Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fortigate 50B lässt keine Verbindung vom Telekom-Fallback-Server zu

Frage Internet E-Mail

Mitglied: Flobert

Flobert (Level 1) - Jetzt verbinden

31.01.2012, aktualisiert 02.02.2012, 6353 Aufrufe, 6 Kommentare

Mahlzeit!

Wir haben seit 13.01. ein Problem mit der Zustellbarkeit der Mails die an uns gesendet werden.
Die Mails werden an uns gesendet, die Fortigate hat im Traffic-Log den Verbindungsversuch drinnen und schreibt nach zwei erfolgreichen Verbindungen eine "deny" Meldung rein und als Fehlernachricht steht "no session matched".
Das lustige daran: Das passiert nicht bei allen Mails - aber auch nicht nur bei bestimmten. Wir haben Kunden / Lieferanten von Deutschland, Slowenien und Österreich wo wir dieses Problem haben...

Nochmals Mahlzeit.

Nun ein bisschen ausführlicher:

Aufgefallen ist die Thematik am 17.01. weil mein Chef meinte er warte auf ein E-Mail von einem Kunden das bis jetzt noch nicht angekommen ist. Eine Kollegin meinte dann "ja, ich warte auch auf ein Mail" daraufhin bin ich stutzig geworden und habe die Logs der Firewall durchsucht - aber nichts gefunden. Dachte zuerst natürlich an den Spam-Filter und habe die betreffenden Mail-Adressen auf die Whitelist gesetzt - hat aber nichts gebracht. Dann habe ich noch die SMTP Server vom Absender auf die Whitelist gesetzt - hat auch nichts gebracht, die IP Adresse des Telekom Servers auf die Whitelist > kein Erfolg. Das komplette UTM Profil neu angelegt - keine manuellen Spam-Filter hinterlegt, jeglichen Internetverkehr "verboten" (Internetradios,... wohlgemerkt nicht in der Firwall verboten, sondern per interner Mail an die Leute geschickt) Firewall neu gestartet, Firmware aktualisiert, unzählige Stunden mit der Telekom-Hotline verbracht (bzgl. der Unzustellbarkeit der Nachrichten die bei denen im Fallback liegen). Jetzt hatte ich gestern nochmal einen Techniker von unserem EDV-Systemhaus hier und der meinte auch nur "Firewall ist richtig konfiguriert, passt soweit alles. Einziges der Upload von 0,3mbit ist schlecht". Heute hatte ich einen Upload von 0,1 - 0,2 mbit. (gemessen mit speedtest.net und speedmeter.de auf dem Salzburger Server).

Am Exchange kann es nicht liegen, da ich die Mail gar nicht mal bei der Fortigate durch bekomme.


Die einzige regelmäßigkeit die mir auffällt ist, dass der Absender-Server sich bis zu fünf mal erfolgreich mit unserer Firewall verbindet, dann aber gleich der Server der Telekom drei mal mit dem selben SRC PORT verbinden versucht (2 mal davon gelingt es, beim dritten mal bekommt er ein "deny" mit Fehlernachricht "no session matched") und die Mail im Fallback landet......

Gibt es da eine Einstellmöglichkeit diesbezüglich in der Fortigate?!


Heute kommt der Telekom-Techniker um das Modem zu tauschen und die Leitungen durchzumessen... Mal schauen was dabei raus kommt...


Konfiguration: schlechtes Österreichisches Telekom ADSL Internet (sind im äußersten Einzugsgebiet), Fortigate 50B v4.0,build0511,120110 (MR3 Patch 4), SBS 2003 mit MX3 Eintrag auf unseren Server und Backup-Mail-Server bei der Telekom falls wir mal einen Stromausfall haben (relativ häufig bei uns - jedoch hängt die gesamte Hardware an USVs.


Ich freue mich schon auf Eure Hilfe, deshalb schon ein herzliches Vielen Dank im Voraus!

Gruß
Florian


NACHTRAG:
Manchmal funktioniert die Verbindung vom Telekom-Server jedoch und es werden ein paar Mails die darin liegen zugestellt... War zumindest letzte Woche noch so...

2. Nachtrag:
So sieht das ganze im Traffic Log bei der Fortigate aus:
950acf664941cef8fd6bfbf06d3744ec - Klicke auf das Bild, um es zu vergrößern

Der 213.33.87.8 ist der MX3.bon.at (Backup-Server der Telekom)
Der 195.70.115.204 ist der SMTP von unserem Kunden... >> Es kommt aber keine Mail durch...

3. Nachtrag:
Telekom Austria Techniker war gerade da und hat den Router und im Wählamt die Gegenstelle getauscht - kein Unterschied...

4. Nachtrag:
Wir haben gestern die Fortigate zurückgesetzt und die MR2 Patch10 aufgespielt... Neu konfiguriert und seither funktionierts... Mal schaun was der Analyzer noch so loggt....
Mitglied: GuentherH
31.01.2012 um 09:46 Uhr
Hallo.

und Backup-Mail-Server bei der Telekom falls wir mal einen Stromausfall haben

Nimm den raus, ist nicht nötig. Jeder ordentlicher Mailserver versucht bis zu 48 Stunden lang Mails zuzustellen. Erst dann wird ein NDR an den Absender genriert.
Ein 2. MX ist eher hinderlich, da dieser auch gegen SPAM abgesichert werden muss.

LG Günther
Bitte warten ..
Mitglied: Flobert
31.01.2012 um 09:50 Uhr
Danke für die rasche Antwort.

Das habe ich auch vor, jedoch will ich zuerst die Mails haben die auf dem Backup-Server liegen ;)
Und da ich jetzt zumindest eine Server-IP habe bei der ich sicher bin dass der Mail-Verkehr nicht richtig funktioniert lasse ich den jetzt noch bestehen (bzw. möchte ich noch lassen) bis das Problem behoben ist...

Einziges was mir Sorgen macht: Was ist wenn genau der Fallback das Problem ist...
Was mich zur nächsten Frage bringt: Warum seit 17.01.12 und die Jahre davor nicht... Firmwareaktualisierung habe ich auch erst NACH dem Erkennen des Problemes gemacht - zwecks Fehler eingrenzen...

Gruß
Florian
Bitte warten ..
Mitglied: harald21
31.01.2012 um 15:48 Uhr
Hallo,

bei der Firmware-Aktualisierung bist du meiner Meinung nach zu Weit gegangen: FortiOS 4.0 MR3 ist für den Produktivbetrieb noch nicht ausreichend stabil, du solltest besser FortiOS 4.0 MR2patch10 verwenden. (ein Downgrade der Firmware wird jetzt allerdings schwierig).

Ansonsten nehme ich an, das du den Mailempfang (SMTP) über eine virtuelle IP konfiguriert hast?
Das sollte eigentlich problemlos funktionieren, wir haben hier eine ähnliche Konfiguration.

mfg
Harald
Bitte warten ..
Mitglied: Flobert
31.01.2012 um 18:54 Uhr
Das mit der Firmware habe ich auch schon gehört - aber erst nach dem Upgrade... Egal. Es läuft und daran liegt unser Mail Problem sicher nicht.
Jup. Konfiguration der Fortigate funktionierte jetzt ja 3 Jahre ohne Probleme. Server ist natürlich als Virtuelle IP angelegt und geroutet...
Bitte warten ..
Mitglied: harald21
01.02.2012 um 08:01 Uhr
Hallo Flobert,

ich nehme an, der Screeshot stammt aus dem Traffic Log? Kannst du bitte den kompletten "Deny"-Eintrag hier posten? (am Besten im RAW-Modus als Text).
Habt ihr evtl. eine DoS-Policy?

Alternativ kannst du ja auch versuchen den Traffic zu sniffen (am Besten mit Putty, da kannst du alles in ein Log schreiben lassen und dieses dann später in Ruhe auswerten)

diag sniff packet any 'tcp and port 25 an host 213.33.87.8' 3

mfg
Harald
Bitte warten ..
Mitglied: Flobert
01.02.2012, aktualisiert 10.04.2013
Hallo Harald,

danke für deine Antwort und deinen Tipp.
Wir bekommen heute nachmittag einen Fortianalyzer beigestellt... Wir hätten versucht den per Internet dran zu hängen (ist ja ohne Probleme möglich bei der Fortigate) leider lässt das unser Upload nicht zu... Wir konnten zum Fortianalyzer nämlich nichtmal eine Verbindung herstellen...

Die Mails aus dem Fallback werden jetzt an meine private Mail Adresse weiter geleitet - die rufe ich dann per Webmail ab und verteile diese dann im ganzen Haus... Werde das aber noch ändern und im Outlook per POP abrufen ;)
Sobald alle Mails aus dem Fallback raus sind drehen wir diesen ab.
Warum der Aufwand fragt Ihr Euch? Ich bekomme keine Liste von der Telekom in der die Absender stehen die aktuell im Fallback liegen - könnten dann den Fallback sofort löschen und ich die Absender informieren dass wir nix bekommen von denen, aber ok...


Den kompletten DENY Eintrag habe ich blöderweise nirgends mehr gespeichert - hatte das LOG zwar, aber finde es gerade nicht



edit:
Zwar schon ewig zurück, ABER das Problem war tatsächlich die Fortigate. Firmware Downgrade brachte die Rettung und die Lösung des Problems.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Firewall Fortigate 50B zugriff
gelöst Frage von RazorDevilRouter & Routing7 Kommentare

Liebe User Bin verzweifelt auf der Suche nach einer Lösung. Bei mir wurde am Freitag meine Verbindung rebootet und ...

Firewall
Fortigate Firewall lässt nur auf Server kein Email versand durch
Frage von HomehoppersFirewall5 Kommentare

Hallo Zusammen, ein Kunde hat eine Fortigate Firewall, leider ist der Versand von E-Mails aber nicht möglich. Daher hab ...

ISDN & Analoganschlüsse
Ras Verbindung über Telekom SIP
gelöst Frage von MaffiISDN & Analoganschlüsse6 Kommentare

Hallo, die Telekom zwingt meine Kunden zum Wechsel auf IP Anschlüsse, nun hat mein erster Kunde einen Sip Anschluss ...

Router & Routing
Fortigate 50B hinter Fritz Box 7490 - Side to Side VPN
gelöst Frage von teletownRouter & Routing12 Kommentare

Hallo zusammen, versuche gerade ein Side-to-Side VPN zwischen zwei Fortigates einzurichten. In der Zentrale steht eine 40C, in der ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 4 StundenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 8 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware7 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...