Jump to content

Keine Mails versendbar über Cisco Router 1721


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Der Router ist an einem cable modem angeschlossen und holt per dhcp seine IP vom Provider. Im Lan befindet sich ein Mailserver, bei dem nur die private Adresse fürs LAN eingerichtet wurde. Neben der per DHCP vergebenen IP-Adresse ist ein 8er Block offizieller IP-Adressen ebenfalls im Paket enthalten. Anfragen auf diese IP-Adressen werden vom ISP auf den Router geroutet. Eine IP von den effektiv 6 nutzbaren habe ich per statischem NAT dem Mailserver zugewiesen. In der Firewall des Cisco Routers wurde die IP-Adresse mit den genutzten Ports zugänglich gemacht.

 

Nun zum Problem:

Der Router blockiert die Antworten auf die vom Mailserver geschickten Anfragen. D.h. 3-way-handshaking klappt, alles auf smtp basierendes wird vom router abgelehnt. Seltsamerweise werden Anfragen an den Mailserver von aussen durchgelassen und werden nicht unterbrochen. Wenn ich das statische NAT deaktiviere und von aussen auf die Adresse des Mailserver zugreifen will erscheint "421 SMTP service not available, closing transmission channel". Das sieht verdächtig nach einem SMTP-Proxy aus, jetzt fragt sich, ob es an dem liegt und ob der deaktivierbar ist.

 

Hat hier jemand schon ähnliche Erfahrungen gemacht und kennt vielleicht ein Weg aus dem Dilemma?

 

Ich danke schonmal für eure Hilfe.

 

Gruss

pali

Link zu diesem Kommentar

habe ein update der Firmware auf 2.1 gemacht, jedoch half das nicht drüber weg. Mir ist noch folgender Gedanke durch den Kopf: kann es sein, dass bei einem statischen NAT die Regeln für den eingehenden Traffic nicht angepasst wird, wenn die Verbindung von innen nach aussen aufgebaut wird? D.h. wenn ich eine verbindung von bsp. intern rechner1 port 11100 nach extern rechner2 port 25 aufbaue, müsste die Firewall den port 11100 für den entgegengesetzten Datentransfer öffnen, da dieser als Ziel Rechner1 port 11100 hat.

(bitte denkt dran, dass es ein statisches NAT ist, hier wird kein PAT nötig, da es nur eine IP zu translatieren gibt)

 

Gruss

pali

Link zu diesem Kommentar
  • 1 Monat später...

(ups, hatte mein mcseboard-passwort verlegt und die richtige meiner x-1000 emailadressen nicht mehr gewusst, um das passwort neu zu setzen - ging deshalb etwas länger ;)

 

hier das config-file: (offizielle Server-IP ist im Internet zugänglich, diese wird auf dem Router per statischem NAT auf IP 10.41.70.20, dem Mailserver weitergeleitet.)

 

----part1----

 

!This is the running config of the router: 10.41.70.2

!----------------------------------------------------------------------------

!version 12.3

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname InetRouter

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

security passwords min-length 6

logging buffered 51200 debugging

logging console critical

enable secret 5 <unwichtig>

!

username <unwichtig> privilege 15 secret 5 <unwichtig>

clock timezone PCTime 1

clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00

aaa new-model

!

!

aaa authentication login default local

aaa authentication login sdm_vpn_xauth_ml_1 local

aaa authorization exec default local

aaa authorization network sdm_vpn_group_ml_1 local

aaa session-id common

ip subnet-zero

no ip source-route

!

!

!

!

ip tcp synwait-time 10

ip domain name <unwichtig>

ip name-server 10.41.70.1

no ip bootp server

ip cef

ip inspect name sdm_ins_in_100 cuseeme

ip inspect name sdm_ins_in_100 ftp

ip inspect name sdm_ins_in_100 h323

ip inspect name sdm_ins_in_100 netshow

ip inspect name sdm_ins_in_100 rcmd

ip inspect name sdm_ins_in_100 realaudio

ip inspect name sdm_ins_in_100 rtsp

ip inspect name sdm_ins_in_100 sqlnet

ip inspect name sdm_ins_in_100 streamworks

ip inspect name sdm_ins_in_100 tftp

ip inspect name sdm_ins_in_100 udp

ip inspect name sdm_ins_in_100 vdolive

ip inspect name sdm_ins_in_100 icmp

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 icmp

ip inspect name DEFAULT100 netshow

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

ip audit notify log

ip audit po max-events 100

ip ssh time-out 60

ip ssh authentication-retries 2

no ftp-server write-enable

no scripting tcl init

no scripting tcl encdir

!

!

!

!

!

crypto isakmp policy 1

<unwichtig>

!

crypto isakmp policy 3

<unwichtig>

!

crypto isakmp client configuration group <unwichtig>

wins 10.41.70.20

pool SDM_POOL_1

!

!

crypto <unwichtig>

!

crypto dynamic-map SDM_DYNMAP_1 1

set transform-set <unwichtig>

reverse-route

!

!

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1

crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1

crypto map SDM_CMAP_1 client configuration address respond

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

!

!

!

!

interface FastEthernet0

description $FW_OUTSIDE$$ETH-WAN$$INTF-INFO-10/100 Ethernet$

ip address dhcp client-id FastEthernet0

ip access-group 101 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip inspect sdm_ins_in_100 in

ip inspect DEFAULT100 out

ip route-cache flow

speed auto

no cdp enable

crypto map SDM_CMAP_1

!

Link zu diesem Kommentar

----part2----

 

interface FastEthernet1

no ip address

no cdp enable

!

interface FastEthernet2

switchport access vlan 2

no ip address

no cdp enable

!

interface FastEthernet3

no ip address

shutdown

no cdp enable

!

interface FastEthernet4

no ip address

shutdown

no cdp enable

!

interface Vlan2

description $FW_INSIDE$

ip address 10.41.70.2 255.255.255.0

ip access-group 100 in

ip nat inside

!

interface Vlan1

ip address 10.10.10.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip route-cache flow

!

ip local pool SDM_POOL_1 10.41.70.160 10.41.70.190

ip nat translation max-entries 100

ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0 overload

ip nat inside source static 10.41.70.20 <offizielle Server-IP> extendable

ip classless

ip http server

ip http authentication local

ip http secure-server

!

!

!

Link zu diesem Kommentar

----part3----

 

logging trap debugging

logging 10.41.70.20

access-list 1 remark INSIDE_IF=Vlan2

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.41.70.0 0.0.0.255

access-list 100 remark auto generated by SDM firewall configuration

access-list 100 remark SDM_ACL Category=1

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

access-list 101 remark auto generated by SDM firewall configuration

access-list 101 remark SDM_ACL Category=1

access-list 101 permit tcp any host <offizielle Server-IP> range smtp pop3

access-list 101 remark Auto generated by SDM for NTP (123) swisstime.ethz.ch

access-list 101 permit udp host 129.132.2.21 eq ntp any eq ntp

access-list 101 permit ip host 10.41.70.160 any

access-list 101 permit ip host 10.41.70.161 any

access-list 101 permit ip host 10.41.70.162 any

access-list 101 permit ip host 10.41.70.163 any

access-list 101 permit ip host 10.41.70.164 any

access-list 101 permit ip host 10.41.70.165 any

access-list 101 permit ip host 10.41.70.166 any

access-list 101 permit ip host 10.41.70.167 any

access-list 101 permit ip host 10.41.70.168 any

access-list 101 permit ip host 10.41.70.169 any

access-list 101 permit ip host 10.41.70.170 any

access-list 101 permit ip host 10.41.70.171 any

access-list 101 permit ip host 10.41.70.172 any

access-list 101 permit ip host 10.41.70.173 any

access-list 101 permit ip host 10.41.70.174 any

access-list 101 permit ip host 10.41.70.175 any

access-list 101 permit ip host 10.41.70.176 any

access-list 101 permit ip host 10.41.70.177 any

access-list 101 permit ip host 10.41.70.178 any

access-list 101 permit ip host 10.41.70.179 any

access-list 101 permit ip host 10.41.70.180 any

access-list 101 permit ip host 10.41.70.181 any

access-list 101 permit ip host 10.41.70.182 any

access-list 101 permit ip host 10.41.70.183 any

access-list 101 permit ip host 10.41.70.184 any

access-list 101 permit ip host 10.41.70.185 any

access-list 101 permit ip host 10.41.70.186 any

access-list 101 permit ip host 10.41.70.187 any

access-list 101 permit ip host 10.41.70.188 any

access-list 101 permit ip host 10.41.70.189 any

access-list 101 permit ip host 10.41.70.190 any

access-list 101 permit udp any any eq non500-isakmp

access-list 101 permit udp any any eq isakmp

access-list 101 permit esp any any

access-list 101 permit ahp any any

access-list 101 permit udp any eq bootps any eq bootpc

access-list 101 permit icmp any any echo

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any time-exceeded

access-list 101 permit icmp any any unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip any any log

access-list 102 remark SDM_ACL Category=2

Link zu diesem Kommentar

----part4----

 

access-list 102 deny ip any host 10.41.70.160

access-list 102 deny ip any host 10.41.70.161

access-list 102 deny ip any host 10.41.70.162

access-list 102 deny ip any host 10.41.70.163

access-list 102 deny ip any host 10.41.70.164

access-list 102 deny ip any host 10.41.70.165

access-list 102 deny ip any host 10.41.70.166

access-list 102 deny ip any host 10.41.70.167

access-list 102 deny ip any host 10.41.70.168

access-list 102 deny ip any host 10.41.70.169

access-list 102 deny ip any host 10.41.70.170

access-list 102 deny ip any host 10.41.70.171

access-list 102 deny ip any host 10.41.70.172

access-list 102 deny ip any host 10.41.70.173

access-list 102 deny ip any host 10.41.70.174

access-list 102 deny ip any host 10.41.70.175

access-list 102 deny ip any host 10.41.70.176

access-list 102 deny ip any host 10.41.70.177

access-list 102 deny ip any host 10.41.70.178

access-list 102 deny ip any host 10.41.70.179

access-list 102 deny ip any host 10.41.70.180

access-list 102 deny ip any host 10.41.70.181

access-list 102 deny ip any host 10.41.70.182

access-list 102 deny ip any host 10.41.70.183

access-list 102 deny ip any host 10.41.70.184

access-list 102 deny ip any host 10.41.70.185

access-list 102 deny ip any host 10.41.70.186

access-list 102 deny ip any host 10.41.70.187

access-list 102 deny ip any host 10.41.70.188

access-list 102 deny ip any host 10.41.70.189

access-list 102 deny ip any host 10.41.70.190

access-list 102 permit ip 10.41.70.0 0.0.0.255 any

no cdp run

!

route-map SDM_RMAP_1 permit 1

match ip address 102

!

!

control-plane

!

banner login ^CAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

transport output telnet

line aux 0

transport output telnet

line vty 0 4

transport input telnet ssh

line vty 5 15

transport input telnet ssh

!

scheduler allocate 4000 1000

scheduler interval 500

ntp clock-period 17179925

ntp server 129.132.2.21 prefer

!

end

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...