Testphase) wurden die Mails über das neue Gateway an den Exchanger geliefert, die Bestätigung über den Erhalt ging aber über das "alte" Gateway.
Nachdem ich das Gateway am Exchange umgestellt hatte, klappte es auch mit dem Mailempfang.
Vielen Dank für die Unterstützung.
VG Michl
Nachdem ich den Netzwerkmonitor auf dem Exchanger installiert hatte konnte ich sehen, dass die Anfragen bis zum Exchangeserver kamen. Mails wurden zugestellt und eine Bestätigung über den Erhalt der Mail wurde wiederum zurück an den Provider gesendet. Nachdem ich derzeit 2 Gateways betreibe (Watchguard ist derzeit nur in der Testphase) wurden die Mails über das neue Gateway an den Exchanger geliefert, die Bestätigung über den Erhalt ging aber über das "alte" Gateway.
Nachdem ich das Gateway am Exchange umgestellt hatte, klappte es auch mit dem Mailempfang.
Vielen Dank für die Unterstützung.
VG Michl
Hi,
gut das es nun läuft.
Ein Punkt noch:
Nein, der dient dazu Reports über den Report Server zu generieren, sollen schön sein
Ich selber nutze das nicht, darum kann ich dir nicht mehr dazu sagen
VG
Deepsys
gut das es nun läuft.
Ein Punkt noch:
Zitat von @VaderDarth:
Ich habe aber das Logging "Enable logging for report" aktiviert. Das ist doch der richtige punkt, oder?
Ich habe aber das Logging "Enable logging for report" aktiviert. Das ist doch der richtige punkt, oder?
Nein, der dient dazu Reports über den Report Server zu generieren, sollen schön sein
Ich selber nutze das nicht, darum kann ich dir nicht mehr dazu sagen
VG
Deepsys