Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 2714 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro policy-routes für smtp

efftee
So langsam bin ich am verzweifeln :-(

Bei meiner Astaro (ASG 220 7.103)  ist ein Interface für das interne Netz, ein Interface für Web und ein Interface für email eingerichtet.
Die default-Route ist vom internen Netz zum web gesetzt.

Eigentlich, so denke ich , eine der klassischen Varianten.

Den E-Mail-Server meines Providers nutze ich als smarthost. Der mx-Eintrag zeigt derzeit auch noch auf meinen Provider, so dass ich per smtp von meinem Provider die Mails zugestellt bekomme oder besser zugestellt bekommen sollte. Denn hier fängt mein Problem an.

*web-Zugang funktioniert
*e-Mail senden funktioniert.
*e-Mail empfangen funktioniert nicht.

Die Astaro meldet sich, wenn ich sie über einen Router per telnet port 25 anspreche, einfach nicht. Die Anfragen kommen an der Astaro an, sie weigert sich aber hartnäckig zu antworten.
Bin ich direkt am Interface gelinkt, meldet sie sich freudig. 

Nun habe ich gedacht: Gut da kreiere ich eine Policy-Route und alle die per smtp kommen, werden an den DSL-Router der zu meinem E-Mail-Provider geht, verwiesen.

Klasse. Ich habs begriffen was ich wollte. Nur die Astaro nicht.
Sie verweigert mir stoisch die Antwort.

Kann mir jemand bei der Lösung diese Problems helfen? Ich habe einfach keine Ideen mehr, wo der Fehler liegt.


This thread was automatically locked due to age.
Parents
  • 0
    Hallo Manfred,

    vielen Dank, dass Du geantwortet hast.
    Die von Dir angegebenen Einstellungen habe ich alle schon genauso eingerichtet gehabt. Da doppelt besser hält, habe ich es noch einmal überprüft.
    Doch es hilft nichts :-(.

    Wenn ich direkt am Interface bin antwortet die Astaro.
    Wenn ein Router dazwischen hängt, hüllt sie sich in Schweigen.

    Ich habe mal ein tcpdump gemacht.
    Einmal über Router verbunden so gibt mir der tcpdump folgendes aus:


    08:48:06.274871 IP (tos 0x0, ttl 127, id 10739, offset 0, flags [DF], proto: TCP (6), length: 48) localhost.3561 > astaro.domain.de.smtp: S, cksum 0x1fa5 (correct), 2319949000:2319949000(0) win 32780 

    08:48:09.315965 IP (tos 0x0, ttl 127, id 10740, offset 0, flags [DF], proto: TCP (6), length: 48) localhost.3561 > astaro.domain.de.smtp: S, cksum 0x1fa5 (correct), 2319949000:2319949000(0) win 32780 


    und wenn ich direkt am Interface ergibt der Dump:


    08:51:48.151912 IP (tos 0x0, ttl 128, id 10948, offset 0, flags [DF], proto: TCP (6), length: 48) localhost.3614 > astaro.domain.de.smtp: S, cksum 0x64e6 (correct), 1163041607:1163041607(0) win 32780 

    08:51:48.152022 IP (tos 0x0, ttl  64, id 0, offset 0, flags [DF], proto: TCP (6), length: 48) astaro.domain.de.smtp: > localhost.3614: S, cksum 0x56bf (correct), 3804533901:3804533901(0) ack 1163041608 win 5840 

    08:51:48.152846 IP (tos 0x0, ttl 128, id 10949, offset 0, flags [DF], proto: TCP (6), length: 40) localhost.3614 > astaro.domain.de.smtp: ., cksum 0x1727 (correct), ack 1 win 33580

    08:51:48.156119 IP (tos 0x0, ttl  64, id 624, offset 0, flags [DF], proto: TCP (6), length: 82) astaro.domain.de.smtp: > localhost.3614: P, cksum 0x9e78 (correct), 1:43(42) ack 1 win 5840

    Es sieht also für mich so aus, als ob die Astaro den Weg für die Antwort nicht findet.

    Hab ich etwas übersehen??

    Vielen Dank 

    LG Efftee
  • 0 in reply to efftee
    Du musst eine Policy Route anlegen.
    Ich gehe mal davon dass dein Web Interface eine andere Leitung ist als dein E-Mail Interface. So kommen zwar die Daten rein, jedoch hat die Astaro keine Info über den Gateway der Mail Leitung, so dass die Daten nicht wiederrausgehen (zumindestens nicht über die Mail Leitung sondern übers Def Gateway.)

    Der Trick besteht nun darin, alles was auf der Mail IP auf der Astaro ankommt soll auch über diese wieder raus.

    Dazu folgendes:

    1. Network -> Routing -> Policy Routes

    2. New Policy Route 


    Route Type:            Gateway Route

    Source Interface:      any (kannst auch das von Mail nehmen)

    Source Network:        Die Mail-Interface IP

    Service:               any

    Destination Network:   any

    Gateway:               Der Gateway zur Mail-IP


    Nun Save und dann versuch mal ob es nun klappt.
  • 0 in reply to Schroeder
    jipiieeeeeee.

    Jetzt funkioniert es.

    Ja, meine Policy Route war falsch gesetzt. 
    Dank Schroeder's Hilfe, habe ich sie nun geändert und ....

    Ich freu mich, dass ich von überall über mail-adresse port 25 meine astaro erreiche

    Ganz herzlichen Dank
  • 0 in reply to efftee
    Hallo efftee,

    ich vermute mal, da es falsch eingestellt war, konnte es nicht funktionieren.
    Bei meiner Maschine sind keine Einträge im Policy Routing gemacht und trotzdem funktioniert der Mailempfang und -versand.

    Vielleicht kannst Du es einfach mal ausschalten, dann sollte es immer noch gehen.

    LG Manfred
Reply
  • 0 in reply to efftee
    Hallo efftee,

    ich vermute mal, da es falsch eingestellt war, konnte es nicht funktionieren.
    Bei meiner Maschine sind keine Einträge im Policy Routing gemacht und trotzdem funktioniert der Mailempfang und -versand.

    Vielleicht kannst Du es einfach mal ausschalten, dann sollte es immer noch gehen.

    LG Manfred
Children
  • 0 in reply to m.jost@paion.de
    Hallo Manfred,

    recht herzlichen Dank für Dein Posting.

    Meine Architektur ist so aufgebaut, wie Schroeder es schon beschrieben hat. Für E-Mail-Verkehr habe ich ein anderen DSL-Zugang als für den Web-Verkehr (unterschiedliche Bandbreiten, unterschiedliche Anbieter etc). Die Default-Route zeigt dabei auf das Web-Interface.

    Wann immer nun vom E-Mail-Interface eine Anfrage kam, versuchte die Astaro über das default-Gateway, also zum Web-Interface hin, zu antworten. Doch allein, dies war der falsche Weg. Die Antwort wurde am E-Mail-Interface erwartet.

    Ich habe die Policy-Route noch einmal ausgeschaltet und .......

    ... nichts. Die Astaro antwortete wieder nicht so wie es von ihr erwartet wurde. Also....,  Policy-Route wieder rein und .....

    :-) alles läuft.

    Was mich nur etwas wundert, das Ganze lief erst nach einem Reboot der Maschine . Ich war ja bisher der Meinung, Linuxmaschinen müssen für solche Dinge nicht neu gestartet werden.

    Weiterhin ist verwunderlich, dass bei der Policy-Route der Service auf "any" stehen muss. Es soll ja nur der smtp-Verkehr drüber laufen. doch sobald ich in den Service "smtp" eintrage, funktioniert es nicht mehr :-(

    Vielleicht hat da noch jemand eine Idee wieso?

    Liebe Grüße efftee
  • 0 in reply to efftee
    Das Problem sind die Rückantwortpaketportnummern. Diese sind nicht == 25 sondern irgendwas im Bereich zwischen 1-65535.

    Die Templates von Astaro sind aber eingehende Regeln. Das heißt, wenn du dir mal das Template für SMTP anschaust, dann ist der Sourceport irgendwas zwischen 1-65535 und der Destination Port 25 (ist ja logisch dein Dienst lauscht ja auf dem Port) Wenn du nun wirklich nur die Rückwantwortpakete zulassen willst und nichts anderes über diese Leitung dann musst ein neues Template: SMTP-Rueckantwort erstellen.
    Dort sollte stehen: 

    

    Name:                 SMTP-Rueckantwort

    Type of Definition:   TCP 

    Destination port:     1-65535

    Source port:          25

    Comment:              SMTP Rückantwort


    Wobei der Source Port nun angibt, dass das Paket von deiner Astaro, von deinem SMTP Dienst (Port 25) an irgendeinen Port auf der Gegenstelle zurück geht.
    Wenn du diese Regel reinnimmst ist natürlich Ping und anderes nicht mehr möglich da die ICMP Pakete wieder anders geroutet werden würden.

    Grüße

    Schroeder
Unfiltered HTML