SMTP Server Publish mit Edge Sync und Edge Sever in DMZ

[bits 10]

Hallo zusammen

 

Ich sitze an einem kleinen Problem und zwar folgendes:

 

LAN (192.168.1.0/24) < TMG2010 > 192.168.2.0/24 (DMZ) < HardwareFrwl> WAN

 

Nun gut, mein Edge Server sitzt in der DMZ. EdgeSync läuft ohne Probleme. Was ich nicht gebacken kriege ist der Punkt, dass der Edge Server keine Mails im LAN zum HubServer versendet.

 

Auf dem TMG habe ich einen SMTP-Server Publish Rule erstellt. Vorher wurden die Internet E-Mails direkt via Hardware Firewall über die DMZ und über TMG2010 ins LAN versendet.

 

Ziel ist es nicht den EdgeServer auf dem TMG2010 zu montieren (da bereits TMG installed ist) sondern alleine in der DMZ am laufen zu haben. Das Relaying über den SmartHost meines ISP's läuft ohne Probleme.

 

Ich kann mir gut vorstellen, dass was mit den Routen nicht stimmt. Somit setzte ich folgende Route ab

 

route add 192.168.1.0 mask 255.255.255.0 192.168.2.1 -p (192.168.2.1 external Interface des TMG's)

 

telnet externalinterface 25 läuft!

 

Nur kann ich im Protokoll des TMG's nichts sehen, was mit SMTP von der DMZ (EdgeServer) kommt. Sieht so aus, als ob noch das "i" Tüpfchen irgendwo fehlt,... ?

 

Hmm.. :suspect:

 

Ideen? Hab gegoogelt. Die eine Möglichkeit wäre halt statisches Send- und ReceiveConnectoren zu setzen. Bin aber nicht scharf drauf. Alles läuft wunderbar. Start-Edgesubscription läuft auch sauber durch. DNS Auflösung auch... :rolleyes:

 

Grüsse Bits

[bits 10]

Hi zusammen

 

Könnte es sein, dass ich den Sendekonnector "Internet to Default-...." den SmartHost "--" auf die Public IP des ISA Servers changen soll?

 

Grüsse

[NorbertFe 2.045]

Nein, der SMTP Filter des ISA/TMG filtert einen benötigten Befehl raus. ;)

Hinzufügen von SMTP-Befehlsverben zu ISA Server 2006: Exchange 2007-Hilfe

 

Bye

Norbert

[bits 10]

Hallo Norbert!

 

Doctor Google brachte mich auf foldenden Hinweis:

 

Re: ISA Server 2006 und SMTP

 

Da kam ich auf den SMTP-Filter, welchen ich auf der Firewall Regel deaktiviert habe. Zusätzlich motzte das Teil in den Protokollen rumm, dass ich da was an den Netzwerkregeln rummdengeln soll.

 

So habe ich da von der Src IP des Edge und dst IP des Exchange (Hub) eine Netzwerkregel erstellt mit "Route" und nicht "NAT". Voilà, das Ganze läuft.

 

Also lag es am SMTP-Filter und der Netzwerkregel.

 

Jedoch ist diese Konstellation wohl nicht sonderlich cool, da ich ja keine DMZ mit ISA gemacht habe. Somit werde ich in ESXi noch einen virtuellen Switch erstellen ohne Uplink und da eine virtuelle DMZ machen und den Edge dahinstellen und kann dann wieder von Extern (DMZ : Phsysisch) zu DMZ (ISA : Virtuell) den SMTP-Filter aktivieren.

 

Macht es dann Sinn von LAN zu DMZ (ISA) eine Netzwerkregel mit NAT oder einfach Route einzustellen. Oder LAN zu DMZ ISA NAT und dann eine Route Regel von Src Edge zu dst Exchange (hub) ?!

 

Grüsse Bits

[NorbertFe 2.045]

Es geht definitiv auch nur mit NAT. Hab ich hier seit Jahren im Einsatz nach der ersten hier vermerkten Schwierigkeit. ;)

 

Bye

Norbert

[bits 10]

Ok... Danke!

 

Letzte kleine Frage. Gemäss EventProtokoll, sollte ich noch einen InternalSMTPServers angeben. Ich gab die Public IP des ISA Servers an (die des external) Interfaces. Seit da, ging die Kommunikation dann dahin. Muss man da zb. wenn man dann eine virtuelle DMZ erstellt mit Subnet 192.168.3.0/24 die IP Angeben des DMZ interfaces des TMG Servers?

 

Den Paramenter InternalSMTPServers, denke ich ist dazuda, dass der EdgeServer weiss wohin mit dem Traffic richtig? Somit war es in meinem Fall richtig den Internen die Public IP des TMG's anzugeben. ?!??!

 

Gruss

[NorbertFe 2.045]

Du meinst sowas hier?

Anti-spam agents are enabled, but the list of internal SMTP servers is empty. If there are any MTAs between this server and the Internet, populate this list by using the Set-TransportConfig cmdlet in the Exchange Management Shell.

Ich meine, dass das egal ist, da du ja keine internal SMTP Servers nutzt, wenn du nur zwischen Edge und HT agierst. Das TMG ist kein SMTP Server in dieser Kette.

 

Bye

Norbert

[bits 10]

Danke Norbert! Yup, .. Nun läuft die neue Konstellation mit VirtualDMZ! ;)

 

Jedoch muss ich definitiv "route" einstellen zwischen den beiden Servern. Sonst komme ich nicht in internal.. Steht so im Protokoll des TMG's

 

Gruss

[NorbertFe 2.045]

Naja wenn du keine Serververöffentlichung eingerichtet hast zwischen DMZ und Intern(NAT), dann kann das auch nur mit Route gehen. ;)

 

Bye

Norbert

[bits 10]

Hi Norbert

 

Intern -> DMZ (NAT)

DMZ -> EXTERN (NAT)

 

Geht trotzdem nicht. Dann bekomme ich ne Meldung die Netzwerkrichtlinien erlauben es nicht. Sehr wohl habe ich die Serververöffentlichung genommen. Das macht mich stutzig.. ;)

 

Gruss

[NorbertFe 2.045]

Also Serververöffentlichung von extern (externer Listener) auf DMZ Host (NAT) und dann Serververöffentlichung von DMZ Listener auf internen Exchange? Hmm kann ich nicht genau sagen, da ich kaum solche NAT DMZ KOnstrukte habe. Und die die sowas haben, haben keinen Edge. ;)

 

Bye

Norbert

[bits 10]

Hi Norbert!

 

Genau. So hab ich gemacht. Extern To DMZ Serververöffentlichung mit SMTP-Filter Aktiv und Serververöffentlichung von DMZ -> Intern ohne SMTP-Filter Aktiv.

 

Naja. Auf alle Fälle funktionierts tadellos! ;)

 

Danke Norbert für Deine Hilfe! ;)

 

Grüsse

 

Bits