Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Connect » Pripojiteľnosť na nový server cez DSL router
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
Zdravím všetkých.
Potreboval by som poradiť s nasledovným:

Vo firme máme DSL router od T-comu Vigor 2700 ADSL2/2+, verzia FW 2.8.3, s pevnou IP adresou pre internet, interná IP 192.168.1.1.

Zároveň máme starý internet/mail server s internou IP 192.168.0.1 (LOCAL) a internetovým rozhraním s IP 192.168.1.11 (INTERNET) s Kerio WinRoute Firewall v.6.4.2 build 3672 a Kerio Mail server v.6.5.0 patch 1 build 5340, oboje na Windows 2000 Server. Všetko beží v poriadku, internet ide, maily vrámci firmy aj do/z internetu. Na Kerio mail serveri je doména firma.sk, meno mail serveru mail.firma.sk.

Nakoľko sú to staré verzie a nemali sme už licenciu niekoľko rokov (hoci naďalej fungujú, máme problém so zastaralosťou a problémovosťou HW servera), zakúpili sme nedávno Kerio Connect a Kerio Control. Všetko som poinštaloval na iný - nový server. Tento server je s Windows 2008 R2 Web server, všetky služby čo sú kázané v manuáli sú vypnuté, žiadny antivír ani iný firewall, tento server je ale virtualizovaný na VMware ESXi, interná adresa fyzického adaptéra (a teda virtuálneho switchu) je pre internetové rozhranie 192.168.1.12, adresa adaptéra vo windows (INTERNET) je 192.168.1.13, adresa virtuálneho switchu pre lokálne rozhranie je 192.168.1.115, adresa adaptéra vo windows (LOCAL) je 192.168.1.116. V Kerio Control som zatiaľ nepridával žiadne nové pravidlá, iba som nastavil užívateľov z AD, v Kerio Connect obdobne, pričom som sa snažil všetko robiť presne podľa manuálu.

Problém je ten, že v rámci firmy z nového servera po odpojení starého zo siete internet chodí, maily chodia vrámci firmy aj von do internetu, nie však dnu z internetu. Na mail serveri je nastavená doména firma.sk, meno mail serveru mail2.firma.sk, nastavená na rovnakú pevnú externú IP ako mail.firma.skPing na našu pevnú externú IP dá adresu routeru ako u mail.firma.sk, tak aj u mail2.firma.sk. To je ale všetko, čo z toho dostanem, telnet z internetu ide iba na starý server, na nový nie, vrámci lokálnej siete ale telnet ide na oba servery, zároveň vrámci firmy beží aj web rozhranie oboch serverov.

Na routeri nebolo pôvodne okrem otvorenia portov na interné IP adresy serverov 192.168.1.11 a 192.168.1.13 nastavené nič viac, je ale vypnutý firewall. Skúsil som na nový server aj nastaviť v NAT preklad portov pre POP3, POP3S, SMTP, SMTPS, ale nepomohlo to vôbec nič.

DNS záznamy u poskytovateľa sú nastavené takto:
firma.sk MX Preference = 50 exchanger = mail.firma.sk
firma.sk MX Preference = 60 exchanger = mail2.firma.sk
firma.sk nameserver = ns.poskytovatel.sk
firma.sk nameserver = ns2.poskytovatel.sk
mail.firma.sk internet adress = xxx.xxx.xxx.148
mail2.firma.sk internet adress = xxx.xxx.xxx.148

Do budúcna by sme radi ponechali starý server ako záložný s tým, že sa iba prehodí názov servera tak, aby bol ten nový mail.firma.sk a starý mail2.firma.sk.

Aby sme si to zhrnuli: starý server funguje na 100%, nový funguje tiež okrem toho, že sa nedá naň poslať mail z vonku, a to ani vtedy, keď je starý server odpojený úplne od internetu aj lokálnej siete.
Vedeli by ste mi poradiť čo s tým? Vopred vrelá vďaka.

[Aktualizováno: Po, 19 září 2011 06:39]

  •  
IvanM je nyní offline IvanM

Příspěvky: 37
Odeslat poštu tomuto uživateli
Mozno je to blbost, ale co mate nakonfigurovane (pristupnost z IP) v casti Configuration - Services - SMTP? Pripadne ake zaznamy su v logoch?
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
Tam je všetko v štandardnom nastavení ako po inštalácii, t.j. v Službách: SMTP - spustené - automaticky - port 25, vo vlastnostiach je určený max. počet súčasných prístupov na 1000.

V časti SMTP server doručovanie je priamo podľa DNS-MX záznamov, je zaškrtnuté použitie SSL/TLS ak je podporované vzdialeným serverom.

V logoch nie je nič nezvyčajné, resp. v podstate vôbec nič (zatiaľ všetci z firmy používajú starý server, takže je vidieť každý kúsok trafficu...)
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Problem bude v mapovani portu na tom DSL routeru. Na kterou interni adresu je promapovan port 25 ? Protoze jak vidim, oba servery maji stejnou vnejsi IP, tak me zajima jak ten DSL router pozna, kam ma promapovat prichozi spojeni na port 25.
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
pre starý server nebolo potrebné na routeri žiadne konkrétne mapovanie portov na určitú vnútornú IP adresu, aby všetko fungovalo na 100%, no ani po jeho odpojení od routeru sa vec nemení.
Na routeri - NAT -> Otvorenie portov - sú otvorené všetky porty na vnútorné adresy serverov (192.168.1.11,.1.11,.1.12,.1.13, - porty 1-65535, zatiaľ aspoň predbežne, kým sa našpecifikujú porty, ktoré potrebujeme a ktoré nie, nakoľko máme analyzátory, ktoré komunikujú na nie zrovna bežných portoch a stále nejaké pribúdajú a ubúdajú.
Skúšal som v nastavení routra v NAT -> prekladanie portu nastaviť porty 25,110,465,995 na IP 192.168.1.13, ale bez úspechu. Testujem vždy po odpojení starého servera od routru aj z lokálnej LAN.
Z internetu nie je prístupné ani webové rozhranie webmailu.
Keď skúsim telnet na mail.firma.sk a aj na mail2.firma.sk na porte 25 z počítača, ktorý je napojený priamo na router a nie na našu LAN, tak ma vždy hodí iba na starý server, napriek "dvojke" v názve...
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Nerad se opakuju, ale presto. Pokud ma DSL router pouze jednu verejnou adresu a oba servery na ni ukazuji, pak existuje pouze jeden port 25, ktery je mozne promapovat do vnitrni site na jeden server.

Pokud chcete mit ve vnitrni siti mailservery dva, musite mit na DSL 2 ruzne IP adresy a promapovene na obou porty 25.
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
V poriadku, v tom by problém nebol, predbežne tak či tak má zostať iba jeden server, ten nový - takže sa zamerajme na to. Ide o to spojazdniť jeden server na jednej verejnej IP, druhý (ten starý) by fungoval neskôr a na inej internetovej linke, od iného poskytovateľa.
Každopádne. Keď som na DSL routeri v NAT -> Prekladanie portu nastavil porty 25,110,465,995 na IP nového servera 192.168.1.13 a starý server som odpojil úplne od siete, stále to nefungovalo. Starý server pritom takýto preklad ani nepotrebuje, funguje aj tak. Nový nefunguje s prekladom či bez.
Ospravedlňujem sa, nie som v tomto zrovna "doma", takže poprosím o trpezlivosť Embarassed
  •  
IvanM je nyní offline IvanM

Příspěvky: 37
Odeslat poštu tomuto uživateli
Ak mate funkcny len novy server, co vam povie prikaz zadany z internetu:

telnet mail.firma.sk 25
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
telnet práveže nepovie nič, nepripojí sa. Ani cez meno, ani cez IP.
  •  
IvanM je nyní offline IvanM

Příspěvky: 37
Odeslat poštu tomuto uživateli
Ked sa prihlasite do adm konzoly, co mate uveden v

Configuration (Konfigurace)
Services (Sluzby)
SMTP
Edit (Zmenit)
Access (Pristup)
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
Povoliť prístup iba z vybranej skupiny IP adries: nie je zaškrtnuté
Maximálny počet súčasných pripojení: je zaškrtnuté, stanovené na 1000.

Telnet ale funguje iba z adries lokálnej siete (cez meno aj IP), napr. 192.168.0.45, nefunguje z adresy 192.168.1.10 počítača (ani meno ani IP), ktorý je napojený priamo na router, a to ani vtedy, ak je v NAT nastavené prekladanie portu na IP adresu servera 192.168.1.13

Stále mám nepríjemný pocit, že to je v tom routeri. Boli s ním prednedávnom problémy, ale keď sme preflashovali FW a nastavili konfiguráciu, tak funguje odvtedy už asi štvrť roka bez problémov.

[Aktualizováno: Po, 19 září 2011 14:12]

  •  
IvanM je nyní offline IvanM

Příspěvky: 37
Odeslat poštu tomuto uživateli
Skuste z internetu pouzit tracert, kde to skonci
  •  
Pavel Dobrý (Kerio) je nyní offline Pavel Dobrý (Kerio)

Příspěvky: 1550
Odeslat poštu tomuto uživateli
Seraphim napsal dne Po, 19 září 2011 13:18
Starý server pritom takýto preklad ani nepotrebuje, funguje aj tak. Nový nefunguje s prekladom či bez.
Ospravedlňujem sa, nie som v tomto zrovna "doma", takže poprosím o trpezlivosť Embarassed


Stary server ma interni IP adresu, tudiz preklad NAT potrebuje. Pokud vam to funguje bez prekladu, potom ten preklad dela neco pred vasim routerem. Tam hledejte problem.

[Aktualizováno: Po, 19 září 2011 14:13]


Databáze znalostí: http://kb.kerio.com/
Technická podpora: http://www.kerio.cz/cz/support
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
v tomto momente môžem použiť jedine mobilný internet od T-mobile a tam to skončí na 19. hop na static-dsl-148.-xxx-xxx.telecom.sk [xxx.xxx.xxx.148], t.j. na našej pevnej IP. Medzi tým nie je nič iné len timeout a rovnako to je u starého aj nového servera.
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
Kerio_pdobry napsal dne Po, 19 září 2011 14:13
Seraphim napsal dne Po, 19 září 2011 13:18
Starý server pritom takýto preklad ani nepotrebuje, funguje aj tak. Nový nefunguje s prekladom či bez.
Ospravedlňujem sa, nie som v tomto zrovna "doma", takže poprosím o trpezlivosť Embarassed


Stary server ma interni IP adresu, tudiz preklad NAT potrebuje. Pokud vam to funguje bez prekladu, potom ten preklad dela neco pred vasim routerem. Tam hledejte problem.



Bola by tu možnosť zmeniť IP adresu nového servera na rovnakú ako má ten starý, ovšem nie za terajšej prevádzky. Keď to vyskúšam, dám vedieť. Neviem ale o ničom, čo by takýto preklad mohlo zabezpečovať. Linka DSL je zapojená priamo do tohto routeru bez nejakých ďalších nastavení zo strany poskytovateľa, T-COM. Oba servery sú potom priamo zapojené do routeru.
  •  
BoBik je nyní offline BoBik

Příspěvky: 430
Odeslat poštu tomuto uživateli
Pisete, ze jste na routeru anstavil mapovani portu. Restartoval jste potom router? U nekterych zarizeni tohoto typu se zmena konfigurace neprojevi "za behu".

Jinak pan Dobry ma pravdu - jestlize ma stary server neverejnou IP, pak na nejakem zarizeni mezi timto serverem a internetem muselo dojit k premapovani portu 25, pokud tedy mel prijimat postu.

BoBik

[Aktualizováno: Po, 19 září 2011 15:12]

  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
všetkým vám vrelá vďaka, zdá sa, že to už beží. Zmenil som IP adresu nového servera tak, aby bola presne ako na starom. Zároveň som pridal pravidlo do kerio Connect, aby výslovne púšťalo protokoly SMTP, SMTPS, POP3, POP3S, IMAP, IMAPS, NNTP, NNTPS, LDAP, LDAPS, HTTP, HTTPS, bez toho to nešlo. A nakoniec som aj na routeri nastavil forward na porty 25, 110, 995, 465. Mail server sa pekne prihlásil na nete.
Ešte by som sa chcel spýtať: predbežne nechcem upgradovať starý server, na ktorom je aj starý SW. Existuje možnosť, ako dostať maily z užívateľských kont na starom serveri na ten nový (napr. skopírovaním určitých súborov??
Stačí na to skopírovať všetky súbory .eml z adresára na starom serveri c:\Program Files\Kerio\MailServer\store\mail\firma.sk\user\INBOX\ do obdobného adresára na novom serveri?

Ešte raz vrelá vďaka všetkým!

[Aktualizováno: Út, 20 září 2011 06:25]

  •  
BoBik je nyní offline BoBik

Příspěvky: 430
Odeslat poštu tomuto uživateli
Prenos dat je popsan v manualu, kapitola 30.2 (prenos konfigurace a dat serveru na jiny pocitac).

Jeste k tomu zprovozneni mailserveru: Vy stahujete postu z domenoveho kose POP3 protokolem? K cemu otevirate na firewallu porty pro IMAP, LDAP a podobne? Pro to, aby Kerio Connect fungoval jako mailserver musi plne stacit otevreni portu 25 (SMTP) a mozna 443 (HTTPS pro webmail).

Mezi nami, cela ta konfigurace je nejaka divoka:
1. Dva firewally za sebou, proc?
2. Firewall a mailserver na jednom stroji, proc?

BoBik
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
k otázkam: 1) nemáme dva firewally za sebou, na routeri je vypnutý a žiadny iný nie je, iba ten v Kerio. 2) na jednom stroji preto, lebo nemáme financie, aby sme všetko riešili x strojmi alebo virtuálnymi servermi. Sme zdravotnícka organizácia = minimum financií.
Protokoly sú nastavené takto dočasne, kým sa vyriešia akékoľvek problémy na novom serveri pred spustením do ostrej prevádzky.
  •  
Seraphim je nyní offline Seraphim

Příspěvky: 25
Odeslat poštu tomuto uživateli
všetko by už bolo OK, akurát neustále padá overovanie užívateľov voči AD. Ak dám otestovať konektivitu na AD (na Windows server 2008 R2), tak aj v Kerio Connect aj v Kerio Control test prebehne v poriadku, užívatelia sú vidno. Napriek tomu sa pri prihlásení cez Webmail alebo z mailových klientov nemôžu prihlásiť k serveru, ktorý vypíše v Security logu:
[03/Oct/2011 14:27:11] POP3: Invalid password for user xy<at>firma.sk. Attempt from IP address 192.168.0.xx.
[03/Oct/2011 14:27:14] Failed POP3 login from 192.168.0.xx, user xy<at>firma.sk.
Toto sa periodicky opakuje, niekedy pomôže vypnutie a zapnutie keria, inokedy nepomôže ani reštart servera. V čom by mohol byť problém??
  •  
Pavel Dobrý (Kerio) je nyní offline Pavel Dobrý (Kerio)

Příspěvky: 1550
Odeslat poštu tomuto uživateli
Problém bude nejspíše v tom, že zatímco mapování uživatelů používá LDAP, ověřování jede přes Kerberos. Měl by jste začít standardními kroky, jako např. zapnout debug log pro ověrování (User Authentication), případně i logovat Kerberos komunikaci v Kerio Control.

Databáze znalostí: http://kb.kerio.com/
Technická podpora: http://www.kerio.cz/cz/support
Předchozí téma: Při čtení některých připomenutí vznikly potíže - Outlook 2007
Další téma: problém s txt přílohami
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: Ne pro 17 11:07:07 CET 2017

Celkový čas potřebný k vygenerování této stránky: 2.55893 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.