 |
|
|
|
| Autor |
Nachricht |
sirfene
Anmeldungsdatum: 12.09.2008
Beiträge: 18
|
 Verfasst am:
Fr 12 Sep, 2008 16:26 |
  |
|
Hallo die Herrschaften,
Mein erster Beitrag hier, nachdem ich schon das ganze Forum durchsucht habe und keine Lösung gefunden habe. Alle anderen Probleme konnte ich schon sehr gut durch die kompetente Hilfe hier lösen.
In meinem Netzwerk ist in der Hauptverwaltung ein 7111 aktiv, die 10 Niederlassungen sind mit je einem 1611 per VPN angebunden, außerdem haben wir 25 VPN-Clients im Einsatz.
Bis vor kurzem war der 7111 der einzige Router im Haus. Er hatte zwei Verbindungen zur Außenwelt: Einen normalen SDSL-Anschluss mit dem Routing-Tag 0, über diesen griffen alle Stationen aufs Internet zu. Zum anderen einen Company-Connect Anschluss mit 8 festen IPs (Netzmaske 255.255.255.248) und dem Routing Tag 1, über diesen kamen die VPN-Verbindungen zustande.
Nun haben wir eine weitere Firewall (Sonicwall NSA 4500, wegen Content Filtering und DMZ) implementiert:
COMPCO -->LANCOM-->DMZ-->SONICWALL-->LAN
Den SDSL-Zugang managed jetzt die Sonicwall, Internet geht also seinen Weg folgendermaßen:
LAN-->SONICWALL-->LAN
Somit bleibt für den 7111 nur noch der Company Connect Anschluss, alle Informationen die auf den SDSL-Anschluss hinweisen habe ich aus dem 7111 herausgenommen.
Die VPNs stehen mittlerweile wieder alle, als Router ins interne Netz habe ich einfach die Sonicwall angegeben.
Nun möchte ich meinen MTA-Server von außen über eine feste IP erreichbar machen. Ich habe einen Eintrag in der N:N-Nat-Tabelle von der festen IP auf den MTA vorgenommen. Die Anfrage kommt auch an, getestet habe ich das über den LanMonitor bei einer Deny-All Regel, sofort sah ich einen geblockten SMTP-Zugriff von meiner Internet-IP auf den MTA. Nach Freigabe von SMTP auf den MTA erschien die Meldung nicht mehr. Folglich funktioniert der eingehende Verkehr.
Was aber nicht funktioniert ist der ausgehende Verkehr. Beim Server habe ich den 7111 als Gateway und DNS-Server hinterlegt, er ist auch erreichbar. Aber alles was darüber hinausgeht ist nicht erreichbar.
Unter Kommunikation-->Protokolle-->IP-Parameter stehen die Informationen zum Company-Connect mitsamt Gateway, DNS, Netzadresse usw. drin, daran wurde seit der Umstellung auch nichts geändert.
Folglich gibt es zwei Möglichkeiten was nicht funktioniert. Entweder ich muss noch was am Routing biegen oder die Firewall blockt ausgehende Verbindungen.
Meine Frage: Gibt es eine feinere Möglichkeit alle Vorfälle mitzuloggen, damit ich sehe ob Pakete verworfen werden? Und wo liegt mein Fehler?
Ich habe schon alles erdenkliche ausprobiert, im Moment steht mein Netzwerktyp auf DMZ.
Vielen Dank schon mal für Eure Hilfe!
Gruß
Stefan |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 29 Sep, 2008 14:30 |
|
|
Hi sirfene
| Zitat:
|
|
Beim Server habe ich den 7111 als Gateway und DNS-Server hinterlegt, er ist auch erreichbar. Aber alles was darüber hinausgeht ist nicht erreichbar.
|
ist ja auch klar, denn:
| Zitat:
|
|
als Router ins interne Netz habe ich einfach die Sonicwall angegeben.
|
das bedeutet: Das TCP-SYN kommt vom Company-Connect rein und wird an die Sonicwall weitergereicht, die es an den Mailserver schickt. Die Antwort (SYN/ACK) schickt der Mailserver direkt an das LANCOM - das hat damit auch kein Problem. Interressanter ist das nächste ACK: des geht wieder an die Sonicwall und spätestens hier müßte sie die Verbindung kappen...
Stelle den Mailserver in ein eigenes Netz oder sorge dafür, daß einkommender Mail-Traffic nicht über die Sonicwall geleitet wird
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
