CiscoForums.it

Ciao a tutti,
avrei una domanda.

Vorrei attivare le notifiche via email da alcuni firewall ASA5505 collegati alla sede centrale con una vpn.
Visto che nelle sedi remote non ci sono server smtp, vorrei inviare le notifiche ad un server smtp della sede centrale.

Se provo a pingare il server dal firewall, non ho problemi, ma non riesco ad inviare
nel tunnel le email.

Qualcuno ha idee?

Ringrazio in anticipo.

Se lo pinghi e hai raggiungibilità sulla porta 25 del server smtp non è più un problema di rete, guarda la configurazione smtp del server.

Rizio

Grazie per la risposta.

Il mio dubbio è che il firewall non usi l'interfaccia inside per inviare le mail, mentre per il ping ed il syslog si definisce quale interfaccia usare.

Quando ho provato, nella sede centrale non vedevo connessioni sulla porta 25
con sorgente l'inside del firewall remoto.

Come posso capire dove invia le mail il firewall? Packet capture sull'outside?

Ho guardato anche la mia conf dell'asa dove ho implementato il servizio di mail (per i login delle VPN) ma non ho visto alcuna configurazione particolare per l'smtp.
Credo perciò che, secondo la canonica logica Cisco (e non solo), lui cerchi di raggiungere l'ip dell'smtp in base alle informazioni di routing che ha, di conseguenza, a priori, io proverei a forzargli una rotta secca per quell'IP sul next hop del tunnel (magari con un track così ti puoi giocare anche l'up&down della stessa) giusto per sincerarmi che prenda la strada giusta.
Successivamente credo che userà l'interfaccia verso quella direzione per presentarsi all'smtp.

Alla peggio puoi sempre provare con un'acl di debug se non riesci ad uscirne in altro modo. L'appoggi una alla volta sulle interfacce che hai e vedi quale matcha.

Se ci sono altri metodi più intelligenti/consoni non li conosco perciò lascio l'intervento ai più dotti del forum
Rizio

Ho provato con la rotta, ma non ho ottenuto granché.
Non posso fare molti test perché non vorrei creare problemi alla posta.

Comunque ho un ticket aperto con Cisco, vi farò sapere se risolvo.

Domanda banale ma non si sa mai: le acl che hai impostato permettono il transito dell'smtp vero? Hai provato semplicemente a toglierle (ossia mettere un permit any any alla fine per 5 minuti) per capire se possa essere quello?


Del resto si, se ci posti come risolvi credo sia interessante.
Rizio

Ho risolto in seguito all'indicazione della TAC.

In pratica bisogna aggiungere nel traffico da inviare nel tunnel quello tra l'ip pubblico
del firewall remoto ed il server della sede centrale.

Quindi nella crypto map si aggiunge, nella sede remota,

ip_pubblico_ASA_remoto -> ip_privato_smtp

mentre nel firewall locale si mette la regola contraria

ip_privato_smtp -> ip_pubblico_ASA_remoto

Non ci sarei mai arrivato!

Si, decisamente neanche io, grazie per l'info.

Rizio