Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.60/5: Рейтинг темы: голосов - 5, средняя оценка - 4.60
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
1

Отваливается SMTP на Cisco

07.01.2019, 21:37. Просмотров 871. Ответов 21
Метки нет (Все метки)

Добрый день! Очень нужна ваша помощь...

Код
ip inspect name Internet http 
ip inspect name Internet https 
ip inspect name Internet dns 
ip inspect name Internet icmp 
ip inspect name Internet imaps 
ip inspect name Internet pop3s 
ip inspect name Internet smtp 
ip access-list extended ACL_OUTSIDE_IN 
permit icmp any any 
permit tcp any any eq 11653 
permit tcp any any eq 11655 
permit udp host 91.197.189.42 any 
deny ip any any log 

interface GigabitEthernet0/1 
ip access-group ACL_OUTSIDE_IN in 
ip inspect Internet out

после применения данного кода отваливается SMTP. Пользователи не могут отправить письма с оутлука, хотя могут принимать.
Собственного почтового сервера нет, используем почту для домена от яндекс.
Также некоторые сессии teamviewer отваливаются, а некоторые продолжают работать.
Подскажите, пожалуйста, в какую сторону копать?

esmtp тоже пробовал, результат такой же... с чем может быть связано, что teamviewer тоже частично отваливается? похоже проблема с ответным трафиком... от нас уходит но acl не впускает обратно.

Код
ip nat inside source list 1 interface GigabitEthernet0/1 overload 
access-list 1 permit 192.168.100.0 0.0.0.255 
access-list 1 permit 192.168.250.0 0.0.0.255 
access-list 1 permit 192.168.10.0 0.0.0.255
этот кусок текста может мешать описанному ранее коду?
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.01.2019, 21:37
Ответы с готовыми решениями:

Отваливается Wi-Fi у пользователей (cisco ap1252 ak9)
Добрый день! У меня возникла такая проблема, после обновления IOSа на точке доступа ap1252 на новую...

CPT - как настроить Cisco маршрутизатор (ip адреса, ftp, dns, dhcp, http, smtp)
Добрый день. Первый день в pt работаю, разобраться не могу. Для знающего человека сделать будет...

Cisco ASA, отваливается Site-to-Site VPN
Добрый день. Предыстория: На бранч офисе был установлен роутер D-link, который держал Site-to-Site...

Как отправить почту не используя smtp (добавить в sender функции smtp)
здравствуйте, быть может я не до конца понимаю принципы взаимодействия клиента, smtp сервера, и...

Как создать SMTP-сервер на VB (чтобы прога отправляла по РОР3, не используя провайдеров SMTP)
Всем привет! Подскажите, плиз, ссылков на тему! А то я нарыл только что-то типа 'Отправка по...

21
stroyer
76 / 56 / 26
Регистрация: 06.11.2018
Сообщений: 327
Записей в блоге: 1
08.01.2019, 02:09 2
Выглядит корректно.
Настройка для отправки почты - именно SMTP?
Платформа, версия кода?
тест smtp при помощи telnet работает?
В ACL_OUTSIDE_IN включен log - что пишет?

Добавлено через 5 минут
Секундочку - а какие интерфейсы у вас inside и outside ?
покажите
show ip inspect all
show ip nat translations
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
08.01.2019, 15:53  [ТС] 3
https://yadi.sk/i/eVOzhLgmIdt-Fw

вложение не хочет крепиться.
0
Вложения
Тип файла: txt публичный.txt (3.3 Кб, 3 просмотров)
stroyer
76 / 56 / 26
Регистрация: 06.11.2018
Сообщений: 327
Записей в блоге: 1
09.01.2019, 00:46 4
тест smtp.yandex.ru при помощи telnet работает?
яндекс SMTP настроен 25 или 465 порт с SSL?

Добавлено через 1 час 10 минут
nat pool NCP1000 ведет никуда
ip nat inside source list NAT - нет соответствующего ACL

Не вижу косяков и, в принципе, добавление ip inspect name Internet smtp сломать ничего не должно. Попробуйте включить, собрать лог... Вариант: включить, собрать show tech-support (только выкладывайте запароленный файл)

Удалите файл с яндекса - у вас telnet и SSH открыт.
0
09.01.2019, 00:46
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
09.01.2019, 19:38  [ТС] 5
тест telnet не проходит..
router2#telnet smtp.yandex.ru
Trying smtp.yandex.ru (77.88.21.38)...
% Connection timed out; remote host not responding
Trying smtp.yandex.ru (213.180.204.38)...
% Connection timed out; remote host not responding
Trying smtp.yandex.ru (93.158.134.38)...
% Connection timed out; remote host not responding
Trying smtp.yandex.ru (87.250.250.38)...
% Connection timed out; remote host not responding
Trying smtp.yandex.ru (213.180.193.38)...
% Connection timed out; remote host not responding

smtp через 465.

Добавлено через 11 минут
https://yadi.sk/d/mZ7yFg78PSZJ8A а как вам в личку написать?

Добавлено через 6 минут
router2#telnet smtp.yandex.ru 465
Trying smtp.yandex.ru (93.158.134.38, 465)...
% Connection timed out; remote host not responding
Trying smtp.yandex.ru (77.88.21.38, 465)...
% Connection timed out; remote host not responding
Trying smtp.yandex.ru (213.180.204.38, 465)...
% Connection timed out; remote host not responding
Trying smtp.yandex.ru (213.180.193.38, 465)...
% Connection timed out; remote host not responding

Добавлено через 10 часов 30 минут
вопрос решился добавлением
ip inspect name Internet tcp
ip inspect name Internet udp

правильно ли такое решение?
0
stroyer
76 / 56 / 26
Регистрация: 06.11.2018
Сообщений: 327
Записей в блоге: 1
09.01.2019, 20:56 6
В первом случае надо было попробовать telnet smtp.yandex.ru 25

Так как порт 465, то можно попробовать перемапить стандартный для протокола порт
ip port-map smtp port 465
https://www.cisco.com/c/en/us/td/doc..._r/srfpam.html

Личные сообщения отсылаются из профиля, но у новичков личка не работает.
Цитата Сообщение от mastok Посмотреть сообщение
ip inspect name Internet tcp
ip inspect name Internet udp
Инспект, а точнее, CBAC уже depricated, как раз из-за таких конструкций Фактически вы разрешаете любые ответы от хостов, к которым обращались изнутри.
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
14.01.2019, 08:43  [ТС] 7
Простите за задержку с ответом.

Добавил порт 465 результата нет.
Удалил 25 порт результат тот же.
router2#sh ip port-map smtp
Default mapping: smtp tcp port 25 system defined
Default mapping: smtp tcp port 465 user defined
0
stroyer
76 / 56 / 26
Регистрация: 06.11.2018
Сообщений: 327
Записей в блоге: 1
16.01.2019, 01:04 8
А телнет на smtp.yandex.ru 25 или smtp.yandex.ru 465 получается или нет?
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
16.01.2019, 08:41  [ТС] 9
router2#telnet smtp.yandex.ru 25
Translating "smtp.yandex.ru"...domain server (185.149.48.48) (4.2.2.2) (208.67.222.222) (8.8.8.8) (208.67.220.220)

% Bad IP address or host name
router2#telnet smtp.yandex.ru 465
Translating "smtp.yandex.ru"...domain server (185.149.48.48) (4.2.2.2) (208.67.222.222) (8.8.8.8) (208.67.220.220)

% Bad IP address or host name
0
xeonz
705 / 257 / 36
Регистрация: 16.05.2014
Сообщений: 2,046
16.01.2019, 09:53 10
А порт 53 то разрешен в ACL? Что то не наблюдаю.
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
16.01.2019, 16:59  [ТС] 11
permit tcp any any eq domain
permit udp any any eq domain
0
xeonz
705 / 257 / 36
Регистрация: 16.05.2014
Сообщений: 2,046
16.01.2019, 18:01 12
Цитата Сообщение от mastok Посмотреть сообщение
permit tcp any any eq domain
permit udp any any eq domain
Это где такое?


Вот тут нету:
Цитата Сообщение от mastok Посмотреть сообщение
ip access-list extended ACL_OUTSIDE_IN
permit icmp any any
permit tcp any any eq 11653
permit tcp any any eq 11655
permit udp host 91.197.189.42 any
deny ip any any log
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
16.01.2019, 21:42  [ТС] 13
не весь код выкладывал, в acl еще есть разрешения на перенаправленные порты... если отключить acl, telnet начинает проходить.
0
stroyer
76 / 56 / 26
Регистрация: 06.11.2018
Сообщений: 327
Записей в блоге: 1
17.01.2019, 01:29 14
ОК, телнет с роутера не пашет. Как насчет любого ПК? У которых и почта не работает - там какая ошибка?
0
xeonz
705 / 257 / 36
Регистрация: 16.05.2014
Сообщений: 2,046
17.01.2019, 08:29 15
Цитата Сообщение от mastok Посмотреть сообщение
не весь код выкладывал,
так выложите весь.
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
18.01.2019, 09:28  [ТС] 16
Как только перестаю использовать ACL все начинает работать:

router2#telnet smtp.yandex.ru 465
Translating "smtp.yandex.ru"...domain server (185.149.48.48) [OK]
Trying smtp.yandex.ru (213.180.193.38, 465)... Open

router2#telnet smtp.yandex.ru 25
Trying smtp.yandex.ru (213.180.193.38, 25)... Open
220 smtp1p.mail.yandex.net ESMTP (Want to use Yandex.Mail for your domain? Visit http://pdd.yandex.ru)
0
xeonz
705 / 257 / 36
Регистрация: 16.05.2014
Сообщений: 2,046
18.01.2019, 09:42 17
Ну так логично, если у вас в ACL не разрешен порт 53.

Добавлено через 2 минуты
Также дорисуйте в inspect
ip inspect name Internet router
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
18.01.2019, 10:53  [ТС] 18
ip access-list extended ACL_OUTSIDE_IN
permit icmp any any
permit tcp any any eq 11***
permit tcp any any eq 11***
permit udp host 91.197.189.42 any
permit tcp any any eq 97**
permit tcp any any eq 97**
permit tcp any any eq 97**
permit tcp any any eq 11***
permit tcp any any eq 68**
permit tcp any any eq 67**
permit tcp any any eq domain
permit udp any any eq domain
deny ip any any log

ip domain name saria-volga.ru
ip name-server 185.149.48.48
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 8.8.8.8
ip name-server 208.67.220.220
ip inspect name Internet http
ip inspect name Internet https
ip inspect name Internet dns
ip inspect name Internet icmp
ip inspect name Internet imaps
ip inspect name Internet pop3s
ip inspect name Internet smtp -----------что именно выбрать smtp/esmtp?
ip inspect name Internet tcp -----------временно
ip inspect name Internet udp -----------временно
ip inspect name Internet router

результат telnet:
router2#telnet smtp.yandex.ru 465
% Bad IP address or host name
router2#telnet smtp.yandex.ru 25
Translating "smtp.yandex.ru"...domain server (185.149.48.48) (4.2.2.2) (208.67.222.222) (8.8.8.8) (208.67.220.220)

% Bad IP address or host name
router2#telnet smtp.yandex.ru 465
Translating "smtp.yandex.ru"...domain server (185.149.48.48) (4.2.2.2) (208.67.222.222) (8.8.8.8) (208.67.220.220)

% Bad IP address or host name
router2#
0
xeonz
705 / 257 / 36
Регистрация: 16.05.2014
Сообщений: 2,046
18.01.2019, 11:03 19
А если убрать с интерфейса
ip inspect Internet out
и оставить только acl с доп правилом на прием пакетов с 25го порта - работает?
0
mastok
0 / 0 / 0
Регистрация: 07.01.2019
Сообщений: 10
18.01.2019, 11:54  [ТС] 20
Если убрать с интерфейса ip inspect Internet out отваливается все, в том числе и smtp.
0
18.01.2019, 11:54
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
18.01.2019, 11:54

Cisco C881 настройка SIP ALG через Cisco Configuration Professional
Cisco C881 настройка SIP ALG через Cisco Configuration Professional Есть маршрутизатор Cisco...

Vpn между cisco роутером 3285 и cisco pix-515
Здравствуйте! Есть сеть-1 (роутер) и сеть-2 (пикс) Нужно сделать доступ по рдп на внутренние...

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.