Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mailversand wird über falschen GW versendet

Hallo zusammen,

ich habe hinter der SophosFW mit 3 Uplinks einen Mailserver sitzen.

Port2: DSL

Port3: Kabel (feste IP)

Port4: LTE (backup)

Die Mails sollen über Port3 versendet werden, werden aber über Port2 versendet.

Eingerichtet sind NAT und SD-WAN beschrieben wie in Artikel Set up MTA mode with multiple WAN or alias IP addresses - Sophos Firewall

Irgendwie verzweifle ich grade an den Einstellung und hoffe einer von euch kann mir einen TIP geben was ich falsch mache.

Grüße



This thread was automatically locked due to age.
Parents
  • Hallo ist ganz einfach :) habe ich am Anfang auch dran gehangen.

    1. Lege deine ÖFFENLICHEN IP-Adressen als IP HOST an  z.B  Name -> Feste IP Telekom -> dann die IP ein tragen

    2. SD-WAN Routing 1 neue Regel erstellen  1 das Netz rein wo der Exchange drin ist, dann den Exchange selber rein Dienste entweder auf beliebig lassen oder wenigstens SMTP SMTPs und HTTPS rein

    Diese Regel immer auf POS1 !! Ganz nach oben, wenn du den MTA benutzt muss überall beliebig rein und auch da nach ganz oben schieben. Wichtig ist unten das Gateway anzugeben welches benutzt werden soll!

    3. SNAT Regel anlegen! hier kannst du dann auch die extrener IP aussuchen die gesendet werden soll, falls der Anschluss mehr als öffentliche iP hat. Hast du mehr als 1 öffentliche IP an einem Anschluss musst du diese IPs unter Netzwerk auch als Alis hinzufügen.

    4. jetzt kommt die Firewall Regel, diese könnte so aussehen wenn du es dediziert machen möchtest, eine allgemeine Firewall Regel geht natürlich auch!

    Ich habe das jetzt mal als "Qicky" hier aufgelistet, ich hoffe du kommst zurecht.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hi Patrick,

    das hat mich schon ein Stück weiter gebracht.

    Nur leider funktioniert es nicht immer, die Firewall nimmt immer wieder sporadisch den falschen Port.

    Habe jetzt mal mehrere Mails rausgesendet, einmal an Google (geht über die Feste IP), einmal an ein externes unternehmen da gehen die Mails nicht aus dem Spool raus und es stehen diese Fehler drin: R=default_my_route T=remote_smtp defer (110): Connection timed out DT = 15s und beim anderen: R=default_my_route T=remote_smtp defer (-53): DT=0.000s: retry time not reached for any host for und wenn ich an meinen Chef eine Mail schreibe, andere Domäne, schickt er über die Dynamische IP und wird per RBL abgewiesen.

    Ich hab irgendwie nen Knoten im Hirn, vor allem es lief ja über ein Jahr -.-

  • Hi Andy ich versuch es nochmal besser Aufzulisten in Form von Bildern und fange auch ganz doof von der Pike an, daher bitte nicht wunder!

    1. Wir haben das Netzwerkkabel wie in meinem Bespiel mit Port 7 verbunden. Die Erste Feste IP von dem Anschluss wird genau so angelegt wie vom Provider übermittelt. In meinem Fall habe ich 5 Öffentliche IP-Adressen (mn sieht auf dem Bild nur 4).Also haben wir ein Subnet von 255.255.255.248. Damit ist der Anschluss mit der ersten IP eingerichtet. Die weitern IPs fügen wir über die Funktion "Alias" hinzu, hier wird immer 255.255.255.255 verwendet, da wir aus sicht der Sophos einzelne IPs verwenden.

    2. HOST und Dienste

        Hier legen wir alle öffentlichen IP-Adressen als IP-Host an. In meinem fall nenne ich das Objekt aus Orientierungsgründen
        Providername -  IP Adresse.

    3.)  Routing

    Erstelle bitte mal eine Regel die so aussieht und schiebe diese ganz umbedingt bis nach GANZ oben. Diese Regel besagt, dass alles von allen Systemen an SMTP und SMTPs über dieses gateway geht (ausgehend)! Das Reicht erstmal es geht erstmal nur um den Mailversand! Hast du nur eine einzige Feste IP, ist diese Einstellung + SNAT und Firewallregel LAN to WAN schon fast ausreichend. Aber wir tuen so als wären es mehr als eine! Daher gehts noch weiter. An der stelle sagt erstmal im Prinzip nur ALLES an SMTP/SMTPS geht über dieses gateway! (Pakete in gewissen Richtungen schubsen), Ganuliert wird dies aber erst bei einer SNAT Regel!

    4.

    Dann erstellst du erstmal eine Firewal Regel die dem Exchange erlaubt online zu gehen, dies kannst du wie gesagt aber auch mit einer Allgemeinen Firewall regel bewirken. Wenn du diese einschränken willst erstmal, sieht die ausgehende in etwa so aus.

    Natürlich könntest du die Dienste ausgehend auch beschränken, auf SMTP/SMTPS, HTTPS, HTTP, DNS etc. aber bis alles läuft mach die Regel so, oder über eine offene allgemeine bestehende Regel! Diese regel auch ganz nach oben schieben, generell ist zu beachten das alle Server als IP HOST angelegt sind in der Fire damit diese auch auszuwählen sind für Freigaben oder Verbote!

    5.

    SNAT Regel

    erstelle eine SNAT Regel, hier ist der Moment gekommen wo ausgewählt werden kann, mit welcher öffentlichen IP der EX raus gehen soll.

    Rechts oben unter Originale Quelle, da sichst du die öffentliche IP herraus die du zuvor unter hOST und Dienste angelegt hast.

    Jetzt sendet der Exchange die gewünschte IP raus! Aber auch NUR für SMTP dies haben wir zuvor in der DNAT Rule festgelegt! Das heisst wenn du auf ping.eu geht oder www.wieistmeineip.de wird dir im HTTPS Browserfenster unter umständen eine andere IP angezeigt, wenn du mehrere Gateways hast. Fügst du in der SD-WAN regel noch HTTPS hinzu wird dir bei der IP-Abfrage im Browser die angeziegt, die der EX auch für SMTP verwendet.

    6.

    Eingehende Regel DNAT

    Jetzt musst du zum mail-empfang auch Port 25 frei geben.

    1.

    Firewall Regel anlegen.

    2. DNAT Regel

    Jetzt hättest du den Mail-Empfang ein und ausgehend als Legency für SMTP eingerichtet, wenn du den OWA etc brauchst, muss HTTPS eingehend auch nich in der DNAT regel und in der Firewall regel angegeben werden!

    Ich habe dir gerne diesen Weg geziegt, aber ich muss wirklich drauf hinweisen, BITTE verwende den MTA und nicht den Legency Mode!

    PS:Wer Rechtschreibfehler findet darf diese behalten, war ein lange tag und bin etwas geschlaucht Slight smile

    LG Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Reply
  • Hi Andy ich versuch es nochmal besser Aufzulisten in Form von Bildern und fange auch ganz doof von der Pike an, daher bitte nicht wunder!

    1. Wir haben das Netzwerkkabel wie in meinem Bespiel mit Port 7 verbunden. Die Erste Feste IP von dem Anschluss wird genau so angelegt wie vom Provider übermittelt. In meinem Fall habe ich 5 Öffentliche IP-Adressen (mn sieht auf dem Bild nur 4).Also haben wir ein Subnet von 255.255.255.248. Damit ist der Anschluss mit der ersten IP eingerichtet. Die weitern IPs fügen wir über die Funktion "Alias" hinzu, hier wird immer 255.255.255.255 verwendet, da wir aus sicht der Sophos einzelne IPs verwenden.

    2. HOST und Dienste

        Hier legen wir alle öffentlichen IP-Adressen als IP-Host an. In meinem fall nenne ich das Objekt aus Orientierungsgründen
        Providername -  IP Adresse.

    3.)  Routing

    Erstelle bitte mal eine Regel die so aussieht und schiebe diese ganz umbedingt bis nach GANZ oben. Diese Regel besagt, dass alles von allen Systemen an SMTP und SMTPs über dieses gateway geht (ausgehend)! Das Reicht erstmal es geht erstmal nur um den Mailversand! Hast du nur eine einzige Feste IP, ist diese Einstellung + SNAT und Firewallregel LAN to WAN schon fast ausreichend. Aber wir tuen so als wären es mehr als eine! Daher gehts noch weiter. An der stelle sagt erstmal im Prinzip nur ALLES an SMTP/SMTPS geht über dieses gateway! (Pakete in gewissen Richtungen schubsen), Ganuliert wird dies aber erst bei einer SNAT Regel!

    4.

    Dann erstellst du erstmal eine Firewal Regel die dem Exchange erlaubt online zu gehen, dies kannst du wie gesagt aber auch mit einer Allgemeinen Firewall regel bewirken. Wenn du diese einschränken willst erstmal, sieht die ausgehende in etwa so aus.

    Natürlich könntest du die Dienste ausgehend auch beschränken, auf SMTP/SMTPS, HTTPS, HTTP, DNS etc. aber bis alles läuft mach die Regel so, oder über eine offene allgemeine bestehende Regel! Diese regel auch ganz nach oben schieben, generell ist zu beachten das alle Server als IP HOST angelegt sind in der Fire damit diese auch auszuwählen sind für Freigaben oder Verbote!

    5.

    SNAT Regel

    erstelle eine SNAT Regel, hier ist der Moment gekommen wo ausgewählt werden kann, mit welcher öffentlichen IP der EX raus gehen soll.

    Rechts oben unter Originale Quelle, da sichst du die öffentliche IP herraus die du zuvor unter hOST und Dienste angelegt hast.

    Jetzt sendet der Exchange die gewünschte IP raus! Aber auch NUR für SMTP dies haben wir zuvor in der DNAT Rule festgelegt! Das heisst wenn du auf ping.eu geht oder www.wieistmeineip.de wird dir im HTTPS Browserfenster unter umständen eine andere IP angezeigt, wenn du mehrere Gateways hast. Fügst du in der SD-WAN regel noch HTTPS hinzu wird dir bei der IP-Abfrage im Browser die angeziegt, die der EX auch für SMTP verwendet.

    6.

    Eingehende Regel DNAT

    Jetzt musst du zum mail-empfang auch Port 25 frei geben.

    1.

    Firewall Regel anlegen.

    2. DNAT Regel

    Jetzt hättest du den Mail-Empfang ein und ausgehend als Legency für SMTP eingerichtet, wenn du den OWA etc brauchst, muss HTTPS eingehend auch nich in der DNAT regel und in der Firewall regel angegeben werden!

    Ich habe dir gerne diesen Weg geziegt, aber ich muss wirklich drauf hinweisen, BITTE verwende den MTA und nicht den Legency Mode!

    PS:Wer Rechtschreibfehler findet darf diese behalten, war ein lange tag und bin etwas geschlaucht Slight smile

    LG Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Children
No Data