Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sophos: Exchange 2013 auf SMTP Port 25 nicht erreichbar

Frage Sicherheit Firewall

Mitglied: DaPedda

DaPedda (Level 1) - Jetzt verbinden

30.08.2014, aktualisiert 07.09.2014, 4143 Aufrufe, 15 Kommentare

Servus zusammen,

ich habe folgendes Problem: von der Sophos UTM 9 ist der neue Exchange 2013 auf dem Port 25 nicht erreichbar, jedoch auf den Ports 465 und 587 (ermittelt durch telnet von der UTM aus). Den alten Exchange 2007 erreiche ich aber schon über SMTP.

Rahmenbedingungen:
UTM im Netz 192.168.101.0/24
Exchange 2007 im Netz 192.168.101.0/24
Exchange 2013 im Netz 192.168.4.0/23

Statische Route zum Exchange 2013 auf UTM ist gesetzt (mittels Route geprüft). Das Gateway ist ein VPN-Tunnel. Exchange lässt sich von der UTM aus anpingen und auch auf diverse Ports per telnet verbinden.

Gegenkontrolle:
aus dem Netz 192.168.0.0/24 konnte ich erfolgreich den Exchange 2013 per telnet auf dem Port 25 erreichen. Ebenso aus einem Netz 192.168.93.0/24.

Wo bitte wird der Port 25 zum neuen Exchange 2013 von der Sophos aus geblockt? Ich habe alle Firewallregeln überprüft, ebenso die NAT-Einstellungen und keinen Hinweis auf einen Fehler gefunden.

Wäre um jeden Tip von Euch dankbar.

Viele Grüße,

Peter
Mitglied: Robobob
30.08.2014 um 15:29 Uhr
Hi,

wie sehen deine NAT Regeln aus?

FULL NAT??

Und auch unter Advanced: Rule applies to IPSec Packets?
Bitte warten ..
Mitglied: DaPedda
30.08.2014 um 15:38 Uhr
Hi,

ich brauch keine NAT-Regeln für den internen Verkehr, nur für den externen von und zur Sophos.

Man beachte: auf den Zielserver erreiche ich von der Sophos aus jeden Port, nur den 25er nicht, da kommt dann Connection time out. Allerdings bringt die Gegenprobe, das ich den Port 25 auf den Zielserver aus anderen Subnetze erreiche.

Gruß Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
30.08.2014 um 23:47 Uhr
Moin,

Sniff mal per wireshark mit, ob die Pakete die utm verlassen und beim Exchange ankommen.

Lks
Bitte warten ..
Mitglied: funk-dept
31.08.2014, aktualisiert um 23:50 Uhr
Hallo Peter!

Wie sieht die Konfiguration des Standard SMTP Empfangsconnectors (Default Frontend) auf dem Exchange 2013 Server aus ? Die Bereichsdefinition wären interessant...


Gruß,


Benjamin
Bitte warten ..
Mitglied: DaPedda
01.09.2014 um 09:16 Uhr
Grüß Dich Benjamin,

huier habe ich die Voreinstellungen rausgechmissen und die Adresse der UTM eingetragen sowie die IP der Netzwerkschnittstelle.
Aber das hat ja nix damit zu tun, das ich von allen anderen Subnetze den Port erreiche, nur von der UTM aus nicht

Gruß Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
01.09.2014 um 10:31 Uhr
Zitat von DaPedda:

Aber das hat ja nix damit zu tun, das ich von allen anderen Subnetze den Port erreiche, nur von der UTM aus nicht

Deswegen sollte Du prüfen, ob die Pakete überhaupt die UTM verlassen udn an dem exchange ankommen. z.B. mt Wireshark oder einem anderen sniffer.

lks
Bitte warten ..
Mitglied: DaPedda
01.09.2014, aktualisiert um 15:05 Uhr
Servus,

mit Wireshark geprüft: es gehen keine Pakete über den Port 25 an den Zielserver raus. Die Gegenkentrolle über den Port 465 war erfolgreich. Allerdings gehen Pakete von der UTM an einen anderen Exchange sehr wohl raus.

DaPedda
Bitte warten ..
Mitglied: Lochkartenstanzer
01.09.2014 um 15:08 Uhr
Zitat von DaPedda:

mit Wireshark geprüft: es gehen keine Pakete über den Port 25 an den Zielserver raus. Die Gegenkentrolle über den
Port 465 war erfolgreich. Allerdings gehen Pakete von der UTM an einen anderen Exchange sehr wohl raus.

Dann hast du in der UTM offensichtlich irgendwo eine Regel, die diese Pakete blockiert. Da ich die Sophos UTM leider nicht kenne, kann ich dir nur allgemeine Ratschläge geben:

  • Prüf Routing
  • Prüf ob für SMTP irgendwelche transparente proxies aktiv sind, die das blocken könnten.
  • prüf die Firewallregelen
  • schalte ggf. die logging-stufe auf debug und schau, ob die UTM irgendetwas über die SMTP-Pakete sagt.

lks
Bitte warten ..
Mitglied: funk-dept
01.09.2014 um 23:37 Uhr
Ok, wie sieht deine Paketfilter Regel für smtp Richtung Exchange 2013 Server aus?
Kenne die UTM recht gut da wir sie auch an einigen Standorten im Einsatz haben.


Gruß
Benjamin
Bitte warten ..
Mitglied: DaPedda
04.09.2014 um 10:01 Uhr
Servus Benjamin,

habe eine Regel Internal Adress (die Firewall) > SMTP > any

Alleine damit sollte es doch funktionieren.

Gruß Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 04.09.2014, aktualisiert 07.09.2014
Zitat von DaPedda:

habe eine Regel Internal Adress (die Firewall) > SMTP > any

Alleine damit sollte es doch funktionieren.

Es sei denn, voher gobt es eine andere Regel, die das peket abfängt. die Reihenfolge der regeln ist i.d.R. wichtig.

lks
Bitte warten ..
Mitglied: funk-dept
04.09.2014 um 12:52 Uhr
Wird auf die quell Adresse (dem client von dem du per Telnet an den Exchange willst) nat angewendet? Ansonsten gib als quell Adresse in dem Paket Filter mal explizit die ursprüngliche IP an! Richte einfach den Host als network Definition (Host) ein. Du kannst in den Paket Filter Regeln unter Advanced ganz unten auch anklicken dass die Regeln bei Anwendung gelogged werden. Du findest dann im Log "firewall".

Sorry für groß und Kleinschreibung. Mein ipad will nicht so wie ich gerne hätte.


Gruß

Benjamin
Bitte warten ..
Mitglied: DaPedda
04.09.2014 um 12:56 Uhr
Leute.... ich hab die Lösung:

es war eine aktivierte DNAT-Regel die hier zwischen gefunkt hat. Diese deaktiviert, externe und interne Mailversand getetstet, MX-Einträge gecheckt,... funktioniert alles.

Ich Danke Euch sehr für Eure hilfreiche Hinweise. Schönen Tag noch.

Gruß,

Peter
Bitte warten ..
Mitglied: Robobob
04.09.2014, aktualisiert um 13:22 Uhr
Heißt, du hast meinen ersten Beitrag nicht beachtet...
Bitte warten ..
Mitglied: Lochkartenstanzer
04.09.2014 um 13:23 Uhr
Zitat von DaPedda:

es war eine aktivierte DNAT-Regel die hier zwischen gefunkt hat.

Sowas in der Art hatten wir ja schon vermutet.

Ich Danke Euch sehr für Eure hilfreiche Hinweise. Schönen Tag noch.

Gern geschehen.

Dann noch einen Haken dran. udn alles wird gut.


lks
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(1)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (26)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Brauche Hilfe: Mit (schnellem) WLAN Strecke überbrücken (23)

Frage von pierrehansen zum Thema LAN, WAN, Wireless ...

Basic
Programmierung von Windows Programmen (10)

Frage von Ghost108 zum Thema Basic ...