bonjour,
je viens d'arriver dans une boite possédant un NETASQ U120 (V8.1) vieillissant , nous venons de changer la ligne en évoluant vers une fibre, et cela implique une reconfiguration de l'équipement.
En soit cela n'avait rien de compliqué, jusqu'à ce que je rencontre l'erreur suivante 550 5.7.1 sur l'envoi de mail (exchange hébergé en interne)
je pense qu'il doit y avoir un petit soucis de proxy stmp/pop, mais impossible de trouver où configurer la nouvelle passerelle au sein du pare-feu, le reste fonctionne parfaitement cependant...
 
des idées?

Bonjour,
 
donc si j'ai bien compris tu as un serveur mail sur ton lan, et tu n'arrives plus à envoyer de mails vers l'extérieur ?  
 
Si c'est bien ça c'est peut-etre un probleme de nat ou de filtrage. Peux-tu faire un screenshot de tes règles de filtrage et de nat s'il te plait ?

n'aurais tu pas un servcice de passerelle smtp externe ?
si tu as changé de lien, tu as du aussi changé d'ip wan. regarde avec ton fournisseur si tu ne dois pas lui dire de changer ses ip dans son paramétrage.

serveur en VM en lan effectivement
j'ai récupéré toutes les infos (ip publique, passerelle, ip du nouvel équipement...) et comme dit, le reste fonctionne sans problème, sauf les mails....
voici les règles de filtrage:

il doit y avoir 3/4 des règles plus utilisées mais mon prédécesseur était plutôt une grosse feignasse en infra

Bonjour,
 
d'abord je vois que tu as autorisé ton serveur mail à envoyer en smtp, je pense qu'il faut également l'autoriser en flux entrant (j'ai repris un lab que j'avais fait en certif stormshield pour etre sur et nous avions procédé comme cela. ) .
 
Second point, dans le menu du netasq, sous configuration > politique de sécurité tu as un menu "filtrage smtp" dans lequel tu peux définir une règle de pass all pour tout le traffic smtp. (voir image ci-apres )
 

 
Enfin troisieme point, je pense qu'il te faut aussi une règle de nat pour ton serveur mail pour que ton netasq sache vers qui router les flux sur le port 25
 
 
 

je n'ai pas de configuration > politique de sécurité (version 8.1)
 
je précise que la configuration actuelle que j'ai présenté, fonctionne très bien avec l'ancienne ligne SDSL

Oui car tu utilises le client lourd, ce menu et présent dans le webadmin.  
 
Donc finalement tu as changé une configuration au niveau du netasq ? l'adresse ip de la ligne à changé ?

l'adresse ip a changé oui
le webadmin ne fonctionne pas (aucune page au delà de "lmpossible de vérifier sur le serveur" )

voici ce que j'ai fait jusqu'à maintenant
-  remplacer l'ip de l'interface 1 (out) par l'ip publique du nouvel équipement
- modification de la passerelle par défaut (avec la nouvelle ip de la passerelle fournie)
- modification de l'objet réseaux "network out"

les dns restent les mêmes

et tout fonctionne comme dit, sauf les mails

Et ton objet firewal_out il porte quelle adresse ?

Ça ne peut pas fonctionner, le port 25 n'est pas redirigé.
Il faut faire la redirection dans le NAT et autorisé le flux entrant dans le Filtrage.
Tu peux tester ton serveur via mxtoolbox ou telnet.
 
Le webadmin n'existe pas sur la V8!
 
Edit :
Au vu de la version du Netasq et de certaines règles permissives
Ne publie pas l'ip publique de ton firewall sur le forum  

ah ben tu m'en apprends une bonne du coup ^^ je pensais qu'il y avait toujours eu la web interface moi, mais bon faut dire que j'ai commencé sur la v9 donc ...  

ce qui est curieux c'est qu'en l'état, tout fonctionne déjà avec les anciens paramètres
j'ai un peu de mal avec la logique de ce type de firewall, pourtant je travaillais avec watchguard et du draytek avant, mais bon quand on commence un nouveau taf on est un peu noyé sous le flux d'information

l'ip publique n’apparaît nulle part dans mes captures d'écrans.... si?

Non, sur les nouvelles versions elle apparait en survolant l'objet avec le curseur, peut-être en est-il de même avec les anciennes?  C'est sur qu'il y a une logique à avoir, la difficulté pour toi c'est surtout de reprendre l'existant car tu dois réussir à comprendre à quoi sert chaque règle qui a été définie par ton prédécesseur (si j'ai bien compris) .  
 
Si ta boite à un bon budget formation tu peux faire la certification CSNA (Stormshield Administrateur : netasq est devenu Stormshield mais il reste un tronc commun). Qui permet de bien appréhender le produit, de récupérer les docs et d'avoir les bonnes pratiques.  

 
Non pas de souci pour l'ip, mais comme splinter te l'a demandé.
 
Ce sont bien les flux de mails entrant qui ne fonctionnent pas?
Sur ta nouvelle ligne, c'est une box qui fait déjà du NAT? Ou tu as renseigné l'ip public directement sur la "firewall-out"?

aucun mails, ni entrant ni sortant ,le firewall out je fais une modification bête et méchante en remplaçant l'ip de l'ancien routeur SDSL par celle de la fibre. J'ai crée les règles comme suggéré mais ça ne passe toujours pas dans les deux sens

Il faudrait contrôler les champs MX pour ton domaine.
Avec mxtoolbox par exemple.

Tu as quoi comme connecteur d'envoi sur ton exchange ? MX ou hôte ?

gaetan7 comment fait ton entreprise pour ne plus avoir de mail pendant 1 mois ?

Doit plus avoir Internet non plus

l'ancienne connexion était toujours là en // (3 mois pour la résiliation tout de même)
par contre entre temps j'ai résolu mon problème, il s'avère qu'on avait une plateforme mail de backup hors de notre infra chez un prestataire... tout est rentré dans l'ordre... merci mxtoolbox
J'ai été débarqué ici en dernière minute et mon prédécesseur n'ayant aucune connaissance en infra... n'avait que 3 jours pour me faire faire le tour

merci à vous