9
Port-Forwarding eingehende Mails Exchange-Server mehrere Router Mikrotik
Hallo Zusammen,
ich hoffe dass mir jemand von Euch den entscheidenden Tipp geben kann! Habe folgendes Problem:
Wir verwenden einen SBS2011-Server mit Exchange 2010. Soweit lief dieser problemlos hinter einer Fritzbox mit DSL-Anschluss. Mails kommen über SMTP / SMTP TLS direkt herein und werden über unseren Provider auch direkt raus gesendet. Zusätzlich ist der HTTPS-Port auf der Fritzbox freigegeben damit sich unsere Smartphones verbinden können.
Nun haben wir (da der DSL-Anschluss chronisch überlastet war), eine WLAN-Brücke zu einem KabelDeutschland-Business-Anschluss in Betrieb genommen (bei mir zuhause, da in der Firma kein KD verfügbar).
Folgendes Szenario:
Netzwerk Firma:
Mikrotik1 (RB2011): IP 192.168.3.1
FritzBox DSL: IP 192.168.3.2
Exchange-Server: 192.168.3.215
Netzwerk Zuhause
Mikrotik2 (RB2011): IP 192.168.11.1
Fritzbox KD: IP 192.168.10.1 (Exposed Host eingerichtet zum Mikrotik2)
Die beiden Mikrotiks sind per WLAN verbunden. Das ganze Routing läuft einwandfrei, d.h. der Internetverkehr in der Firma wird über die WLAN-Bridge und den KD-Anschluss geleitet. Sollte die WLAN-Bridge ausfallen schaltet der Mikrotik1 automatisch auf die Fritzbox (192.168.3.2) für den Internetzugang um.
Der Email-Verkehr, OWA, Smartphone, etc wurden bisher jedoch noch direkt über die Fritzbox geleitet. Im Exchange war dazu Standard-Gateway 192.168.3.2 eingetragen.
Dies soll sich nun aber ändern. Ausgehende Mails, sowie die Verbindung zu den Smartphones und OWA sollen über den KD-Anschluss laufen, da dieser wesentlich mehr Upload-Speed bietet. Eingehende Mails sollen aber weiterhin über die Fritzbox (DSL) rein kommen, da nur für diese eine statische IP vorhanden/verfügbar ist.
Ich habe das Standard-Gateway im Exchange auf 192.168.3.1 abgeändert und am Mikrotik2 das Portforwarding für HTTPS auf den Exchange eingestellt. Nun habe ich Zugriff per Smartphone / OWA und es werden auch Mails versendet. Nur leider kommt nichts mehr rein!
Stehe gerade auf dem Schlauch, was ich noch einstellen muss.
Bitte um Tipps! (wahrscheinlich ist die Lösung sehr simpel...)
Danke
Gruß
Jochen
ich hoffe dass mir jemand von Euch den entscheidenden Tipp geben kann! Habe folgendes Problem:
Wir verwenden einen SBS2011-Server mit Exchange 2010. Soweit lief dieser problemlos hinter einer Fritzbox mit DSL-Anschluss. Mails kommen über SMTP / SMTP TLS direkt herein und werden über unseren Provider auch direkt raus gesendet. Zusätzlich ist der HTTPS-Port auf der Fritzbox freigegeben damit sich unsere Smartphones verbinden können.
Nun haben wir (da der DSL-Anschluss chronisch überlastet war), eine WLAN-Brücke zu einem KabelDeutschland-Business-Anschluss in Betrieb genommen (bei mir zuhause, da in der Firma kein KD verfügbar).
Folgendes Szenario:
Netzwerk Firma:
Mikrotik1 (RB2011): IP 192.168.3.1
FritzBox DSL: IP 192.168.3.2
Exchange-Server: 192.168.3.215
Netzwerk Zuhause
Mikrotik2 (RB2011): IP 192.168.11.1
Fritzbox KD: IP 192.168.10.1 (Exposed Host eingerichtet zum Mikrotik2)
Die beiden Mikrotiks sind per WLAN verbunden. Das ganze Routing läuft einwandfrei, d.h. der Internetverkehr in der Firma wird über die WLAN-Bridge und den KD-Anschluss geleitet. Sollte die WLAN-Bridge ausfallen schaltet der Mikrotik1 automatisch auf die Fritzbox (192.168.3.2) für den Internetzugang um.
Der Email-Verkehr, OWA, Smartphone, etc wurden bisher jedoch noch direkt über die Fritzbox geleitet. Im Exchange war dazu Standard-Gateway 192.168.3.2 eingetragen.
Dies soll sich nun aber ändern. Ausgehende Mails, sowie die Verbindung zu den Smartphones und OWA sollen über den KD-Anschluss laufen, da dieser wesentlich mehr Upload-Speed bietet. Eingehende Mails sollen aber weiterhin über die Fritzbox (DSL) rein kommen, da nur für diese eine statische IP vorhanden/verfügbar ist.
Ich habe das Standard-Gateway im Exchange auf 192.168.3.1 abgeändert und am Mikrotik2 das Portforwarding für HTTPS auf den Exchange eingestellt. Nun habe ich Zugriff per Smartphone / OWA und es werden auch Mails versendet. Nur leider kommt nichts mehr rein!
Stehe gerade auf dem Schlauch, was ich noch einstellen muss.
Bitte um Tipps! (wahrscheinlich ist die Lösung sehr simpel...)
Danke
Gruß
Jochen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 293320
Url: https://administrator.de/contentid/293320
Printed on: April 20, 2024 at 09:04 o'clock
9 Comments
Latest comment
Ich habe das Standard-Gateway im Exchange auf 192.168.3.1 abgeändert
Wo zeigt denn das Default Gateway der .3.1 hin ???Für eingehende Emails (SMTP) ist das dann tödlich wenn das nicht die FB ist, denn die Reply bzw. ACK Pakets des Exchange für SMTP müssen ja zwingend auch wieder über die FB raus (statische Provider IP).
Wenn nun das Exchange Gateway auf die .3.1 zeigt ist es essentiell wichtig was mit den SMTP Reply Paketen passiert.
Doese kommen ja immer per Port Forwarding an der FB rein und gehen an den Exchange, der Antworten nun aber durch seine neue GW Adresse an die .3.1 sendet.
Routet der Mikrotik (Firma .3.1) die nun aber zurück über den KD Anschluss raus bekommen Absendende SMTP Server die Mails an euch via FB Adresse raussenden nun ja mit den Replies eine vollkommen andere Absender IP, nämlich aus dem KD Netz bzw. KD Router.
Dadurch kommt es zum sofortigen Abbruch der SMTP TCP Session durch den IP Absender Adress Mismatch...logisch.
Kardinalsfrage ist also WO der .3.1er MT sein Default Gateway hat ??? Wenn das das KD Netz ist liegt hier dein Denkfehler !
Dein Design ist ein klassisches PBR Design. Du musst mit dem MT (Firma) sicherstellen das dieser MT TCP 25 Pakets über eine PBR Liste mit next Hop Gateway FB versendet und den Rest des Traffics mit next Hop MT 2, sprich KD.
So wird ein Schuh draus !
Damit geht dann SMTP Traffic immer fest über die FB raus und der Rest über die MT Strecke und KD. Sowas nennt man dann Policy Based Routing. Erledigen die MTs im Handumdrehen.
Hast du das berücksichtigt ?
http://blog.butchevans.com/2008/09/mikrotik-policy-routing-implementati ...
Hallo Aqui,
danke für deine Antwort. Meine Gedanken sind auch in diese Richtung gegangen, nur leider hatte ich keine Ahnung wo ich ansetzen muss. Ich denke das hilft mir nun weiter und ich probiere das gleich mal aus.
Merci
(falls ich es nicht hin bekommen dann schreib ich einfach nochmal!)
Gruß
danke für deine Antwort. Meine Gedanken sind auch in diese Richtung gegangen, nur leider hatte ich keine Ahnung wo ich ansetzen muss. Ich denke das hilft mir nun weiter und ich probiere das gleich mal aus.
Merci
(falls ich es nicht hin bekommen dann schreib ich einfach nochmal!)
Gruß
nur leider hatte ich keine Ahnung wo ich ansetzen muss.
Mmmmhhh...du hast doch alles schon so wunderbar zum Fliegen gebracht ?? Wenn man nur mal ein klein wenig darüber nachdenkt wie sich die IP Pakete in deinem Netz bewegen sticht einem das doch sofort ins Auge....!Die Suchfunktion hier hätte ggf. auch geholfen...
Cisco Beispiel:
Cisco Router 2 Gateways für verschiedene Clients
Mikrotik Beispiel:
Policy based Routing mit Mikrotik 750
Na wir warten dann mal gespannt aufs Feedback
Vorab: es funktioniert!
Also ich hab jetzt mal folgendes gemacht:
IP-Mangle
chain prerouting
src.address 192.168.3.215
Protocol TCP
src.port 25
Action mark Routing
new Routing mark mail_smtp
IP-Rout
Dst.Address 0.0.0.0/0
Gateway 192.168.3.2
Distance 3
Routing Mark mail_smtp
so funktioniert es auf jeden Fall. Nur wie ist es jetzt mit ausgehenden Mails? Diese werden nun ja auch wieder über die FB 192.168.3.2 geleitet, oder?
Also ich hab jetzt mal folgendes gemacht:
IP-Mangle
chain prerouting
src.address 192.168.3.215
Protocol TCP
src.port 25
Action mark Routing
new Routing mark mail_smtp
IP-Rout
Dst.Address 0.0.0.0/0
Gateway 192.168.3.2
Distance 3
Routing Mark mail_smtp
so funktioniert es auf jeden Fall. Nur wie ist es jetzt mit ausgehenden Mails? Diese werden nun ja auch wieder über die FB 192.168.3.2 geleitet, oder?
Ja ! TCP 25 ist TCP 25 ! Da muss deine Policy Liste etwas trickreicher sein. Nachdenken ist wieder angesagt...! Hilft aber (vermutlich) nicht ums gleich vorweg zu nehmen... 
Man könnte die Policy List nun so umschreiben das Pakete die den Exchange als Absender IP haben und TCP 25 sind über den KD Link gehen. Dann würden outbound Emails über den KD Link gehen.
Hier ist aber Vorsicht angedacht.
Damit erscheinen dann Mails an diesen Servern mit einer KD Kunden Absender IP. Das wird vermutlich bei diversen Mail Servern den Spam Filter triggern ob dieser IP und damit die Mails dann sofort blockieren.
Ob das Sinn macht dieses Risiko einzugehen musst du selber entscheiden. Es ist sicher sauberer den ganzen TCP 25 Traffic über die FB abzuwickeln und den ganzen Rest dann über KD.
Its your choice...
Man könnte die Policy List nun so umschreiben das Pakete die den Exchange als Absender IP haben und TCP 25 sind über den KD Link gehen. Dann würden outbound Emails über den KD Link gehen.
Hier ist aber Vorsicht angedacht.
Damit erscheinen dann Mails an diesen Servern mit einer KD Kunden Absender IP. Das wird vermutlich bei diversen Mail Servern den Spam Filter triggern ob dieser IP und damit die Mails dann sofort blockieren.
Ob das Sinn macht dieses Risiko einzugehen musst du selber entscheiden. Es ist sicher sauberer den ganzen TCP 25 Traffic über die FB abzuwickeln und den ganzen Rest dann über KD.
Its your choice...
Leider muss ich mich korrigieren.
Es kommen zwar wieder Mails rein, aber der Zugang via Smartphone funktioniert dafür nicht mehr... Wahrscheinlich wird nun der gesamte Verkehr vom Exchange über die FB geleitet.
Ich versuch es dann mal weiter...
Es kommen zwar wieder Mails rein, aber der Zugang via Smartphone funktioniert dafür nicht mehr... Wahrscheinlich wird nun der gesamte Verkehr vom Exchange über die FB geleitet.
Ich versuch es dann mal weiter...
Wahrscheinlich wird nun der gesamte Verkehr vom Exchange über die FB geleitet.
Nöö, das kann ja niemals sein, denn deine Policy List filtert ja auf TCP 25 !!Die Smartphones nutzen eigentlich TCP 443 für den Exchange Zugriff (Active Sync etc.) ! Das solltest du aber zur Sicherheit mal sniffern.
Wireshark ist hier dein Freund und sagt dir sofort was los ist !!
Es tut jetzt wieder.
Ich hab mir selber ein "Ei" gelegt. Neben Port 25 habe ich noch den TLS Port "markiert". Habe aber aus Versehen den Port 443 anstatt 465 eingegeben und somit den HTTPS-Verkehr markiert (und folglich umgeleitet).
Fehler behoben und es geht jetzt tatsächlich...
Du schreibst:
Man könnte die Policy List nun so umschreiben das Pakete die den Exchange als Absender IP haben und TCP 25 sind über den KD Link gehen. Dann würden outbound Emails über den KD Link gehen.
Das verstehe ich nicht ganz.
Nach meinem Verständnis habe ich jetzt ja den gesamten Verkehr, der auf Port 25 läuft und vom Exchange kommt, markiert. Der markierte Verkehr wird dann über die FB umgeleitet. Das betrifft doch nun sowohl eingehende Mails als auch ausgehende.
Wie kann ich da nochmal unterscheiden? Oder sprichst du von einem weiteren Filter der sich auf den Empfänger bezieht?
Der Exchange sendet auf jeden Fall über den Strato-Smarthost damit das von dir beschriebene Problem nicht auftritt. Der Empfang kommt auch über Strato, da hier zwischengespeichert wird falls unser Server nicht empfangen kann.
Wäre schön, wenn Du mir das erklären könntest, was du gemeint hast.
Gruß
Ich hab mir selber ein "Ei" gelegt. Neben Port 25 habe ich noch den TLS Port "markiert". Habe aber aus Versehen den Port 443 anstatt 465 eingegeben und somit den HTTPS-Verkehr markiert (und folglich umgeleitet).
Fehler behoben und es geht jetzt tatsächlich...
Du schreibst:
Man könnte die Policy List nun so umschreiben das Pakete die den Exchange als Absender IP haben und TCP 25 sind über den KD Link gehen. Dann würden outbound Emails über den KD Link gehen.
Das verstehe ich nicht ganz.
Nach meinem Verständnis habe ich jetzt ja den gesamten Verkehr, der auf Port 25 läuft und vom Exchange kommt, markiert. Der markierte Verkehr wird dann über die FB umgeleitet. Das betrifft doch nun sowohl eingehende Mails als auch ausgehende.
Wie kann ich da nochmal unterscheiden? Oder sprichst du von einem weiteren Filter der sich auf den Empfänger bezieht?
Der Exchange sendet auf jeden Fall über den Strato-Smarthost damit das von dir beschriebene Problem nicht auftritt. Der Empfang kommt auch über Strato, da hier zwischengespeichert wird falls unser Server nicht empfangen kann.
Wäre schön, wenn Du mir das erklären könntest, was du gemeint hast.
Gruß
Ja, so wie du es jetzt gemacht hast ja. Da du ja nun nur global auf TCP 25 filterst und das mit next Hop an die FB schickst ist das sauber.
Das Problem tritt nur auf sollte man auch die Absender IP mit in die PBR Liste nehmen und so vom Exchange selber initiierten outbound Mail Traffic über den anderen Link schicken wollen.
Das wird dann wieder an dem Absender IP Mismatch scheitern, ist oder war keine gute Idee.
So wie du es jetzt gelöst hast ist es sauber und sollte auch so sein.
Siehst du ja auch daran das es fehlerfrei klappt
Case closed !
Das Problem tritt nur auf sollte man auch die Absender IP mit in die PBR Liste nehmen und so vom Exchange selber initiierten outbound Mail Traffic über den anderen Link schicken wollen.
Das wird dann wieder an dem Absender IP Mismatch scheitern, ist oder war keine gute Idee.
So wie du es jetzt gelöst hast ist es sauber und sollte auch so sein.
Siehst du ja auch daran das es fehlerfrei klappt
Case closed !
