Autor Thema: Mailrouting & DMZ  (Gelesen 2381 mal)

Offline 0xse

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 507
  • Geschlecht: Männlich
Mailrouting & DMZ
« am: 05.07.11 - 13:36:38 »
Hallo zusammen,

ich bin auf ein Problem bei der Einrichtung von Dominos in einer DMZ gestoßen:

ServerA (Internes LAN, Zugriff auf DMZ)
> Verbindungsdokument zu ServerB
>> Sofortiges Routing bei einer Nachricht
>> Pull Push, Protokoll NRPC, Anfordern ServerA (Notes & Host)
>> Zeitplan 00:00 - 23:59 Uhr, minütlich

ServerB (DMZ, kein Zugriff auf Internes LAN)
> Verbindungsdokument zu ServerA
>> Sofortiges Routing bei einer Nachricht
>> Push Wait

Meinem Verständnis nach müsste ServerA bei einer zu versenden Mail automatisch an ServerB pushen. Funktioniert. Ebenso müsste er minütlich bei ServerB einen Push anfordern, tut er. ServerB versucht dann aber den Push zu ServerA über eine neue Verbindung abzuwickeln und nicht über die von ServerA zu ihm aufgebaute. Das ist in der DMZ problematisch, da kein Zugriff auf ServerA möglich ist. Somit funktioniert das Mailrouting aktuell nur in eine Richtung.

Meine Frage: Lässt sich das ganze so konfigurieren, dass ServerA die Mails bei ServerB abholt, ohne Zugriff für ServerB auf das Interne LAN einzurichten?

Danke für jede Anregung und jeden Tipp =)

Viele Grüße,
0xse

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Mailrouting & DMZ
« Antwort #1 am: 05.07.11 - 13:39:49 »
AFAIK: nein.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Heiggo

  • @Notes Preisträger
  • Senior Mitglied
  • ****
  • Beiträge: 368
  • Geschlecht: Männlich
  • Ich habe nix gemacht!
Re: Mailrouting & DMZ
« Antwort #2 am: 05.07.11 - 22:27:30 »
Klingt ein wenig nach IPv9 (geplant vermutlich im Jahre 2203) via TCP-Port 999999999A37Z im Hellsehermodus mit magnetisch-kapazitivem Verbindungs-/Pakettransfer :-)
(¯`·._ (¯`·._-=- ...und für Bernhard... nur OFw d.R. :-) -=-_.·´¯)_.·´¯)

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Mailrouting & DMZ
« Antwort #3 am: 06.07.11 - 09:43:45 »
Leider geht das, was Du willst nicht, da der Server nach einem Pull- Request immer eine neue Verbindung aufbaut, und das darf er ja nicht. Wenn Du also keinen Port aufmachen kannst (DMZ- Server -> Interner Server, Port 1352), dann musst Du Dir mit nem Workaround behelfen (der allerdings nicht sonderlich schön ist):

Wir haben das Beispielsweise so gelöst:
Auf dem DMZ- Server läuft kein Router (Achtung: Der trägt sich bei jeder Update- Installation wieder in die Servertasks- Zeile der notes.ini ein und muss da wieder manuell rausgeschmissen werden).
Dafür läuft auf dem internen Server ein Agent, der die mail.box auf dem DMZ- Server öffnet und die Mails in seine eigene mail.box kopiert (anschliessend löschen nicht vergessen).

Das ganze hat einige Fallstricke, aber wenn man das sauber macht, funktioniert das einwandfrei (bei uns seit Jahren, wenn ich nach nem Update nicht grade wieder vergesse, den Router zu deaktivieren sehr zuverlässig)
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Mailrouting & DMZ
« Antwort #4 am: 06.07.11 - 09:54:07 »
Auf dem DMZ- Server läuft kein Router (Achtung: Der trägt sich bei jeder Update- Installation wieder in die Servertasks- Zeile der notes.ini ein und muss da wieder manuell rausgeschmissen werden).

Das lässt sich aber unterbinden:
Zitat
As many times it is necessary to change the ServerTasks lines from the default value, SetupLeaveServerTasks=1 will keep the Domino install from changing the ServerTasks lines back to their defaults (i.e. ServerTasksat1=Catalog, Design). This is especially useful for keeping the Design task out, and should be helpful during upgrades.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Mailrouting & DMZ
« Antwort #5 am: 06.07.11 - 12:40:49 »
@m3: Danke, den Eintrag kannte ich noch gar nicht... sehr nützlich !!!
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline 0xse

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 507
  • Geschlecht: Männlich
Re: Mailrouting & DMZ
« Antwort #6 am: 06.07.11 - 13:32:50 »
Danke für die Antworten :)

Die Variante ohne Router ist ohne einen zusätzlichen Domino nicht abzubilden, da der Domino die Mails an ein SMTP Gateway zustellen soll. Auf Push Wait bleiben die Mails aber auch liegen und ließen sich transferieren. Ich versuche normalerweise eigene Entwicklungen nach Möglichkeit zu vermeiden, da immer irgendwann irgendwas kommt und die stört :P

Mein Gedanke war das ggf. über die Firewall zwischen internem LAN un der DMZ zu regeln, die nach dem Aufbau einer Verbindung zum Domino aus dem LAN heraus den Aufbau einer Verbindung aus der DMZ ins LAN zum Domino für 3 Sekunden erlaubt (Nur der Aufbau, nach den 3 Sekunden bleibt eine geöffnete Verbindung natürlich bestehen). Der Königsweg ist das aber auch nicht.

IBM... warum? ^^

Ich werte berichten welche Variante es geworden ist, sobald's getestet und implementiert ist.

VG

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz