TMG2010 und mehrere IP Adressen


Hallo,

mit diesem BLOG – Beitrag möchte ich ein Problem darstellen, über das der / die ein oder andere sicher irgendwann einmal stolpern wird. Es handelt sich dabei um das direkte Zuweisen bestimmter IP Adressen auf einem TMG2010, der mit mehr als einer öffentlichen IP Adresse versehen ist. Bei einem Kunden war ich dabei mit folgenden Problem konfrontiert:

(Achtung: IP Adressen und FQDN entsprechen nicht den tatsächlichen IP Adressen bzw. FQDN !!)

Öffentlicher Adressebereich des Endkunden:

Startadresse: 221.123.211.5 — Endadresse: 221.123.211.10

Mailserver DNS Name: mail.meinefirma.de IP: 221.123.211.6

IP Adresse für VPN – Site-to-Site Connection: 221.123.211.7

Betriebssystem: Windows Server 2008 R2

Da MS Windows Server 2008 R2 immer die an erster Stelle an die Netzwerkkarte gebundene Adresse benutzt (http://support.microsoft.com/kb/969029/en-us), gibt es bei dieser Konstellation in bestimmten Szenarien ein Problem. Da die VPN – Site-to-Site Connection zwingend die ein der jeweiligen Konfiguration angegebene IP EndPoint Adresse benötigt, muss der TMG2010 diese IP Adresse als erste an die Netzwerkkarte gebundene Adresse eingetragen haben. Dadurch meldet sich der Server beim “gegenüberliegenden” Endpunkt mit der korrekten IP Adresse an und die VPN Verbindung bzw. der Tunnel kann aufgebaut werden. Diese Konfiguration ist jedoch für den E-Mail Server, der hinter dem TMG steht problematisch, zumindest für die Zielserver, die Reverse DNS Resolution benutzen, um ggf. herauszubekommen, ob sie als SPAM Relay missbraucht werden sollen. In diesem Fall ist der DNS Eintrag des Mailservers (mail.meinefirma.de : 221.123.211.6) nicht identisch mit der sendenden IP Adresse (221.123.211.7). Die E-Mail wird vom SPAM Filter ggf. abgelehnt.

Man könnte jetzt den DNS Eintrag des Mailservers auf die IP Adresse des VPN ändern, aber damit können E-Mails zwischen den verbundenen “Unternehmen” nicht mehr versendet werden, da die Mailserver dann versuchen, über den VPN Tunnel Endpunkt zu gehen und zumeist wird da SMTP nicht durchgelassen.

Es gibt jedoch eine Option im Bereich der Netzwerkregeln, die es TMG 2010 beibringt für den dedizierten Mailserver, der ja im internen Netz steht, nach außen eine andere als die Standard IP Adresse zu benutzen.

Dazu wird eine Netzwerkregel erstellt, die als Netzwerkrelation NAT benutzt und die als Quelle den Mailserver (interner Name) und als Ziel die Netzwerkkarte “Extern” verwendet. In den Einstellungen lässt sich dort festlegen, eine andere als die Standard IP Adresse zu nutzen.

NAT Address Selection

Hier sollte die im öffentlichen DNS eingetragene IP Adresse des Mailservers eingetragen werden (221.123.211.6). Danach funktioniert alles wie gewünscht !

Grüße

Martin Schlenker

Advertisements

I am an independent IT Consultant focussing an Microsoft based technologies, mainly MS SharePoint MS Active Directory MS Office365 Training

Veröffentlicht in TMG2010

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: