Forum

SSG5 Mail Problemi
 
Bildirimler
Hepsini Temizle

SSG5 Mail Problemi

16 Yazılar
3 Üyeler
0 Reactions
586 Görüntüleme
(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

Merhaba,

Mevcutta bir g-dat hattım vardı, 2. bir g-dat aldım ve bridge mode ile bunları elimdeki SSG5 ile PBR kullanarak ilk hattımdan mail alışverişi ve sitetosite vpn, ikinci hattımdan internet çıkışımı sağlamak üzere vip ve kurallar ekledim. 2 . hattımı devreye almadım. Internet çıkışımda vpn de sorun yok, mail de geliyor fakat giden mailler exchange server'da beklemede kalıyor, smtp policy loglarında hareket var ama mailler bir türlü gitmiyor. trust to untrust ilgili policyler var smtp ve dns test ediyorum dışarıya çıkışta sorun yok. Kafama takılan g-dat hattımda 6 lı bir ip bloğum var, ben yalnız bir ip'ye ihtiyaç duyduğum için o ip'yi untrust bacağa statik girdim. Whatismyip de o ipyi görüyorum ama yinede mailler giderken şu ipyi kullansın diye bir şey yapmam gerekir mi, yada statik route falan mı girmem gerekir sorun başka neden kaynaklanır?

 Yardımlarınız için teşekkürler.

 
Gönderildi : 28/08/2012 14:20

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,


25 nolu portun Servis Sağlayıcı tarafında açık olduğunu teyit ettiniz mi ?


Exchange gidende kalıyorsa orada mutlaka hatası da yazar hata koduyla birlikte paylaşırsanız bakalım.

 
Gönderildi : 28/08/2012 16:16

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

Zaten halihazırda Exchange sistemim çalışıyor. SSG5'i devreye alınca mail gitmiyor kuyrukta bekliyor. Exchange 2003 kullanıyorum smtp loglarında bir hata göremedim. Hataya nereden bakabilirim?

 
Gönderildi : 28/08/2012 16:37

(@mehmet.demir52)
Gönderiler: 339
Reputable Member
 

Merhaba, SSG5 için Untrus IP adresi nedir MX için tutmuş olduğunuz ip adresi mi eğer öyle 6'lı blok olduğu için NAT sorun olabilir, Static NAT yapmayı denermisiniz ?

PBR var ise eğer, Metric her iki g.dat için aynı olmalı tüm trafic PBR ile yönlendirme yapılmalı,

 
Gönderildi : 29/08/2012 12:00

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

Untrust ip benim statik olarak girdiğim MX kaydı yapılmış olan ip gözüküyor şu an.

 Statik nat dediğiniz MIP'mı oluyor? Bunu yaptıktan sonra trust to untrust policy'demi seçeceğim sadece? Untrust ip olarak blok ip'yimi gireceğim?

Teşekkürler. 

 
Gönderildi : 29/08/2012 12:35

(@mehmet.demir52)
Gönderiler: 339
Reputable Member
 

Merhaba, Untrust portunun altın MIP yapmnız Static NAT doğru, bunu yaptıkdan sonra Policy yazmanız gerekiyor, Untrust to Trust seklinde, aşağıdaki conf bakarak bir test eder misiniz

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet2 zone untrust

set interface ethernet2 ip 1.1.1.1/24

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255

vrouter trust-vr

set policy from untrust to trust any mip(1.1.1.5) http permit

Save

 
Gönderildi : 29/08/2012 13:35

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

MIP yaptım, policy ekledim, exchange makinesi çıkışı mx kaydı olan ip'mi gösteriyor, iki int. çıkışında metric'lerini 1 verdim  ama sorun devam ediyor server'a mail geliyor fakat giden mailler kuyrukta bekliyor. 

 
Gönderildi : 29/08/2012 17:19

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,

Trust'tan (Exchange lokal ip adresi) Untrust'a bir kural yazarak servislerden ANY tercih edip kuralı en üste taşıyıp dener misiniz?

Son olarak eğer çözüm olmadıysa config dosyasını paylaşırsanız bir inceleyelim. 

 
Gönderildi : 30/08/2012 04:19

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

Dediğiniz gibi trust'tan untrust'a bütün trafiğe izin verecek kuralı en üste eklemiştim ama çözüm olmadı, config dosyası aşağıdaki linkte.

Teşekkürler.

http://www.dosya.tc/server20/1aSTYT/SSG5_cfg.txt.html

 

 

 
Gönderildi : 31/08/2012 13:57

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,

Yazdığınız Exchange kuralının logunu açıp mail trafiği blocke olunca oluşan logları da gönderir misiniz.

Son olarak exchange server üzerinden tracert yaparak sonucu paylaşın. Tekrar değerlendirelim.

 
Gönderildi : 31/08/2012 20:16

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

Merhaba,

Trust to untrust exchange kuralının logunu aşağıdaki linke koydum ama kuralda Smtp hareketleri gözüküyor ve herhangi bir bloke yok. Kuralların en aşağısına any any deny kuralı yazmıştım onun loguda tertemiz trust tan untrust'a herhangi bir deny yok. 

Exchange'den dışarıya tracert yaptığımda g.hsdsl hattın gateway'ini kullanıyor.

http://www.dosya.tc/server20/wOrvvY/trust-untrust_log.txt.html

 
Gönderildi : 03/09/2012 15:10

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Tekrar soracağım ama 25 nolu port açık değil mi ? Teyit ettiniz bunu ? (G.sdsl için soruyorum)

 
Gönderildi : 03/09/2012 16:06

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

tabi tabi zaten şu an arada firewall olmadan modem ile mail alışverişini sorunsuz yapıyoruz

 
Gönderildi : 03/09/2012 16:36

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

Şöyle birşey dikkatimi çekti Juniper'deki exchange policy loglarında server dan birçok ip'nin 25. portuna çıkış var gözüküyor ama cevap alamıyor. Bu ip'ler karşı exchange sunucularımı diye test ettim ama ilgisi yok. Bu ip'lerde 25. portlar açık bile değil, yani mailleri yollamaya çalıştığı domain ip'lerini yanlış çözüyor gibi. Telnet ile istediğim domain'e mail atabiliyorum.

Yapımda Exchange sunucu aynı zamanda DC+dns+dhcp sunucu olarak görev yapıyor. Network ayarlarında dns ip adresi statik olarak sadece kendisi var. İkinci bir statik dns adresi girdiğimde sadece internete girebiliyor, yine mailler gitmiyor. 

 
Gönderildi : 12/09/2012 19:46

(@YunusTorun)
Gönderiler: 40
Trusted Member
Konu başlatıcı
 

Sorun çözüldü. Ortamımdaki dns server'da dns forwarders bölümünde ilk ip modem ip'siydi. Modemi bridge mode'a alıp o ip'yi juniper'e verdiğimde mail atamıyordum. Sanırım juniper modem gibi dns forward işlemi yapamıyor. Onu kaldırıp google ve ttnet dns'lerini ilk sıraya çekince sorun düzeldi.

Yardımları için Rafet Bey'e teşekkürler.

 
Gönderildi : 13/09/2012 16:50

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Sorun çözüldü. Ortamımdaki dns server'da dns forwarders bölümünde ilk ip modem ip'siydi. Modemi bridge mode'a alıp o ip'yi juniper'e verdiğimde mail atamıyordum. Sanırım juniper modem gibi dns forward işlemi yapamıyor. Onu kaldırıp google ve ttnet dns'lerini ilk sıraya çekince sorun düzeldi.

Yardımları için Rafet Bey'e teşekkürler.

Merhaba,

Geri bildirim için teşekkür ederiz. Juniper DNS çözümlemesinde host olarak görev üstlenebiliyor ancak SSG serilerinde DNS problemi var ne yazık ki. DNS ekran loglarda da aslında bunu görmeniz lazım. İnanın hiç aklıma gelmedi sonuçta yapı elinizin altında ve kurallarınızda loglarınızda v.s.  herhangi bir hata görmemiştim oysaki.

 
Gönderildi : 14/09/2012 03:48

Paylaş: