Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mailversand wird über falschen GW versendet

Hallo zusammen,

ich habe hinter der SophosFW mit 3 Uplinks einen Mailserver sitzen.

Port2: DSL

Port3: Kabel (feste IP)

Port4: LTE (backup)

Die Mails sollen über Port3 versendet werden, werden aber über Port2 versendet.

Eingerichtet sind NAT und SD-WAN beschrieben wie in Artikel Set up MTA mode with multiple WAN or alias IP addresses - Sophos Firewall

Irgendwie verzweifle ich grade an den Einstellung und hoffe einer von euch kann mir einen TIP geben was ich falsch mache.

Grüße



This thread was automatically locked due to age.
Parents
  • Hallo ist ganz einfach :) habe ich am Anfang auch dran gehangen.

    1. Lege deine ÖFFENLICHEN IP-Adressen als IP HOST an  z.B  Name -> Feste IP Telekom -> dann die IP ein tragen

    2. SD-WAN Routing 1 neue Regel erstellen  1 das Netz rein wo der Exchange drin ist, dann den Exchange selber rein Dienste entweder auf beliebig lassen oder wenigstens SMTP SMTPs und HTTPS rein

    Diese Regel immer auf POS1 !! Ganz nach oben, wenn du den MTA benutzt muss überall beliebig rein und auch da nach ganz oben schieben. Wichtig ist unten das Gateway anzugeben welches benutzt werden soll!

    3. SNAT Regel anlegen! hier kannst du dann auch die extrener IP aussuchen die gesendet werden soll, falls der Anschluss mehr als öffentliche iP hat. Hast du mehr als 1 öffentliche IP an einem Anschluss musst du diese IPs unter Netzwerk auch als Alis hinzufügen.

    4. jetzt kommt die Firewall Regel, diese könnte so aussehen wenn du es dediziert machen möchtest, eine allgemeine Firewall Regel geht natürlich auch!

    Ich habe das jetzt mal als "Qicky" hier aufgelistet, ich hoffe du kommst zurecht.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Reply
  • Hallo ist ganz einfach :) habe ich am Anfang auch dran gehangen.

    1. Lege deine ÖFFENLICHEN IP-Adressen als IP HOST an  z.B  Name -> Feste IP Telekom -> dann die IP ein tragen

    2. SD-WAN Routing 1 neue Regel erstellen  1 das Netz rein wo der Exchange drin ist, dann den Exchange selber rein Dienste entweder auf beliebig lassen oder wenigstens SMTP SMTPs und HTTPS rein

    Diese Regel immer auf POS1 !! Ganz nach oben, wenn du den MTA benutzt muss überall beliebig rein und auch da nach ganz oben schieben. Wichtig ist unten das Gateway anzugeben welches benutzt werden soll!

    3. SNAT Regel anlegen! hier kannst du dann auch die extrener IP aussuchen die gesendet werden soll, falls der Anschluss mehr als öffentliche iP hat. Hast du mehr als 1 öffentliche IP an einem Anschluss musst du diese IPs unter Netzwerk auch als Alis hinzufügen.

    4. jetzt kommt die Firewall Regel, diese könnte so aussehen wenn du es dediziert machen möchtest, eine allgemeine Firewall Regel geht natürlich auch!

    Ich habe das jetzt mal als "Qicky" hier aufgelistet, ich hoffe du kommst zurecht.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Children
  • Hi Patrick,

    das hat mich schon ein Stück weiter gebracht.

    Nur leider funktioniert es nicht immer, die Firewall nimmt immer wieder sporadisch den falschen Port.

    Habe jetzt mal mehrere Mails rausgesendet, einmal an Google (geht über die Feste IP), einmal an ein externes unternehmen da gehen die Mails nicht aus dem Spool raus und es stehen diese Fehler drin: R=default_my_route T=remote_smtp defer (110): Connection timed out DT = 15s und beim anderen: R=default_my_route T=remote_smtp defer (-53): DT=0.000s: retry time not reached for any host for und wenn ich an meinen Chef eine Mail schreibe, andere Domäne, schickt er über die Dynamische IP und wird per RBL abgewiesen.

    Ich hab irgendwie nen Knoten im Hirn, vor allem es lief ja über ein Jahr -.-

  • Hi Andy ich versuch es nochmal besser Aufzulisten in Form von Bildern und fange auch ganz doof von der Pike an, daher bitte nicht wunder!

    1. Wir haben das Netzwerkkabel wie in meinem Bespiel mit Port 7 verbunden. Die Erste Feste IP von dem Anschluss wird genau so angelegt wie vom Provider übermittelt. In meinem Fall habe ich 5 Öffentliche IP-Adressen (mn sieht auf dem Bild nur 4).Also haben wir ein Subnet von 255.255.255.248. Damit ist der Anschluss mit der ersten IP eingerichtet. Die weitern IPs fügen wir über die Funktion "Alias" hinzu, hier wird immer 255.255.255.255 verwendet, da wir aus sicht der Sophos einzelne IPs verwenden.

    2. HOST und Dienste

        Hier legen wir alle öffentlichen IP-Adressen als IP-Host an. In meinem fall nenne ich das Objekt aus Orientierungsgründen
        Providername -  IP Adresse.

    3.)  Routing

    Erstelle bitte mal eine Regel die so aussieht und schiebe diese ganz umbedingt bis nach GANZ oben. Diese Regel besagt, dass alles von allen Systemen an SMTP und SMTPs über dieses gateway geht (ausgehend)! Das Reicht erstmal es geht erstmal nur um den Mailversand! Hast du nur eine einzige Feste IP, ist diese Einstellung + SNAT und Firewallregel LAN to WAN schon fast ausreichend. Aber wir tuen so als wären es mehr als eine! Daher gehts noch weiter. An der stelle sagt erstmal im Prinzip nur ALLES an SMTP/SMTPS geht über dieses gateway! (Pakete in gewissen Richtungen schubsen), Ganuliert wird dies aber erst bei einer SNAT Regel!

    4.

    Dann erstellst du erstmal eine Firewal Regel die dem Exchange erlaubt online zu gehen, dies kannst du wie gesagt aber auch mit einer Allgemeinen Firewall regel bewirken. Wenn du diese einschränken willst erstmal, sieht die ausgehende in etwa so aus.

    Natürlich könntest du die Dienste ausgehend auch beschränken, auf SMTP/SMTPS, HTTPS, HTTP, DNS etc. aber bis alles läuft mach die Regel so, oder über eine offene allgemeine bestehende Regel! Diese regel auch ganz nach oben schieben, generell ist zu beachten das alle Server als IP HOST angelegt sind in der Fire damit diese auch auszuwählen sind für Freigaben oder Verbote!

    5.

    SNAT Regel

    erstelle eine SNAT Regel, hier ist der Moment gekommen wo ausgewählt werden kann, mit welcher öffentlichen IP der EX raus gehen soll.

    Rechts oben unter Originale Quelle, da sichst du die öffentliche IP herraus die du zuvor unter hOST und Dienste angelegt hast.

    Jetzt sendet der Exchange die gewünschte IP raus! Aber auch NUR für SMTP dies haben wir zuvor in der DNAT Rule festgelegt! Das heisst wenn du auf ping.eu geht oder www.wieistmeineip.de wird dir im HTTPS Browserfenster unter umständen eine andere IP angezeigt, wenn du mehrere Gateways hast. Fügst du in der SD-WAN regel noch HTTPS hinzu wird dir bei der IP-Abfrage im Browser die angeziegt, die der EX auch für SMTP verwendet.

    6.

    Eingehende Regel DNAT

    Jetzt musst du zum mail-empfang auch Port 25 frei geben.

    1.

    Firewall Regel anlegen.

    2. DNAT Regel

    Jetzt hättest du den Mail-Empfang ein und ausgehend als Legency für SMTP eingerichtet, wenn du den OWA etc brauchst, muss HTTPS eingehend auch nich in der DNAT regel und in der Firewall regel angegeben werden!

    Ich habe dir gerne diesen Weg geziegt, aber ich muss wirklich drauf hinweisen, BITTE verwende den MTA und nicht den Legency Mode!

    PS:Wer Rechtschreibfehler findet darf diese behalten, war ein lange tag und bin etwas geschlaucht Slight smile

    LG Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Was steht noch im Mail Header drinne Outlook -> die entprechende Mail öffnen -> Datei -> Informationen -> Eigenschaften.

    An der Gewichtung  der Gateways hast du aber nichts umgestellt?

    Nachtrag: Stimmt die Routing Reihenfolge??

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Ich hab den Part Legacy ausgelassen. Empfang funktioniert ohne Probleme, OWA läuft per WAF, alles andere wäre zu strange

    Hier mal meine Settings:

    Netzwerk:

    Gateways:

    SD-WAN:

    Firewall Regel

    MTA-Firewall Regel

    S-NAT

    und SD-WAN Routing

    Hoffe du kannst alles erkennen. Wenn ich wirklich from scratch die Einstellungen machen soll, mach ich dass. Aber vielleicht siehst du hier schon einen Fehler

    Im Header steht die dynamische IP.

    LG

    Andi

  • Guten Morgen Andi,

    das sieht eigentlich alles gut aus, ich würde nur die SD-WAN mal wirklich auf "ANY ALL" stellen und bei Dienste SMTP/SMTPS reinpacken und dann ganz nach oben. Du kannst die SD-WAN Regel auch kopieren und tauschst SMTP gegen HTTPS aus und legst bei Quellnetzwerke einen test PC oder Testserver rein, wenn du dann auf https://ping.eu/ gehste, sollte dir im beste fall die die gewünschte IP angezeigt werden (denk an die SNAT Regel für das Testsystem, wenn du den HTTPS Test machen möchtest).

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Moin,

    hab ich getestet. Gleiches Ergebnis.

    Vom Exchange wie auch von dem Test Server wird die richtige IP erkannt, die Daten laufen da über die Schnittstelle. Sobald ich aber Mails versende, werden die falsch vermittelt.

    Habe momentan einen Smarthost am laufen, ist zwar nicht die Lösung aber werde weiter schauen ob der Hase im Pfeffer liegt.

    P.S. Top Hilfestellung von dir, schonmal Danke dafür

  • der weg mit sd-wan routing ist schon der richtige.

    im mta mode initiiert die xgs die verbindung für den mailversand ja selber.

    habt ihr das cli kommando für "verwende sd-wan routing auch für interne dienste" aktiviert?

    sorry, kann das genaue kommando dazu gerade nicht selber raussuchen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Erst mal vielen Dank für die Unterstützung.

    Patrick hat mir angeboten, dass wir mal zusammen auf das System schauen und die Einstellungen überprüfen.

    Alle Konfigurationen in meine System waren richtig, bis auf EINE.


    Der Fehler war, ich hatte nicht beachtet, dass ich eine DNAT und eine SNAT Regeln für den Mailversand brauche.

    Nachdem wir zusätzlich zu der AUTO MTA DNAT Regel noch die SNAT Regel erstellt hatten, hat der MTA auch die richtigen Routen gewählt.

    Noch einmal vielen Dank an Patrick für seine Unterstützung.

    LG an alle

  • Dann markier' doch Patricks Antwort als "GRÜN", dann wird die Frage auch als "gelöst" markiert Dies hilft allen, die nach Lösungen für ihr Problem suchen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.