Forum

SSG5 Mail Problemi
 
Bildirimler
Hepsini Temizle

SSG5 Mail Problemi

Yunus Torun
(@YunusTorun)
Üye

Merhaba,

Mevcutta bir g-dat hattım vardı, 2. bir g-dat aldım ve bridge mode ile bunları elimdeki SSG5 ile PBR kullanarak ilk hattımdan mail alışverişi ve sitetosite vpn, ikinci hattımdan internet çıkışımı sağlamak üzere vip ve kurallar ekledim. 2 . hattımı devreye almadım. Internet çıkışımda vpn de sorun yok, mail de geliyor fakat giden mailler exchange server'da beklemede kalıyor, smtp policy loglarında hareket var ama mailler bir türlü gitmiyor. trust to untrust ilgili policyler var smtp ve dns test ediyorum dışarıya çıkışta sorun yok. Kafama takılan g-dat hattımda 6 lı bir ip bloğum var, ben yalnız bir ip'ye ihtiyaç duyduğum için o ip'yi untrust bacağa statik girdim. Whatismyip de o ipyi görüyorum ama yinede mailler giderken şu ipyi kullansın diye bir şey yapmam gerekir mi, yada statik route falan mı girmem gerekir sorun başka neden kaynaklanır?

 Yardımlarınız için teşekkürler.

Alıntı
Konu başlatıcı Gönderildi : 28/08/2012 14:20

Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

Merhaba,


25 nolu portun Servis Sağlayıcı tarafında açık olduğunu teyit ettiniz mi ?


Exchange gidende kalıyorsa orada mutlaka hatası da yazar hata koduyla birlikte paylaşırsanız bakalım.

CevapAlıntı
Gönderildi : 28/08/2012 16:16

Yunus Torun
(@YunusTorun)
Üye

Zaten halihazırda Exchange sistemim çalışıyor. SSG5'i devreye alınca mail gitmiyor kuyrukta bekliyor. Exchange 2003 kullanıyorum smtp loglarında bir hata göremedim. Hataya nereden bakabilirim?

CevapAlıntı
Konu başlatıcı Gönderildi : 28/08/2012 16:37

mehmet.demir52
(@mehmet.demir52)
Üye

Merhaba, SSG5 için Untrus IP adresi nedir MX için tutmuş olduğunuz ip adresi mi eğer öyle 6'lı blok olduğu için NAT sorun olabilir, Static NAT yapmayı denermisiniz ?

PBR var ise eğer, Metric her iki g.dat için aynı olmalı tüm trafic PBR ile yönlendirme yapılmalı,

CevapAlıntı
Gönderildi : 29/08/2012 12:00

Yunus Torun
(@YunusTorun)
Üye

Untrust ip benim statik olarak girdiğim MX kaydı yapılmış olan ip gözüküyor şu an.

 Statik nat dediğiniz MIP'mı oluyor? Bunu yaptıktan sonra trust to untrust policy'demi seçeceğim sadece? Untrust ip olarak blok ip'yimi gireceğim?

Teşekkürler. 

CevapAlıntı
Konu başlatıcı Gönderildi : 29/08/2012 12:35

mehmet.demir52
(@mehmet.demir52)
Üye

Merhaba, Untrust portunun altın MIP yapmnız Static NAT doğru, bunu yaptıkdan sonra Policy yazmanız gerekiyor, Untrust to Trust seklinde, aşağıdaki conf bakarak bir test eder misiniz

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet2 zone untrust

set interface ethernet2 ip 1.1.1.1/24

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255

vrouter trust-vr

set policy from untrust to trust any mip(1.1.1.5) http permit

Save

CevapAlıntı
Gönderildi : 29/08/2012 13:35

Yunus Torun
(@YunusTorun)
Üye

MIP yaptım, policy ekledim, exchange makinesi çıkışı mx kaydı olan ip'mi gösteriyor, iki int. çıkışında metric'lerini 1 verdim  ama sorun devam ediyor server'a mail geliyor fakat giden mailler kuyrukta bekliyor. 

CevapAlıntı
Konu başlatıcı Gönderildi : 29/08/2012 17:19

Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

Merhaba,

Trust'tan (Exchange lokal ip adresi) Untrust'a bir kural yazarak servislerden ANY tercih edip kuralı en üste taşıyıp dener misiniz?

Son olarak eğer çözüm olmadıysa config dosyasını paylaşırsanız bir inceleyelim. 

CevapAlıntı
Gönderildi : 30/08/2012 04:19

Yunus Torun
(@YunusTorun)
Üye

Dediğiniz gibi trust'tan untrust'a bütün trafiğe izin verecek kuralı en üste eklemiştim ama çözüm olmadı, config dosyası aşağıdaki linkte.

Teşekkürler.

http://www.dosya.tc/server20/1aSTYT/SSG5_cfg.txt.html

 

 

CevapAlıntı
Konu başlatıcı Gönderildi : 31/08/2012 13:57

Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

Merhaba,

Yazdığınız Exchange kuralının logunu açıp mail trafiği blocke olunca oluşan logları da gönderir misiniz.

Son olarak exchange server üzerinden tracert yaparak sonucu paylaşın. Tekrar değerlendirelim.

CevapAlıntı
Gönderildi : 31/08/2012 20:16

Yunus Torun
(@YunusTorun)
Üye

Merhaba,

Trust to untrust exchange kuralının logunu aşağıdaki linke koydum ama kuralda Smtp hareketleri gözüküyor ve herhangi bir bloke yok. Kuralların en aşağısına any any deny kuralı yazmıştım onun loguda tertemiz trust tan untrust'a herhangi bir deny yok. 

Exchange'den dışarıya tracert yaptığımda g.hsdsl hattın gateway'ini kullanıyor.

http://www.dosya.tc/server20/wOrvvY/trust-untrust_log.txt.html

CevapAlıntı
Konu başlatıcı Gönderildi : 03/09/2012 15:10

Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

Tekrar soracağım ama 25 nolu port açık değil mi ? Teyit ettiniz bunu ? (G.sdsl için soruyorum)

CevapAlıntı
Gönderildi : 03/09/2012 16:06

Yunus Torun
(@YunusTorun)
Üye

tabi tabi zaten şu an arada firewall olmadan modem ile mail alışverişini sorunsuz yapıyoruz

CevapAlıntı
Konu başlatıcı Gönderildi : 03/09/2012 16:36

Yunus Torun
(@YunusTorun)
Üye

Şöyle birşey dikkatimi çekti Juniper'deki exchange policy loglarında server dan birçok ip'nin 25. portuna çıkış var gözüküyor ama cevap alamıyor. Bu ip'ler karşı exchange sunucularımı diye test ettim ama ilgisi yok. Bu ip'lerde 25. portlar açık bile değil, yani mailleri yollamaya çalıştığı domain ip'lerini yanlış çözüyor gibi. Telnet ile istediğim domain'e mail atabiliyorum.

Yapımda Exchange sunucu aynı zamanda DC+dns+dhcp sunucu olarak görev yapıyor. Network ayarlarında dns ip adresi statik olarak sadece kendisi var. İkinci bir statik dns adresi girdiğimde sadece internete girebiliyor, yine mailler gitmiyor. 

CevapAlıntı
Konu başlatıcı Gönderildi : 12/09/2012 19:46

Yunus Torun
(@YunusTorun)
Üye

Sorun çözüldü. Ortamımdaki dns server'da dns forwarders bölümünde ilk ip modem ip'siydi. Modemi bridge mode'a alıp o ip'yi juniper'e verdiğimde mail atamıyordum. Sanırım juniper modem gibi dns forward işlemi yapamıyor. Onu kaldırıp google ve ttnet dns'lerini ilk sıraya çekince sorun düzeldi.

Yardımları için Rafet Bey'e teşekkürler.

CevapAlıntı
Konu başlatıcı Gönderildi : 13/09/2012 16:50

Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

[quote user="Yunus Torun"]

Sorun çözüldü. Ortamımdaki dns server'da dns forwarders bölümünde ilk ip modem ip'siydi. Modemi bridge mode'a alıp o ip'yi juniper'e verdiğimde mail atamıyordum. Sanırım juniper modem gibi dns forward işlemi yapamıyor. Onu kaldırıp google ve ttnet dns'lerini ilk sıraya çekince sorun düzeldi.

Yardımları için Rafet Bey'e teşekkürler.

[/quote]

Merhaba,

Geri bildirim için teşekkür ederiz. Juniper DNS çözümlemesinde host olarak görev üstlenebiliyor ancak SSG serilerinde DNS problemi var ne yazık ki. DNS ekran loglarda da aslında bunu görmeniz lazım. İnanın hiç aklıma gelmedi sonuçta yapı elinizin altında ve kurallarınızda loglarınızda v.s.  herhangi bir hata görmemiştim oysaki.

CevapAlıntı
Gönderildi : 14/09/2012 03:48

Paylaş: