notifiche via mail tramite vpn L2L [risolto]

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

Ciao a tutti,
avrei una domanda.

Vorrei attivare le notifiche via email da alcuni firewall ASA5505 collegati alla sede centrale con una vpn.
Visto che nelle sedi remote non ci sono server smtp, vorrei inviare le notifiche ad un server smtp della sede centrale.

Se provo a pingare il server dal firewall, non ho problemi, ma non riesco ad inviare
nel tunnel le email.

Qualcuno ha idee?

Ringrazio in anticipo.
Ultima modifica di network_bo il ven 19 lug , 2013 5:10 pm, modificato 1 volta in totale.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Se lo pinghi e hai raggiungibilità sulla porta 25 del server smtp non è più un problema di rete, guarda la configurazione smtp del server.

Rizio
Si vis pacem para bellum
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

Grazie per la risposta.

Il mio dubbio è che il firewall non usi l'interfaccia inside per inviare le mail, mentre per il ping ed il syslog si definisce quale interfaccia usare.

Quando ho provato, nella sede centrale non vedevo connessioni sulla porta 25
con sorgente l'inside del firewall remoto.

Come posso capire dove invia le mail il firewall? Packet capture sull'outside?
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ho guardato anche la mia conf dell'asa dove ho implementato il servizio di mail (per i login delle VPN) ma non ho visto alcuna configurazione particolare per l'smtp.
Credo perciò che, secondo la canonica logica Cisco (e non solo), lui cerchi di raggiungere l'ip dell'smtp in base alle informazioni di routing che ha, di conseguenza, a priori, io proverei a forzargli una rotta secca per quell'IP sul next hop del tunnel (magari con un track così ti puoi giocare anche l'up&down della stessa) giusto per sincerarmi che prenda la strada giusta.
Successivamente credo che userà l'interfaccia verso quella direzione per presentarsi all'smtp.

Alla peggio puoi sempre provare con un'acl di debug se non riesci ad uscirne in altro modo. L'appoggi una alla volta sulle interfacce che hai e vedi quale matcha.

Se ci sono altri metodi più intelligenti/consoni non li conosco perciò lascio l'intervento ai più dotti del forum :)
Rizio
Si vis pacem para bellum
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

Ho provato con la rotta, ma non ho ottenuto granché.
Non posso fare molti test perché non vorrei creare problemi alla posta.

Comunque ho un ticket aperto con Cisco, vi farò sapere se risolvo.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Domanda banale ma non si sa mai: le acl che hai impostato permettono il transito dell'smtp vero? Hai provato semplicemente a toglierle (ossia mettere un permit any any alla fine per 5 minuti) per capire se possa essere quello?


Del resto si, se ci posti come risolvi credo sia interessante.
Rizio
Si vis pacem para bellum
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

Ho risolto in seguito all'indicazione della TAC.

In pratica bisogna aggiungere nel traffico da inviare nel tunnel quello tra l'ip pubblico
del firewall remoto ed il server della sede centrale.

Quindi nella crypto map si aggiunge, nella sede remota,

ip_pubblico_ASA_remoto -> ip_privato_smtp

mentre nel firewall locale si mette la regola contraria

ip_privato_smtp -> ip_pubblico_ASA_remoto

Non ci sarei mai arrivato!
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Si, decisamente neanche io, grazie per l'info.

Rizio
Si vis pacem para bellum
Rispondi