Jump to content

Cisco PIX 515E SMTP Problem

rhe

Von rhe
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

rhe Contributor

rhe   10

Geschrieben
Geschrieben

Hallo,

 

Ich habe das Problem, dass ich nicht mit externen SMTP Servern kommunizieren kann. Sobald ich versuche per Telnet mit dem Server mail.email.com kontakt

aufzunehmen passiert folgendes:

 

telnet

open mail.email.com 25

220 mail.email.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713

ready at Tue, 29 Nov 2005 03:30:41 -0800

 

Sobald ich eine weitere Taste drücke bricht die Verbindung zusammen

(Connection to host lost).

Die gleiche vorgehensweise bei dem lokalem Exchange Server erlaubt mit die

vollständige SMTP Komunikation (EHLO ...).

 

Ich habe das Problem jetzt mit Hilfe von

windump soweit eingegrenzt, dass es wohl an meiner Firewall liegen muss.

Bei der Firewall handelt es sich um eine Cisco PIX 515E. Nach einigem

googlen bin ich auf ein ähnliches Problem gestoßen.

(http://support.microsoft.com/default.aspx?scid=kb;en-us;320027). Es wird

darauf hingewiesen das Mail Guard feature zu disablen. Das habe ich getan.

Das Problem tritt aber immernoch auf. Bei jeder Telnetverbindung Port 25 auf

einen externen SMTP Server, bricht die Verbindung nach dem Handshake zusammen.

Was kann ich hier tun?

 

Danke und Gruss

Link zu diesem Kommentar
rhe Contributor

rhe   10

Geschrieben
  • Autor
Geschrieben

Hier meine Konfiguration:

 

: Written by XXX at 12:29:52.690 CEST Wed Nov 30 2005

PIX Version 6.3(1)

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 auto

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security50

enable password ******* encrypted

passwd ******* encrypted

hostname ******

domain-name ******.de

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

no fixup protocol smtp 25

fixup protocol sqlnet 1521

 

falls Du noch weitere Teile der Konfiguration brauchst sag Bescheid. Ansonsten ist das Problem trotz des no fixup nicht behoben :(.

 

Ich bin noch nicht der Cisco IOS Profi. Habe auch auf der Cisco Homepage (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_63/index.htm) nicht gefunden wie ich mir das Logging Protokol anzeigen lasse. Wie kann ich mit das aktuelle Logging in der SSH Shell ansehen?

 

Ein "Show logging" gibt mir folgende Meldung aus:

 

pixfirewall# show logging

Syslog logging: enabled

Facility: 20

Timestamp logging: disabled

Standby logging: disabled

Console logging: disabled

Monitor logging: disabled

Buffer logging: disabled

Trap logging: disabled

History logging: disabled

Device ID: disabled

 

 

Danke und Gruss

Link zu diesem Kommentar
rhe Contributor

rhe   10

Geschrieben
  • Autor
Geschrieben

Ich habe mir das Log file mit Hilfe des PDM angesehen. Ich denke folgende drei Log Einträge sind interessant.

 

1. Build dynamic TCP translation from inside: XXX.XXX.XXX.XXX/XX to outside XXX.XXX.XXX.XXX/XX

2. Build outbound TCP connection 26616495 for outside XXX.XXX.XXX.XXX/XX to inside XXX.XXX.XXX.XXX/XX

3. Teardown TCP connection 26616495 for outside XXX.XXX.XXX.XXX/XX to inside XXX.XXX.XXX.XXX/XX duration 0:00:01 bytes 38 TCP Reset-0

 

Hilfe...

Link zu diesem Kommentar
rhe Contributor

rhe   10

Geschrieben
  • Autor
Geschrieben

PIX Version 6.3(1)

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 auto

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security50

enable password XXXXXXXX encrypted

passwd XXXXXXXX encrypted

hostname pixfirewall

domain-name XXXXXXXX .de

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

no fixup protocol smtp 25

fixup protocol sqlnet 1521

names

name XXX.XXX.1.2 XXXXXXXX

 

object-group service web-standard tcp

port-object eq ftp

port-object eq nntp

port-object eq https

port-object eq www

port-object range 2003 2003

port-object range 3000 3000

port-object range 11371 11371

port-object range 9988 9988

access-list 101 permit ip 10.10.0.0 255.255.0.0 10.20.0.0 255.255.0.0

access-list 101 permit ip any 10.20.0.0 255.255.255.0

access-list outside_cryptomap_dyn_30 permit ip any 10.20.0.0 255.255.255.0

access-list outside_cryptomap_dyn_50 permit ip any 10.20.0.0 255.255.255.0

logging on

icmp permit any inside

mtu outside 1500

mtu inside 1500

mtu dmz 1500

ip address outside XXX.XXX.XXX.XXX 255.255.255.248

ip address inside XXX.XXX.XXX.XXX 255.255.0.0

ip address dmz XXX.XXX.XXX.XXX 255.255.248.0

ip audit name Angriffsalarm attack action alarm

ip audit interface outside Angriffsalarm

ip audit info action alarm

ip audit attack action alarm

ip local pool ippool XXX.XXX.XXX.XXX-XXX.XXX.XXX.XXX

pdm location XXX.XXX.XXX.XXX 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

global (dmz) 1 192.168.2.1-192.168.2.254

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

nat (dmz) 1 192.168.0.0 255.255.248.0 0 0

static (dmz,outside) XXX.XXX MailSweeper netmask 255.255.255.255 0 0

static (inside,dmz) Exchange_Server 10.10.0.12 netmask 255.255.255.255 0 0

conduit permit tcp host XXX.XX.XX eq smtp any

conduit permit tcp host Exchange_Server eq smtp host MailSweeper

conduit permit tcp host Exchange eq pop3 any

conduit permit tcp host Exchange eq imap4 any

conduit permit tcp host Exchange eq www any

conduit permit tcp host HTTP-FTP eq www any

conduit permit tcp host VPN eq pptp any

conduit permit gre host VPN any

route outside 0.0.0.0 0.0.0.0 XXX.XXXX.XXX

route inside 1.0.0.0 255.0.0.0 10.10.0.10 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

aaa authentication ssh console LOCAL

aaa authentication telnet console LOCAL

http server enable

no snmp-server location

no snmp-server contact

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-des esp-md5-hmac

Link zu diesem Kommentar
rhe Contributor

rhe   10

Geschrieben
  • Autor
Geschrieben

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto dynamic-map dynmap 10 set transform-set myset

crypto dynamic-map dynmap 30 match address outside_cryptomap_dyn_30

crypto dynamic-map dynmap 30 set transform-set myset

crypto dynamic-map dynmap 50 match address outside_cryptomap_dyn_50

crypto dynamic-map dynmap 50 set transform-set ESP-3DES-MD5

crypto map mymap 10 ipsec-isakmp dynamic dynmap

crypto map mymap client authentication LOCAL

crypto map mymap interface outside

isakmp enable outside

isakmp identity address

isakmp client configuration address-pool local ippool outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash md5

isakmp policy 30 group 2

isakmp policy 30 lifetime 86400

console timeout 10

vpdn group XXX accept dialin l2tp

vpdn username XXX password ********

vpdn enable outside

vpdn enable inside

username XXX password XXX encrypted privilege 3

terminal width 80

banner login XXX PIX Firewall

Cryptochecksum:dcXXX7dXXXX55eXXXc32b69e18c29

Link zu diesem Kommentar
rhe Contributor

rhe   10

Geschrieben
  • Autor
Geschrieben
Jetzt hab ich glaub ich den Fehler gefunden:

 

Resolved Caveats - Release 6.3(4)

CSCed12098 PIX smtp fixup doesnt handle multiline banners correctly

 

 

Mach mal ein Update von 6.3.1 auf 6.3.4 und versuchs nochmal.

 

SUPER. Danke für den Hinweiss. Ich war wirklich schon am Verzweifeln. Kannst Du mir eine Firma empfehlen wo ich das aktuelle IOS erwerben kann?

 

Danke und Gruss

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...