Kein Mailempfang im WLAN Bereich

MarcM

Hallo zusammen,

ich habe mein iPhone im WLAN der Fritzbox 7270 (am DMZ Port). Leider empfange ich hier keine Emails über Exchange (Office 365). Was kann ich tun um hier nicht jede Stunde das WLAN zu verlassen um Mails abzurufen?

Mein Aufbau sieht nach wie vor so aus:

      1&1 Internet
            :
            : 
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox 7490)
      '-----+-----'
            |--LAN1 - 192.168.178.0/24
	    |
            |--WAN - 192.168.178.29
      .-----+-----.             .------------.
      |  pfSense  +-------------+  WLAN-Box  |  (Fritzbox 7270)
      '-----+-----' 192.168.2.1 '------------'
            |
            |--LAN-Netz - 192.168.1.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Client PCs)

An den PCs funktioniert Outlook reibungslos und auch alles andere weitesgehend. Nur leider der Mailempfang vom iPhone funktioniert nicht. Sobald ich das WLAN verlasse, flattern die Mails reihenweise herein.

Danke für die Hilfe und Gruß
Marc

flix87

DMZ heißt ja für mich erstmal das nix raus darf.

Was für Regeln hast du dem auf dem DMZ Interface?
In welchem Netz sind denn deine WLAN Clients?

MarcM

Hi und danke für die schnelle Antwort…

Raus darf alles. Ich habe es in WLAN umbenannt und folgende Regeln erstellt (siehe Screen).

Marc


viragomann

Hi,

je nachdem, was hinter dem "p_udp_trash" steckt, blockst du damit möglicherweise auch DNS.

MarcM

Das wird das Problem sein. Hier sind folgende Aliasse hinter:

Name             Values
P_TCP_trash 135:139, 445
P_UDP_trash 67, 68, 135:139

Die wurden damals angelegt um in den Logs diese Anfragen zur Fritte nicht mehr zu sehen… Sollte ich diese wieder entfernen?

flix87

Die TCP Ports haben mit Windows und AD zu tun.
Kannst du zum Testen ja mal weg machen.
Die anderen Regel bis auf die letzte Regel kannst du dir eigentlich auch sparen.

Du erlaubt ICMP DNS und zum Schluss einfach alles. Dann kannst du auch die alles erlauben als einzigste lassen  ;)

viragomann

@Marc:

Die wurden damals angelegt um in den Logs diese Anfragen zur Fritte nicht mehr zu sehen… Sollte ich diese wieder entfernen?

Du kannst einfach die Source auf die FB IP ändern.

Übrigens die Zugriff-Regel auf das FB Interface 192.168.2.2 vom LAN ist auf WLAN sinnlos.

MarcM

Moin,

daran liegt es leider nicht. Ich habe alles bis auf die "raus darf alles" - Regel deaktiviert.

Das iPhone zeigt ach wenigen Sekunden:
"E-Mails können nicht empfangen werden. Die Verbindung mit dem Server ist fehlgeschlagen."

Dazu zu sagen ist, ich habe noch ein Exchange-Konto auf meinem Handy eingerichtet - mein Firmenkonto. Das funktioniert reibungslos. Nur das Konto bei Office 365 nicht. Obwohl es nahezu gleich sein sollte - beides Exchange.

EDIT:
Das Log sieht so aus:
Date IP Status Address User Destination
20.01.2016 17:08:25 192.168.2.5 TCP_MISS/200 web.firmenaccount.de:443 - 85.xx.xx.70
20.01.2016 17:07:54 192.168.2.5 TCP_MISS/503 outlook.office365.com:443 - -
20.01.2016 17:07:54 192.168.2.5 TCP_MISS/200 p06-keyvalueservice.icloud.com:443 - 17.248.146.108
20.01.2016 17:07:51 192.168.2.5 TCP_MISS/503 outlook.office365.com:443 - -

viragomann

Dann scheint es ein Routing-Problem zu sein.

Die FritzBox arbeitet als reiner WLAN-AP oder macht die auch noch NAT?

Wie sehen deine Outbound NAT Regeln aus?

MarcM

Die FrizuBox am WLAN (alt DMZ) Port der pfSense ist so eingerichtet, dass sie als externes Modem oder Router an einem vorhandenen Internet Anschluss. Ebenso ist die Option bei Betriebsart auf "Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)" eingestellt.

Somit sollte diese kein NAT machen - jedenfalls habe ich da nichts seperat eingestellt.

Die Outbound NAT Regeln sehen so aus (siehe Screen)


viragomann

Die diversen Modi der FB kenne ich nicht. Aber sie macht wohl kein NAT, das verrät ja die IP im Log oben, die ja vermutlich dem iPhone gehört.

Und das Outbound NAT auf der pfSense sieht auch gut aus.

Schau mal am iPhone, ob du mit dem Webbrowser auf outlook.office365.com kommst.
Oder ob du den Hostnamen überhaupt auflösen kannst ("dig outlook.office365.com" in der Konsole).

MarcM

Hallo

Also per Browser komme ich nicht auf die Seite. Da meldet sich der Squid mit der angehängten Meldung. Ja die IP gehört dem iPhone, richtig.

viragomann

Verstehe, der will sich via IPv6 verbinden. Hast du das auf der pfSense überhaupt freigeschaltet und konfiguriert?
Ich nehme an, nein, deswegen fehlt ihm die Route.

Welchen DNS Server verwendet das iPhone?

MarcM

Das ist sehr komisch. Ich dachte eigentlich, dass ausgehende v6 Adressen erreichbar sind. Intern habe ich v6 blockiert, da hier kein PC / Gerät v6 nutzt.

Der Harken bei

Allow IPv6
All IPv6 traffic will be blocked by the firewall unless this box is checked.
NOTE: This does not disable any IPv6 features on the firewall, it only blocks traffic.

unter System -> Advanced -> Networking war nicht gesetzt. Muss ich noch mehr einrichten oder reicht das?

Als DNS Server stehen diese in der pfSense:
127.0.0.1
192.168.178.1 - Haupt FritzBox
192.168.1.1 - pfSense LAN

Das WLAN Netz ist 2.0/24 ich denke die nehmen dann auch die pfSense oder?

viragomann

Bei IPv6 kann ich auch nicht weiterhelfen. Verwende ich bislang nirgends.

Teste es einfach mit Allow IPv6.

Wegen dem DNS: Ich dachte, wenn der DNS Server nur IPv4 Adressen liefert, würde es auch funktionieren.
Da wäre interessant, welchen Server das iPhone nimmt. Aber vermutlich macht die pfSense DHCP für WLAN und übermittelt auch die Server. Dann werden verwendet, die in der DHCP Konfig eingetragen sind.

MarcM

Ich verwende auch kein IPv6, daher habe ich es wohl unwissentlich abgestellt. Oder auch nicht weit genug gelesen. Ich wollte IPv6 in meinem Netz verbieten, aber nicht die Verbindung zu externen IPv6 Adressen / Servern.

Oh, ich sehe grade im DHCP ist gar kein DNS eingetragen. Alles leer bis auch die DHCP Range! Wird dann automatisch die pfSense der DNS oder was macht er dann genau?

viragomann

Dann werden die genommen, die in der pfSense im General setup eingetragen sind. Also die FB, wenn erreichbar, weil sie an erster Stelle steht.

MarcM

Okay, sehr gut. Das kann ja auch so bleiben. Die Fritte bekommt ja DNS Server von 1 und 1 zugewisen bei jeder Einwahl. Das passt doch, denke ich.

Was mich allerdings wundert ist, wenn ich outlook.office365.com aus der Konsole der pfSense anpingen möchte, meldet sich eine IPv4 Adresse. Die pfSense meldet auf dem Screen aber eine IPv6. Was ist das denn? Merkwürdigerweise ging der Mailempfang vorgestern Abend. Gestern Abend wieder nicht.

viragomann

Wenn sowohl IPv4 als auch IPv6 aktiviert sind, ist das, denke ich, nicht ungewöhnlich.

Funktioniert nun der die Verbindung mit aktiviertem Allow IPv6 auf der pfSense?

Du könntest am iPhone IPv6 am WLAN Adapter deaktivieren, wenn du es ansonsten nicht benötigst. Dann sollte die Verbindung auf jeden Fall über IPv4 laufen.

MarcM

Ich bin noch im Büro. Ich werde Feedback geben, sobald ich zu Hause bin.
Ich denke nicht, dass ich so eine Einstellung im iPhone habe, um IPv6 zu deaktivieren. Muss ich mal genauer nachschauen.

Ich melde mich auf jeden Fall heute Nachmittag noch mal dazu.