Hallo,
ich würde gerne den POP3 Proxy in unserer Sophos UTM nutzen.
Leider gibt's hier ein Routing Problem, wir haben hier ein paar UTMs mit ähnlicher Konfig ohne Problem so konfiguriert.
Danke
Henri
[Firewall] 2018/06/24 14:08:19,437
Packet matched rule ALLOW_MAIL_POP3_VIA_UTM
DstIP: 81.169.145.131, SrcIP: 172.20.55.100, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 995, SrcPort: 38966, Flags: S
Seq: 2933914592, Ack: 0, Win: 29200, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = b3 f8 47 e4 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
test next filter (no matching route)
Filter 000001cd from Rule ALLOW_MAIL_POP3_VIA_UTM:
Protocol: 6
Src: 00:00:00:00:00:00 172.20.55.100/255.255.255.255 0-0
Dst: 00:00:00:00:00:00 0.0.0.0/0.0.0.0 995-995 (WAN ifc INTERNET)
use routing tag 205
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 000001dc from Rule ALLOW_MAIL_POP3_VIA_UTM:
Protocol: 6
Src: 00:00:00:00:00:00 172.20.55.100/255.255.255.255 0-0
Dst: 00:00:00:00:00:00 0.0.0.0/0.0.0.0 110-110 (WAN ifc INTERNET)
use routing tag 205
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
sh ipv4-fib
Rtg-Tag 205
Prefix Next-Hop Interface Type
--------------------------------------------------------
0.0.0.0/0 10.0.205.88 VLAN205_FWWAN Static
...
7100+ 10.12.RU9 : test next filter (no matching route)
Moderator: Lancom-Systems Moderatoren
Re: 7100+ 10.12.RU9 : test next filter (no matching route)
Hallo,
das ist noch relevant:
Ifc.: BUNDLE-1
VLAN205_FWWAN 10.0.205.5 255.255.255.0 205
Hab das FW und Routing Tag für diese Verbindung in 1205 (statt dem IF Tag 205) geändert, um keine Konflikt zu erzeugen, leider mit gleichem Ergebnis.
Danke
Henri
das ist noch relevant:
Ifc.: BUNDLE-1
VLAN205_FWWAN 10.0.205.5 255.255.255.0 205
Hab das FW und Routing Tag für diese Verbindung in 1205 (statt dem IF Tag 205) geändert, um keine Konflikt zu erzeugen, leider mit gleichem Ergebnis.
Danke
Henri
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: 7100+ 10.12.RU9 : test next filter (no matching route)
Hallo Henri,
Gruß Bernie
Dann mach das doch.ich würde gerne den POP3 Proxy in unserer Sophos UTM nutzen.
Ja? Inwiefern? Wie ist denn der Netzwerkaufbau bzgl Routing?Leider gibt's hier ein Routing Problem
Gruß Bernie
Man lernt nie aus.
Re: 7100+ 10.12.RU9 : test next filter (no matching route)
Hi Henri,
dein Fehler ist, daß du in der Firewall-Regel als Ziel offenbar "Gegenstelle INTERNET" angegeben hast, während die Defaultroute im Routing-Tag 205 laut FIB auf die Gegenstelle VLAN205_FWWAN geroutet wird. Das paßt nicht zusammen und deshalb sagt die Firewall "no mathing route"... Ersetze das Ziel in der Regel durch "ANYHOST" und es wird klappen...
Gruß
Backslash
dein Fehler ist, daß du in der Firewall-Regel als Ziel offenbar "Gegenstelle INTERNET" angegeben hast, während die Defaultroute im Routing-Tag 205 laut FIB auf die Gegenstelle VLAN205_FWWAN geroutet wird. Das paßt nicht zusammen und deshalb sagt die Firewall "no mathing route"... Ersetze das Ziel in der Regel durch "ANYHOST" und es wird klappen...
Gruß
Backslash
Re: 7100+ 10.12.RU9 : test next filter (no matching route)
Hallo Backslash,
genau das war es, Merci vielmals.
Also 255.255.255.0/0 match nur mit ANY in der FW Regel?
Viele Grüße
Henri
genau das war es, Merci vielmals.
Also 255.255.255.0/0 match nur mit ANY in der FW Regel?
Viele Grüße
Henri
Re: 7100+ 10.12.RU9 : test next filter (no matching route)
Hi Henri,
Der Punkt bei dir ist, daß die Angabe einer Gegenstelle letzendlich zwei Bedingungen enthält:
Gruß
Backslash
die Defaultroute wäre 255.255.255.255/0... das mit den ganzen 255 ist dem CLI des LANCOMs geschuldet, das keine 0-Werte als Index in einet Rabelle zuläßt. in der Firewall kannst du die Defaultroute auch mit %a0.0.0.0 %m0.0.0.0 angeben (genau so ist letztendlich "ANYHOST" auch definiert)...Also 255.255.255.0/0 match nur mit ANY in der FW Regel?
Der Punkt bei dir ist, daß die Angabe einer Gegenstelle letzendlich zwei Bedingungen enthält:
- das Zielnetz (bei dir 0.0.0.0/0)
- das Ziel-Interface
Gruß
Backslash
Re: 7100+ 10.12.RU9 : test next filter (no matching route)
Hallo Backslash,
vielen Dank für die ausführliche Erklärung, jetzt verstehe ich auch, wieso es ab und zu mit "Internet" beim Tagging nicht funktioniert hat.
Viele Grüße
Henri
vielen Dank für die ausführliche Erklärung, jetzt verstehe ich auch, wieso es ab und zu mit "Internet" beim Tagging nicht funktioniert hat.
Viele Grüße
Henri