This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2x Emailserver DNAT

Hallo,

Ich habe folgendes Problem. Ich betreibe 2x Exchange Server mit unterschiedlichen domains. Dafür habe ich 2x DNAT-Regeln eingerichtet:

DNAT
Verkehrskennzeichner: Any → SMTP → WAN [Domain1 (x.x.x.106)] (Address)
Zielübersetzung: Exchange1 → SMTP

DNAT
Verkehrskennzeichner: Any → SMTP → WAN [Domain2 (x.x.x.107)] (Address)
Zielübersetzung: Exchange2 → SMTP

Der Emailversand der beiden Exchangeserver untereinander funktioniert nicht.
Eigentlich müsste doch der Exchange1 seine E-Mails über die x.x.x.106 raus ins WAN schicken und dann über die IP x.x.x.107 wieder reinkommen um die E-Mail beim Exchange2 abzulegen. Funktioniert aber leider nicht. Beide Exchangeserver können von anderen E-Mailserver empfangen, nur nicht diese beiden untereinander. Domain1.com kann Domain2.com keine E-Mail schicken und umgekehrt. Hat jemand eine Idee woran das liegen könnte?

Gruß
Thomas



This thread was automatically locked due to age.
  • Hallo,

     

    oft werden Domain intern anders aufgelöst.

    Wenn du von Exchange1 einen nslookup auf MX von Domain2 machst, sollte WAN2 rauskommen.

    Nun ein Telnet auf WAN2 (IP) von Exchange 1 aufbauen.

    Funktioniert das?

     

    Gruß

    __________________________________________________________________________________________________________________

  • Da könnte das Problem liegen. Der A-Record von domain1.com zeigt nicht auf die WAN-IP da wir eine Webseite außerhalb der Firma laufen haben. mail.domain1.com zeigen auf die WAN-IP.

    Ich hatte aber zum Testen dafür gesorgt dass die IP von Domain1.com auf die WAN-Schnittstelle zeigt. Telnet ging nicht. Pingen konnte ich. Komischerweise funktioniert alles mit meiner alten Firewall die gerade wieder läuft.

     

    Gruß

    Thomas

  • Hallo,

     

    Bitte den MX überprüfen.

    https://de.wikipedia.org/wiki/MX_Resource_Record

     

    Siehst du während Telnet im Packetfilter drops?

     

    Gruß

    __________________________________________________________________________________________________________________

  • Was an dieser Config auf alle Fälle fehlt ist die andere Richtung, SNAT.

    Exchange1 -> SMTP -> Any über "WAN [Domain1 (x.x.x.106)] (Address)"
    Exchange2 -> SMTP -> Any über "WAN [Domain2 (x.x.x.107)] (Address)"

    Sonst greift das Masquerading und das geht i.d.R. über die Adresse, die das Default Gateway der UTM hat.
    Wenn Du mehrere Default Gateways hast dann musst Du mit Multipath Regeln den Traffic entsprechend lenken, da sonst der Traffic mal dort und mal dort raus geht.

    Damit sich die beiden Server kennen wirst Du vermutlich Split-DNS Configs setzen müssen, um "FQDN MX-Record von Exchange1/2" über die lokalen IP-Adressen anzusprechen.
    WENN über extern funktioniert, dann muss die externe Adressierung der MX-Records sauber sein.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • mx-Eintrag ist korrekt. Telnet baut keine Verbindung auf.

  • Habe es mit Full NAT hinbekommen. Spricht etwas dagegen?

     

    Full NAT
    Verkehrskennzeichner: Any → SMTP → WAN [domain1 (x.x.x.106)] (Address)
    Quellübersetzung: Internal Firma1 (Address)
    Zielübersetzung: Exchange1 → SMTP

    Full NAT
    Verkehrskennzeichner: Any → SMTP → WAN [domain2 (x.x.x.107)] (Address)
    Quellübersetzung: Internal Firma2 (Address)
    Zielübersetzung: Exchange2 → SMTP

     

    Mit zusätzlichem SNAT habe ich es noch nicht probiert.

     

    Gruß

    Thomas

  • Der Weg nach draußen über die richtige Firmen IP funktioniert. Die beiden Firmen haben eine eigene interne Schnittstelle bekommen.

     

    Gruß

    Thomas

  • Full NAT + SNAT macht für dieselbe Maschine+Service ja auch keinen Sinn.

    Ich teile es gerne lieber auf in eingehend (DNAT) und ausgehend (SNAT). Wenn Du eher aus der Cisco ASA-Richtung kommst ist Full NAT vermutlich logischer, denn die statics unter Cisco IOS funktionieren prinzipiell genau so. Im Falle von SMTP ist Full NAT durchaus sinnvoll, bei ActiveSync beispielsweise nicht unbedingt, da reicht die eingehende Regel (DNAT) auch schon aus.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Update:

    Mit Full Nat funktioniert smtp. Die beiden Exchange Server können sich gegenseitig E-Mails schicken nachdem ich einen internen DNS-Eintrag geändert habe.

     

    OWA funktioniert auch mit einer HTTPS DNAT-Regel. Für IMAP und IMAP SSL habe ich noch 2x DNAT-Regeln.


    Ein Problem habe ich noch. Unsere iPhones können sich nicht mehr am Exchange anmelden. Habe ich noch eine DNAT-Regel vergessen??

     

    Gruß

    Thomas

  • Auf den iPhones bekomme ich einen Accountfehler :-(