Forum
Bildirimler
Hepsini Temizle
Juniper Networking
16
Yazılar
3
Üyeler
0
Reactions
560
Görüntüleme
Konu başlatıcı
Merhaba,
Mevcutta bir g-dat hattım vardı, 2. bir g-dat aldım ve bridge mode ile bunları elimdeki SSG5 ile PBR kullanarak ilk hattımdan mail alışverişi ve sitetosite vpn, ikinci hattımdan internet çıkışımı sağlamak üzere vip ve kurallar ekledim. 2 . hattımı devreye almadım. Internet çıkışımda vpn de sorun yok, mail de geliyor fakat giden mailler exchange server'da beklemede kalıyor, smtp policy loglarında hareket var ama mailler bir türlü gitmiyor. trust to untrust ilgili policyler var smtp ve dns test ediyorum dışarıya çıkışta sorun yok. Kafama takılan g-dat hattımda 6 lı bir ip bloğum var, ben yalnız bir ip'ye ihtiyaç duyduğum için o ip'yi untrust bacağa statik girdim. Whatismyip de o ipyi görüyorum ama yinede mailler giderken şu ipyi kullansın diye bir şey yapmam gerekir mi, yada statik route falan mı girmem gerekir sorun başka neden kaynaklanır?
Yardımlarınız için teşekkürler.
Gönderildi : 28/08/2012 14:20
Merhaba,
25 nolu portun Servis Sağlayıcı tarafında açık olduğunu teyit ettiniz mi ?
Exchange gidende kalıyorsa orada mutlaka hatası da yazar hata koduyla birlikte paylaşırsanız bakalım.
Gönderildi : 28/08/2012 16:16
Konu başlatıcı
Zaten halihazırda Exchange sistemim çalışıyor. SSG5'i devreye alınca mail gitmiyor kuyrukta bekliyor. Exchange 2003 kullanıyorum smtp loglarında bir hata göremedim. Hataya nereden bakabilirim?
Gönderildi : 28/08/2012 16:37
Merhaba, SSG5 için Untrus IP adresi nedir MX için tutmuş olduğunuz ip adresi mi eğer öyle 6'lı blok olduğu için NAT sorun olabilir, Static NAT yapmayı denermisiniz ?
PBR var ise eğer, Metric her iki g.dat için aynı olmalı tüm trafic PBR ile yönlendirme yapılmalı,
Gönderildi : 29/08/2012 12:00
Konu başlatıcı
Untrust ip benim statik olarak girdiğim MX kaydı yapılmış olan ip gözüküyor şu an.
Statik nat dediğiniz MIP'mı oluyor? Bunu yaptıktan sonra trust to untrust policy'demi seçeceğim sadece? Untrust ip olarak blok ip'yimi gireceğim?
Teşekkürler.
Gönderildi : 29/08/2012 12:35
Merhaba, Untrust portunun altın MIP yapmnız Static NAT doğru, bunu yaptıkdan sonra Policy yazmanız gerekiyor, Untrust to Trust seklinde, aşağıdaki conf bakarak bir test eder misiniz
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255
vrouter trust-vr
set policy from untrust to trust any mip(1.1.1.5) http permit
Save
Gönderildi : 29/08/2012 13:35
Konu başlatıcı
MIP yaptım, policy ekledim, exchange makinesi çıkışı mx kaydı olan ip'mi gösteriyor, iki int. çıkışında metric'lerini 1 verdim ama sorun devam ediyor server'a mail geliyor fakat giden mailler kuyrukta bekliyor.
Gönderildi : 29/08/2012 17:19
Merhaba,
Trust'tan (Exchange lokal ip adresi) Untrust'a bir kural yazarak servislerden ANY tercih edip kuralı en üste taşıyıp dener misiniz?
Son olarak eğer çözüm olmadıysa config dosyasını paylaşırsanız bir inceleyelim.
Gönderildi : 30/08/2012 04:19
Konu başlatıcı
Dediğiniz gibi trust'tan untrust'a bütün trafiğe izin verecek kuralı en üste eklemiştim ama çözüm olmadı, config dosyası aşağıdaki linkte.
Teşekkürler.
http://www.dosya.tc/server20/1aSTYT/SSG5_cfg.txt.html
Gönderildi : 31/08/2012 13:57
Merhaba,
Yazdığınız Exchange kuralının logunu açıp mail trafiği blocke olunca oluşan logları da gönderir misiniz.
Son olarak exchange server üzerinden tracert yaparak sonucu paylaşın. Tekrar değerlendirelim.
Gönderildi : 31/08/2012 20:16
Konu başlatıcı
Merhaba,
Trust to untrust exchange kuralının logunu aşağıdaki linke koydum ama kuralda Smtp hareketleri gözüküyor ve herhangi bir bloke yok. Kuralların en aşağısına any any deny kuralı yazmıştım onun loguda tertemiz trust tan untrust'a herhangi bir deny yok.
Exchange'den dışarıya tracert yaptığımda g.hsdsl hattın gateway'ini kullanıyor.
http://www.dosya.tc/server20/wOrvvY/trust-untrust_log.txt.html
Gönderildi : 03/09/2012 15:10
Tekrar soracağım ama 25 nolu port açık değil mi ? Teyit ettiniz bunu ? (G.sdsl için soruyorum)
Gönderildi : 03/09/2012 16:06
Konu başlatıcı
tabi tabi zaten şu an arada firewall olmadan modem ile mail alışverişini sorunsuz yapıyoruz
Gönderildi : 03/09/2012 16:36
Konu başlatıcı
Şöyle birşey dikkatimi çekti Juniper'deki exchange policy loglarında server dan birçok ip'nin 25. portuna çıkış var gözüküyor ama cevap alamıyor. Bu ip'ler karşı exchange sunucularımı diye test ettim ama ilgisi yok. Bu ip'lerde 25. portlar açık bile değil, yani mailleri yollamaya çalıştığı domain ip'lerini yanlış çözüyor gibi. Telnet ile istediğim domain'e mail atabiliyorum.
Yapımda Exchange sunucu aynı zamanda DC+dns+dhcp sunucu olarak görev yapıyor. Network ayarlarında dns ip adresi statik olarak sadece kendisi var. İkinci bir statik dns adresi girdiğimde sadece internete girebiliyor, yine mailler gitmiyor.
Gönderildi : 12/09/2012 19:46
Konu başlatıcı
Sorun çözüldü. Ortamımdaki dns server'da dns forwarders bölümünde ilk ip modem ip'siydi. Modemi bridge mode'a alıp o ip'yi juniper'e verdiğimde mail atamıyordum. Sanırım juniper modem gibi dns forward işlemi yapamıyor. Onu kaldırıp google ve ttnet dns'lerini ilk sıraya çekince sorun düzeldi.
Yardımları için Rafet Bey'e teşekkürler.
Gönderildi : 13/09/2012 16:50
Sorun çözüldü. Ortamımdaki dns server'da dns forwarders bölümünde ilk ip modem ip'siydi. Modemi bridge mode'a alıp o ip'yi juniper'e verdiğimde mail atamıyordum. Sanırım juniper modem gibi dns forward işlemi yapamıyor. Onu kaldırıp google ve ttnet dns'lerini ilk sıraya çekince sorun düzeldi.
Yardımları için Rafet Bey'e teşekkürler.
Merhaba,
Geri bildirim için teşekkür ederiz. Juniper DNS çözümlemesinde host olarak görev üstlenebiliyor ancak SSG serilerinde DNS problemi var ne yazık ki. DNS ekran loglarda da aslında bunu görmeniz lazım. İnanın hiç aklıma gelmedi sonuçta yapı elinizin altında ve kurallarınızda loglarınızda v.s. herhangi bir hata görmemiştim oysaki.
Gönderildi : 14/09/2012 03:48
