Toon posts:

Port forwarding Mikrotik SMTP

Pagina: 1
Acties:

maandag 5 oktober 2015 21:24

Acties:
  • 0 Henk 'm!
  • m server 2003
  • Registratie: November 2009
  • Laatst online: 25-05 19:17

m server 2003

Topicstarter
Beste Tweakers,

Ik heb nu al een tijdje een Mikrotik router voor mijn netwerk.

Nu heb ik een probleem met het forwarden van mijn SMTP server.

Dit is de setup:

WAN1: 63.163.123.122
WAN2: 63.163.123.123 Mail server IP

Prive: 10.10.1.1
Gasten:10.10.20.1
DMZ: 10.10.30.1

De SMTP server heeft het ip 10.10.30.14 en zit dus op het DMZ VLAN.
De forwarding opzich werk wel alleen komt de mail aan in de server die afkomstig is van 10.10.30.1 en de SMTP server blokkeert dus de router na verloop van tijd.

Dit is de forwarding in de router.
Afbeeldingslocatie: http://vanderwal-ict.nl/images/Capture1.PNG
Afbeeldingslocatie: http://vanderwal-ict.nl/images/Capture2.PNG

Dit is de melding die ik zie in het logboek:
Oct 5 15:21:51 VM-ASPAM01 postfix/smtpd[18992]: too many errors after RCPT from unknown[10.10.30.1]
Oct 5 15:21:51 VM-ASPAM01 postfix/smtpd[18992]: disconnect from unknown[10.10.30.1]

Heeft iemand een idee hoe ik die SMTP server in plaats van het ip van de router het ip van de Bron kan laten zien zodat niet meteen alle mail word geblokkeerd?

maandag 5 oktober 2015 21:28

Acties:
  • 0 Henk 'm!
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 15-09 14:23

_-= Erikje =-_

Heb je er ergens ook srcnat in staan? Dnat past alleen de bestemming aan...

maandag 5 oktober 2015 21:30

Acties:
  • 0 Henk 'm!
  • m server 2003
  • Registratie: November 2009
  • Laatst online: 25-05 19:17

m server 2003

Topicstarter
Hoi Erikje,

Bedankt voor je snelle reactie.

Ja, Bij Chain en action kan ik hem op srcnat zetten.
Ga het even proberen.

maandag 5 oktober 2015 21:47

Acties:
  • 0 Henk 'm!
  • m server 2003
  • Registratie: November 2009
  • Laatst online: 25-05 19:17

m server 2003

Topicstarter
Het ziet er naar uit dat er nu helemaal niks meer binnenkomt.
Er het aantal packets blijft op 0 staan.

dinsdag 6 oktober 2015 08:49

Acties:
  • 0 Henk 'm!
  • _Hades_
  • Registratie: Juli 2000
  • Laatst online: 10:37

_Hades_

De dst nat regel is ook wel goed aangezien de mail aankomt bij de server. Echter word zoals erikje al aangeeft ook ergens een src nat uitgevoerd. Even zoeken dus in de rest van je ruleset waar dat gebeurd. (Ik ken mikrotik niet heel goed maar zou goed kunnen dat dat zelfs in dezelfde regel als waar je dstnat doet is ingesteld)

donderdag 8 oktober 2015 19:57

Acties:
  • 0 Henk 'm!
  • m server 2003
  • Registratie: November 2009
  • Laatst online: 25-05 19:17

m server 2003

Topicstarter
Hoi Erikje en Hades,

Sorry voor de late reactie.
Had even geen tijd om er naar te kijken. Gelukkig nu even een dag vrij!!

Ik heb even gekeken maar ik kan maar 1 regel vinden en dat is de dst nat regel.

donderdag 8 oktober 2015 21:14

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:33

Thralas

_Hades_ schreef op dinsdag 06 oktober 2015 @ 08:49:
(Ik ken mikrotik niet heel goed maar zou goed kunnen dat dat zelfs in dezelfde regel als waar je dstnat doet is ingesteld)
Nope, dat kan niet. Werkt allemaal analoog aan Linux's iptables..

En als er geen srcnat in de rules staat dan is het een kromme MASQUERADE rule. Veel meer opties zijn er niet geloof ik.
m server 2003 schreef op donderdag 08 oktober 2015 @ 19:57:
Ik heb even gekeken maar ik kan maar 1 regel vinden en dat is de dst nat regel.
Post anders eens wat configsnippets ipv. screenshots, dan komen we waarschijnlijk een stuk sneller tot een oplossing.

vrijdag 9 oktober 2015 13:54

Acties:
  • 0 Henk 'm!
  • m server 2003
  • Registratie: November 2009
  • Laatst online: 25-05 19:17

m server 2003

Topicstarter
Dit is een screenshot van alle port forwardings:
Afbeeldingslocatie: http://vanderwal-ict.nl/images/Capture3.PNG

Er staat inderdaad wel een masquerade in.
Die port 25 helemaal onderin is een SRCnat als test maar dat werkt niet.

vrijdag 9 oktober 2015 18:49

Acties:
  • 0 Henk 'm!
  • _Hades_
  • Registratie: Juli 2000
  • Laatst online: 10:37

_Hades_

Wat gebeurd er als je de masquerade (srcnat) regel aanpast naar alleen de source adresreeks die je intern gebruikt? Als ik het goed lees doe je nu een srcnat op any, dus zowel intern naar extern als extern naar intern.

vrijdag 9 oktober 2015 19:01

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:33

Thralas

Veel duidelijker dan dat ga je ze niet vinden.

Als je rule helemaal niet gehit wordt dan gaan de packets elders al de chain uit. Bijvoorbeeld bij een onvoorwaardelijke masquerade (eek). Firewall debugging 101 ;)

zaterdag 10 oktober 2015 17:58

Acties:
  • 0 Henk 'm!
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-07 11:44

ShadowAS1

IT Security Nerd

Stomme vraag misschien,
maar blokkeert jouw ISP niet toevallig 25 inbound/outbound?

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 16 oktober 2015 15:46

Acties:
  • 0 Henk 'm!
  • m server 2003
  • Registratie: November 2009
  • Laatst online: 25-05 19:17

m server 2003

Topicstarter
Nee mijn ISP blokkeerd het niet. Het werkt ook wel maar om het moment meerder mail komen. Of spam dan blokkeerd de Mail server het afkomst adres van de mail. En door deze forwarding is de afkomst van elke mail 10.10.30.1.

zaterdag 17 oktober 2015 11:10

Acties:
  • 0 Henk 'm!
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 15-09 14:23

_-= Erikje =-_

dat komt omdat je ook van buiten naar binnen masquarade, pas regel 16 hierboven maar eens aan om alleen op je interne range (of in/externe interface) te matchen.

zaterdag 17 oktober 2015 21:35

Acties:
  • 0 Henk 'm!
  • m server 2003
  • Registratie: November 2009
  • Laatst online: 25-05 19:17

m server 2003

Topicstarter
Hoe bedoel je dat precies? Ik heb namelijk 2 externe interfaces en 4 interne.

donderdag 21 januari 2016 15:15

Acties:
  • 0 Henk 'm!
  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06 16:35

raymonvdm

Ik weet niet hoe je uitgaande routering is maar het lijkt erop dat je twee interfaces hebt binnen hetzelfde subnet. Ik verwacht dus dat het verkeer voor het tweede ip adres altijd via de 1e interface naar buiten gaat en daarmee ook de masq regel volgt voor die interface (en dus dat ip adres als source mee stuurt)

Ik heb dit in het verleden gehad bij BBNED met 4 interfaces en hun eigen WAN ip adres en dat ging met SRC-NAT zonder problemen. Het is wel zo dat het retour verkeer altijd via 1 interface uit gaat tenzij je gaat werken met mangle regels

Disable de MASQ regel en maak twee SRC-NAT regels aan

code:
1
2
3
4
5
6
7
8

/ip firewall nat> export 

add action=masquerade chain=srcnat out-interface=WAN1 disabled=yes src-address=192.168.110.0/24

/ip firewall nat> export 

add action=src-nat chain=srcnat comment="Mail Server Outbound" dst-address-list=!NO-SRC-NAT out-interface=WAN2 src-address=192.168.110.30 to-addresses=xx.xx.xx.2
add action=src-nat chain=srcnat comment="Mail Server Outbound" dst-address-list=!NO-SRC-NAT out-interface=WAN1 src-address=192.168.110.0/24 to-addresses=xx.xx.xx..3
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq