2x Emailserver DNAT

Was an dieser Config auf alle Fälle fehlt ist die andere Richtung, SNAT.

Exchange1 -> SMTP -> Any über "WAN [Domain1 (x.x.x.106)] (Address)"
Exchange2 -> SMTP -> Any über "WAN [Domain2 (x.x.x.107)] (Address)"

Sonst greift das Masquerading und das geht i.d.R. über die Adresse, die das Default Gateway der UTM hat.
Wenn Du mehrere Default Gateways hast dann musst Du mit Multipath Regeln den Traffic entsprechend lenken, da sonst der Traffic mal dort und mal dort raus geht.

Damit sich die beiden Server kennen wirst Du vermutlich Split-DNS Configs setzen müssen, um "FQDN MX-Record von Exchange1/2" über die lokalen IP-Adressen anzusprechen.
WENN über extern funktioniert, dann muss die externe Adressierung der MX-Records sauber sein.

Habe es mit Full NAT hinbekommen. Spricht etwas dagegen?

Full NAT
Verkehrskennzeichner: Any → SMTP → WAN [domain1 (x.x.x.106)] (Address)
Quellübersetzung: Internal Firma1 (Address)
Zielübersetzung: Exchange1 → SMTP

Full NAT
Verkehrskennzeichner: Any → SMTP → WAN [domain2 (x.x.x.107)] (Address)
Quellübersetzung: Internal Firma2 (Address)
Zielübersetzung: Exchange2 → SMTP

Mit zusätzlichem SNAT habe ich es noch nicht probiert.

Gruß

Thomas

Full NAT + SNAT macht für dieselbe Maschine+Service ja auch keinen Sinn.

Ich teile es gerne lieber auf in eingehend (DNAT) und ausgehend (SNAT). Wenn Du eher aus der Cisco ASA-Richtung kommst ist Full NAT vermutlich logischer, denn die statics unter Cisco IOS funktionieren prinzipiell genau so. Im Falle von SMTP ist Full NAT durchaus sinnvoll, bei ActiveSync beispielsweise nicht unbedingt, da reicht die eingehende Regel (DNAT) auch schon aus.

Update:

Mit Full Nat funktioniert smtp. Die beiden Exchange Server können sich gegenseitig E-Mails schicken nachdem ich einen internen DNS-Eintrag geändert habe.

OWA funktioniert auch mit einer HTTPS DNAT-Regel. Für IMAP und IMAP SSL habe ich noch 2x DNAT-Regeln.

Ein Problem habe ich noch. Unsere iPhones können sich nicht mehr am Exchange anmelden. Habe ich noch eine DNAT-Regel vergessen??

Gruß

Thomas

Auf den iPhones bekomme ich einen Accountfehler :-(

Probier mal die Iphones ohne internes WLAN über LTE verbinden zu lassen.

Falls es dann geht musst du im internen DNS den Host der bei dir im OWA drin ist überlagern mit der internen Adresse des Exchange.

So hab ich es gemacht als unsere IPhones sich nicht connecten konnten intern.

Hallo Zusammen.

Es funktioniert jetzt alles wie es soll. Ich hatte folgende Probleme:

1. Falscher DNS-Eintrag im internen Netzwerk

2. iOS10 iPhones haben keine Probleme, nur die iOS11 Beta6 iPhones können keine E-Mail mehr abholen

SMTP habe ich als Full NAT laufen und die anderen Exchange Dienste als DNAT. Damit scheint es zu funktionieren

Danke für eure Hilfe!

Gruß
Thomas

Hallo Thomas,

das funktioniert zwar so.. aber ist auch gefährlich.

Du leitest alles direkt an den Exchange weiter ohne das du deine Firewall Funktionen nutzt.

Die UTM bietet dir eine WAF (Web Application Firewall) in der wird der Exchange nochmal vor Angriffen geschützt (OWA usw.).

Es ist dringend zu empfehlen die WAF Funktion zu nutzen für die Bereitstellung der internen Exchange-Dienste.

Hallo Thomas,

Erstmal herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

See Accessing Internal or DMZ Webserver from Internal Network which validates your use of a Full NAT.  In this situation, I would put the multiple domains together in a single Exchange environment so that you don't have the problem you're having.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Thomas,

Erstmal herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

See Accessing Internal or DMZ Webserver from Internal Network which validates your use of a Full NAT.  In this situation, I would put the multiple domains together in a single Exchange environment so that you don't have the problem you're having.

MfG - Bob (Bitte auf Deutsch weiterhin.)