TMG läßt SMTP Datenverkehr nicht zu

[Lavikus 10]

Hallo zusammen,

 

mein TMG 2010 läßt keine SMTP Daten von internen Netz nach extern nicht zu und quitiert die mit der Fehlermeldung "Die Richtlinienregeln lassen die Benutzeranforderung nicht zu"

 

 

TMG steht für sich alleine. Regel für SMTP ist vorhanden und läßt den Datenverkehr von Intern bzw. den Exchange Server nach extern zu.

 

Der Exchange Server steht für sich alleine und hängt an den DC. OWA und EAS sind von extern zugreifbar. Der Nachrichtenversand intern funkrioniert auch.

 

Im Exchange wird für den Nachrichtenversand (keine EDGE Rolle auf den TMG installiert) ein Smarthost benutzt. Der zeigt zum Provider und benötigt keine zusötzlichen kennungen.

 

Bei der Nachrichtenverfolgung kann eingesehen serden, dass der connector funktioniert und alle externen Nachrichten an den Smarthost weiterleitet werden jedoch mit einen fehler nicht gesendet werden.

 

Die Protokolleinsicht habe ich mir zu diesen Zeitpunkt gespart da es ersichtlich ist, dass der TMG den Datenverkehr an Port 25 nicht zuläßt.

 

Hier ein Bild wie es momentan aussieht.

 

Vielen Dank für eure Hilfe

[NorbertFe 2.013]

Sorry, aber deine Formulierungen sind so "schräg", dass ich mich frage, ob ich überhaupt was verstanden habe von dem was du schreibst. ;)

 

Du hast also einen Exchange und der sendet an einen Smarthost? Du hast am TMG eine Firewallregel, welche SMTP ausgehend an extern (oder den Smarthost vom Provider) von Exchange zuläßt und eine die eingehenden traffic auf den Exchange zuläßt? Was passiert, wenn du mit Telnet vom Exchange aus eine Verbindung zum Smarthost aufbaust?

 

Bye

Norbert

[Lavikus 10]

sorry, für meine schreibweise. Ich habe den Text verfasst neben ein telefonat!

 

Richtig. Der TMG besitzt eine Regel wo der SMTP anforderungen vom Exchange zum Internet gesendet werden.

 

Die übermittlung erfolgt an einen Smarthost von T-Online.

 

Telnnet meldet:

Befehl: 194.25.134.92:25

Verbindungsaufbau zu 194.25.134.92:25...Es konnte keine Verbindung mit den Host hergestellt werden, auf port 23: Verbindungsfehler.

 

Gleichzeitig greift die FW Regel SMTP und verweigert den Datenverkehr von Intern zu extern auf 194.25.134.92:25 Protokoll SMTP.

Status: Die angeforderte Adresse ist in diesen Kontekt ungültig.

[NorbertFe 2.013]

Die übermittlung erfolgt an einen Smarthost von T-Online.

 

Telnnet meldet:

Befehl: 194.25.134.92:25

Verbindungsaufbau zu 194.25.134.92:25...Es konnte keine Verbindung mit den Host hergestellt werden, auf port 23: Verbindungsfehler.

 

Wieso Port 23?

 

Hat es denn überhaupt schonmal funktioniert? Hat sich sonst irgendwas am Setup geändert? Stimmt die IP für den Smarthost überhaupt noch?

 

Bye

Norbert

[Lavikus 10]

bin auch über die 23 gestolpert aber der TMG reagierte richtig auf den Port 25. Ich habe vorher ein Ping auf smptrelay.t-online.de getätigt und die IP erhalten.

 

Der TMG sowie Exchange Server ist neu aufgesetzt worden und daher auch der connector.

 

Es existiert auch ein ISA 2006 + Exchange 2003 (getrennt von den Fehlerbehafteten Server) der auch über diesen Smarthost erfogreich sendet.

 

Ich vermute den Fehler auf den TMG aber wo und wieso sperrt die Std. Regel diesen Datenverkehr.

[NorbertFe 2.013]

Es existiert auch ein ISA 2006 + Exchange 2003 (getrennt von den Fehlerbehafteten Server) der auch über diesen Smarthost erfogreich sendet.

 

OK, dann schau nochmal nach, dass die Konfiguration von TMG nach dem Vorbild des ISA korrekt vorgenomen wurden. Stehen die jetzt alle parallel, oder wie muß ich mir das vorstellen?

 

Ich vermute den Fehler auf den TMG aber wo und wieso sperrt die Std. Regel diesen Datenverkehr.

 

Wenns die Standardregel ist, im Allgemeinen weil das Routing (Netzwerkverhältnis) nicht stimmt.

 

Bye

Norbert

[Lavikus 10]

die TMG Regel entspricht den Einstellungen des ISA2006 Servers. Der unterschiet ist dass der ISA als Menber in der Domäne steht.

 

Auch die Std. Regel bez. SMTP ist gleich.

 

Der ISA 2006 hängt an einer zweiten sowie getrennten DSL Leitung.

 

Routihg ist ein guter Ansatz. Du meist das Netzwerkverhältnis von der 1 NIC (TMG zu DSL). Die 2 NIC (Intern zum DC) sowie NIC 2 (Intern zu DMZ) sollte davon nicht betroffen sein da der Fehler beim TMG landet und der mit der NIC 1 nach extern geht.

 

Oha muss erst eine Datensicherung machen.

[boardadmin 0]

@Lavikus:

 

Screenshots von Fehlermeldungen schalten wir nicht frei. Photos die du vom Bildschirm mit einer Digitalkamera aufgenommen hast schon zweimal nicht!

 

Bitte tippe die Informationen ab und stelle sie als Text in deinen Thread!

[Lavikus 10]

sorry wenn ich gehen diese Regel verstoßen habe. Die Aufnahme stammt von meinen eigenen Systemen. Befolge jedoch in Zukunft deiner Bitte.

 

Lg

[djmaker 95]

Verschieb die Regel mal an die 1. Stelle.

[Lavikus 10]

Hallo zusammen,

Verschiebung der Regel zeigt keine Änderungen!

 

ich bin leider immer noch mit meinem angezeigten Problem beschäftigt jedoch etwas weiter gekommen.

 

Ich gehe jetzt davon aus, dass Netzwerküberprüfungssystem (NIS) mit der Sache etwas zu tun hat denn wenn ich die Eigenschaften bearbeite und in den Ausnahmen den internen sowie lokalen Host eintrage (zusätzlich ist auch der DC für den Exchange 2010) eigetragen baut Telnet eine Verbindung zu smtprelay.t-online.de Port 25 auf und Quittiert es mit:

 

220 fwd11.aut.t-online.de T_online EDMTP reciever fmsad1125 ready. /T-Online ESMTP Empfänger smtprelay.t-online.de bereit.

 

Im TMG 2010 kann gleichzeitig unter Protokolle eingesehen werde dass der Datenverkehr zugelassen worden ist.

 

Trotz der gelegten Ausnahmen bez. des DC´s bekomme ich auf den Exchange folgende Meldung bei den Telnet Befehl „telnet smtprelay.t-online.de 25

 

421 Cannot connect to SMTP server 194.25.134.92 (194.25.134.92:25), connect error 10060 Verbindung zu Host verloren.

 

Hier nochmal der Aufbau:

 

TMG 2010 mit SP2 und aktivierten NIS sowie Malwareüberprüfung. Der TMG gehört keiner Domäne an und ist auch kein DC. EDGE Rolle ist nicht installiert.

 

Nic1: 192.168.100.1/24 für Intern

Nic2: 192.168.0.20 /24 für extern

Nic3: 192.168.200.1/24 für Clientbenutzung

 

Der DC hat eine Nic mit der IP 192.168.100.10/24

und der Exchange 2010 als menber die 192.168.100.11

 

Auf den TMG 2010 sind veröffentlichungsregeln für Exchange 2010 vorhanden. (Exchange Anywhare, Exchange Active Sync sowie Exchange OWA).

 

Eine FW Regel für SMTP von Intern, lokaler Host und DC als Computersatz zu extern ist eingerichtet

 

Leider blockiert der TGM der SMTP Datenverkehr mit der Meldung:

Fehlgeschlagener Verbindungsversuch

Protokoltyp: Firewaldienst

Status: Die angeforderte Adresse ist in diesen Kontext ungültig.

Regel: SMTP

Quelle: Intern (192.168.100.10:7640)

Ziel: Extern (194.25.134.92:25

Protokoll: SMTP

 

Kennt Ihr so ein Verhalten?

[NorbertFe 2.013]

Hier gehts übrigens weiter in der Diskussion. ;)

SMTP wird vom TMG ausgehend blockiert

 

Den SMTP Filter vom TMG hab ich bisher nur dann negativ in Erinnerung, wenn man mit einem Edge redet. ;)

 

Bye

Norbert

[Lavikus 10]

Hi Norbert, dieses Ding schafft mich.....

 

SMTP Anwendungsfilter habe ich kurz deaktiviert und die Dienste neu gestartet. In diesen Momennt des Dienste-Starts funktionierte kurz die Versendung der angesammelten Nachrichten vom Exchange. Ja diese Anfrage war meine lätzte Hoffnung in dieser Sache.