ZERGeich, я это понимаю, только найти источник проблемы пока не могу. Пол дня сегодня ковырялся в фаерволе Sophos. Выключил все правила, которые касаются почтового сервера и которые мне показались бессмысленными или дублирующими. На данный момент имею такую конфигурацию на фаерволе:
Port1 - LAN - 10.10.2.2 Port2 - WAN - 182.145.2.201 Port7 - Postfix - 182.145.2.205
Сервер, на котором стоит виртуальная машина с почтовым сервером, подключена каблем к свитчу, который в свою очередь подключен к Port1 на Sophos. Виртуальная машина имеет адрес 10.10.2.17.
В настройках фаервола имею такое правило: разрешить пакеты с любого адреса/с любой зоны/с любого порта на любой адрес через Port7 и хост 182.145.2.205.
В настройках NAT такое правило: с любого адреса/зоны через Port7 и хост 182.145.2.205 -> SNAT 182.145.2.205, DNAT 10.10.2.17, PAT (порты 25, 80, 143, 443, 465, 587, 993) -> Outbound interface Port7, Translated source 10.10.2.17
Конфигурилось до меня, поэтому не всю логику до конца понимаю. Есть PTR запись у провайдера "внешний айпи->доменное имя почтового сервера", внешний айпи прописан на одном из портов фаервола и все запросы на этот адрес NATом пробрасываются на внутренний ip.
Drno, я извиняюсь, а зачем мне vlan? я же не хочу разделить сеть на несколько подсетей, а только сбриджевать два интерфейса. Это как я себе это вижу. Поправьте, если заблуждаюсь. Тут бы пригодились дополнительные разъяснения.
Andrey Barbolin, ээээ. Микротик сам заблокировал? Кто разрешил? :) Как проверить, заблокирован ли, т.к. в фаерволе или NAT правила насчет 25 порта нет? При этом с клиентской тачки по 465 порту письма уходят на другой сервер. А на проблемный сервер по 25 порту с принтера - не ходют :(
как видно на скриншоте, через микротик проходят запросы на тот сервер, но от сервера он ответ не получает, нет пакетов tx в обратную сторону.
это я запустил тест отправки с консоли принтера и отфильтровал снифером на микротике пакеты, которые через него проходят. где эти пакеты теряются - загадка. я не знаю где еще посмотреть.
Andrey Barbolin, так адрес сервера smtp пингуется с интерфейса lte (который смотрит в мир), но не пингуется с интерфейса бридж. я ж написал это в вопросе в самом начале.
1. Так он даже не пингуется с интерфейса bridge. Какое HELO? До него еще далеко :) Проблема явно где-то в Микротике, т.к. до его установки все работало нормально.
2. Не любитель класики, я больше по электронной музыке... :) Как проверить то, о чем ты пишешь?
ge, Ахаха. Вопрос превращается в задачу, когда на него нет ответа ;) Проблема решена самостоятельно (завернул весь локальный трафик на почтовый сервер через днс на локальный ip), спасибо за участие.
ge,
time host возвращает такие результаты:
real 0m0.049s
user 0m0.004s
sys 0m0.014s
в DNS нет записей MX. При добавлении в текущие зоны dc1 или dc1.local А-записи или MX записи, добавляется суффикс зоны, что само по себе ничего не дает, т.к. такого хоста не существует. При добавлении новой зоны с именем домена (и одновременном добавлении в эту зону А-записи и МХ-записи) перестают нормально загружаться интернет-страницы в этом домене. Короче, че-то я туплю.
Доп. данные:
сервер отправки почты - smtp.firma.com.ua, 10.10.10.10 (виртуальный сервер в локальной сети). при пинге по имени возвращает внешний ip, а не локальный. а хотелось бы, чтобы в локальной сети возвращал локальный адрес.
контроллер AD c DNS - firma0.local, 10.10.10.11 (виртуальный сервер в локальной сети).
может стоит смотреть в сторону DMZ зоны на фаерволе или это все-таки проблема DNS?
ge, есть дополнительная информация ;) если в почтовом клиенте вписать адрес почтового сервера циферками, а не именем хоста, то проблем с отправкой писем нет (по крайней мере из локальной сети). Все вылетает как пуля. Т.е. проблема где-то на DNS-сервере. Что-то где-то не прописано или прописано неправильно. Может MX запись надо добавить или A-хост? Как это правильно сделать и в какой зоне? Несколько попыток интуитивно что-то настроить не привели к желаемому результату.
ge, при отправке из другой сети (другой провайдер) поведение такое же: долгое подключение, ответ от сервера с ошибкой (не всегда. иногда письмо отправляется моментально, иногда - с третьей попытки). В логах /var/log/mail никаких ошибок с авторизацией нет. Краткая схема транспорта писем: отправитель - интернет - файрвол Sophos XG - локальная сеть с Active Directory + DNS - postfix+rspamd - получатель. Почтовый клиент - Thunderbird. При отправке через web-клиент roundcube задержки с отправкой нет, но есть периодические проблемы с авторизацией при входе в него. Возможно, это и есть корень проблем - что-то на этапе авторизации пользователя идет не туда/не так как надо. Пользователи и пароли храняться в базе sql. Надеюсь, эта информация будет полезна и позволит приблизить нас к решению проблемы. Сам, пока, не выношу :)
