Почта, запись в обратной зоне, маршрутизация.
 

Имеется два адреса выданных провайдером:
1) 94.25.8.58 линковый адрес на нем зарегестрирован домен nvtrans.com и поднят почтовый
сервер MDaemon.Cервер является шлюзом к провайдеру, работает под WINDOWS 2003.
2) 94.25.70.113 адрес на который сделана запись в обратной зоне для хоста nvtrans.com

В инет я выхожу через линковый адрес 94.25.8.58 (адрес шлюза у прова 94.25.8.57).
Получается что письма с почтовика уходят с ЛИНКОВЫМ адресом 94.25.8.58 !!! и когда получающий
почтовик начинает резолвить мой линковый адрес, то он его соответсвенно не находит, и не принимает
почту. Пров в силу сложившейся у них технологии не может прописать в обратной зоне линковый адрес.
Как сделать чтобы выход был через шлюз прова, но с адресом 94.25.70.113 ?
Понимаю, что надо настроить маршрутизацию, не понимаю откуда куда и как :(

Я так понимаю, этот адрес находится у провайдера? В таком случае, мне кажется, маршрутизация тут ничего не даст, т.к. все исходящие пакеты, будь то хоть почта, хоть еще что-либо, будут уходить через прокси сервер, а требуемый DNS сервер (94.25.70.113) совершенно другая история.
и много таких почтовиков? У них там SPF что ли работает?

Все верно - 94.25.8.58 - такой и должен быть ip . У ВАШЕГО провайдера просить прописать реверс зону на ваш ip

на самом деле я что то понять не могу причём тут зона обратного просмотра? я так понимаю термин "обратная зона" здесь употребляемый. обратная зона не есть обязательной(для отладки и поиска проблем она очень удобна). у меня в домене да и не только вообще отсутствуют зоны обратного просмотра и ничего почта ходит. почта резольвится по прямой зоне!

и что за нах? как такое можеть быть в прямой и обратной зоне разные адреса? это же не правильно.

у Serhio62, просто нет MX записи на сервере его провайдера(ns1.hc.ru) вот факты.)
nslookup<enter>
set type=MX<enter>
nvtrans.com<enter>

после ввода этих команд должен прийти ответ кто является Mail Exchanger-ом в данном домене. а я лично получаю вот такой ответ

Р:\>nslookup
Default Server: [212.109.32.5]
Address: 212.109.32.5

> set type=MX
> nvtrans.com
Server: [212.109.32.5]
Address: 212.109.32.5

nvtrans.com
primary name server = ns1.hc.ru
responsible mail addr = support.hc.ru
serial = 2009071054
refresh = 3600 (1 hour)
retry = 1800 (30 mins)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
>

что свидетельствует о том что ns1.hc.ru не знает кто MX. соответственно почту получить нельзя.

для сравнения вводим потом mail.ru<enter> получаем

> mail.ru
Server: [212.109.32.5]
Address: 212.109.32.5

Non-authoritative answer:
mail.ru MX preference = 10, mail exchanger = mxs.mail.ru
>

вот. всё нормально MX = mxs.mail.ru. он ответственный за приём почты в домен mail.ru.

если неправ - поправте.

что делать? просить проваёдера чтоб прописал MX запись для твоего домена. обрати внимание что MX запись содержит FQDN(полное доменное имя) а не IP хоста ответственного за почту. это значит что FQDN который ты туда забьешь должен ещё и разрешаться а IP адрес. и этот IP должен совпадать с тем на который слушает почтовая программа.

Поддерживаю wertyg, nsloookup не выдает MX записи, следовательно и почта не работает.

должна быть и mx - на хостинге (или у провайдера - зависит от регистратора dns)
и reverse dns прописан у того кто выдавал вам внешний ip. если реверс не прописан -многие серваки почтовые непримут с такого сервера почту, т.к. будут думать что вы спамер

Всем спасибо за соучастие!

MX запись безусловно нужна, я просто по запарке упустил этот момент.
Запись сделал, вот доказательство:

nslookup -type=mx nvtrans.com ns1.hc.ru
*** Can't find server name for address 194.154.75.191: Non-existent domain
Server: UnKnown
Address: 194.154.75.191

nvtrans.com MX preference = 10, mail exchanger = nvtrans.com
nvtrans.com nameserver = ns1.hc.ru
nvtrans.com nameserver = ns2.hc.ru
nvtrans.com internet address = 94.25.8.58
Однако проблеммы это не решило

Многие почтовики делают проверку на наличие PTR записи для хоста и на совпадение хоста указанного в прямой и обратной зонах.
Много их или нет не считал, мне досталось 2 и на них ходит около 70% почты клиента (точнее не ходит).Работает у них или нет SPF тоже не могу сказать потому как далеко они очень :)
Привожу фрагмент лога с возвратом:

Thu 2009-08-20 12:34:46: --> EHLO nvtrans.com
Thu 2009-08-20 12:34:46: <-- 250-svsoft.org Hello nvtrans.com, pleased to meet you
Thu 2009-08-20 12:34:47: <-- 250-ETRN
Thu 2009-08-20 12:34:47: <-- 250-AUTH=LOGIN
Thu 2009-08-20 12:34:47: <-- 250-AUTH LOGIN CRAM-MD5
Thu 2009-08-20 12:34:47: <-- 250-8BITMIME
Thu 2009-08-20 12:34:47: <-- 250 SIZE 0
Thu 2009-08-20 12:34:47: --> MAIL From:<sv@nvtrans.com> SIZE=1238
Thu 2009-08-20 12:34:47: <-- 501 Connecting IP must have valid PTR record
Thu 2009-08-20 12:34:47: --> QUIT

Почта не принята, потому что не найдена корректная PTR запись. А не найдена, потому что у прова в обратной зоне хост сопоставлен с 94.25.70.113 ,
а почтовик работает на 94.25.8.58.
Соответственно по прямой зоне
nslookup nvtrans.com
дает
Non-authoritative answer:
Name: nvtrans.com
Address: 94.25.8.58

А по обратной зоне имя хоста не возвращается:
nslookup 94.25.8.58
Server: ns.vmts.ru
Address: 212.122.1.2
*** ns.vmts.ru can't find 94.25.8.58: Non-existent domain

Оно возвращается для 94.25.70.113:
nslookup 94.25.70.113
Server: ns.vmts.ru
Address: 212.122.1.2

Name: nvtrans.com
Address: 94.25.70.113

Я тоже примерно так же подумал :) , однако пров РОСТЕЛЕКОМ считает иначе и менять сложившийся у них порядок не намерен.
На просьбу о внесении нормально записи в обратную зону был получен категоричный ответ: "Записи в обратной зоне для линковых адресов не делаем !"
На вопрос что делать? - " У нас в сети работает масса почтовых серверов с такими же параметрами, поднимайте почтовый сервер на IP указанном в обратной
зоне и настраивайте NAT".
В принципе я бы мог поменять IP почтовика на 94.25.70.113 и сделать соответствующую запись в прямой зоне, однако как в этом случае использовать
шлюз прова 94.25.8.57 ???
Вот такая ситуация... Есть у кого-нибудь еще какие мысли? :help:

да это я упустил. так и есть.

как вариант наши провайдеры запрещают 25 порт на мир но разрешают использовать их сервер пересылки. у твоего прова нет такого случайно?

з.ы. это быстрый ответ, ща почитаю тему подумаю.)

смотри чего нехватает. каким образом будет выполнена маршрутизация? меня интересует следующий момент: у тебя два IP и оба активные? маршруты к ним есть? т.е. пров должен прокидывать все входящие на адрес 94,25,8,58 и 94,25,70,113 на твой маршрутизатор это так?

если это так то не вижу проблем в правилах сетевого экрана настраеваем на NAT преобразование для всего потока по 25 порту подменять IP исходяшего на 94,25,70,113 после этого любое взаимодействие по протоколу SMTP будет осуществляться от IP 94,25,70,113 что собственно тебе и нужно. только не забудь в прямой зоне исправить MX запись на 94,25,70,113 и посадить почтовик на этот адрес. с МДемоном не работал но что то мне подсказывает что так сделать можно.

з.ы. до конца не понял твоё подключение к инету. у тебя два интерфейса? или один с двумя IP? и не высмотрел или ты не указывал какая у тебя маска на инет IP адресах? от того сложно сделать вывод о маршрутизации.

94.25.8.58 - безусловно смаршрутизирован, насчет 94.25.70.113 - не знаю, скорее всего нет, поскольку запрос эха на него не проходит, задам вопрос прову...
Знаю только что на него у прова в обратной зоне прописано соответствие с хостом nvtrans.com.

С этого места прошу по-подробнее, для особо одаренных : "Откравем Маршрутизация и удаленный доступ, выбираем IP-маршрутизация ..." Как-нибудь так... :)

Насколько я знаю MX запись не может содержать IP адресов, там должно быть разрешаемое по IP имя хоста.

Две сетевые карты, одна в ЛВС, вторая через DSL к прову.
На внешней сетевой карте
IP 94.25.8.58
Маска 255.255.255.252
Шлюз 94.25.8.57
Поднят NAT с марщрутом из ЛВС в инет.

ага задай вопрос. а эхо и не будет проходить ведь у тебя этот IP не на каком интерфейсе не привязан.

на выходных, в субботу наверно т.к. у меня нет RRAS нужно поднимать.

ну понятно, я об этом писал выше. я это и имел ввиду, но только после того как пров ответит что за IP такой 94,25,70,113.

Адрес обратной зоны 94.25.70.113 отмаршрутизирован на линковый IP.
Жду дальнейших пояснений...

Мистер wertyg !
Хочется продолжения банкета... :)

был в отьезде.)
что это значит? это значит если ты поменяешь свой ,8,57 адрес на интерфейсе который смотрит в нет на ,70,113 то будешь ходить в инет как и прежде? или если припишешь алиасом к интерфейсу ,8,57 ,70,113 то и в этом случае пакетики будут ходить на адрес ,70,113?

ну если так тогда почему ты работаешь с адреса ,8,57? не до конца всё же понимаю почему ты работаешь с ,8,57 IP-ом. замени его у прова в DNS-е везде на ,70,113 и тогда обратная зона у тебя будет "чиста" а в инет с какого ходить не всё ли равно?

ты выше писал что многие у этого провайдера как то настраевают NAT. тебе пров про это ничего не говорил хотябы в общих чертах?

з.ы. может чего не так написал или повторился просто спатоньки хочетсо сильно.) это я к тому что я тута мониторю происходящее и никуда с темы не пропал... почти.)) завтра тему прочту ещё раз.)))

:shocked: Обана ...
Че так все просто, можно поменять IP на внешней карте на *.70.113и будет работать !? Че-то шибко просто получается... Мальца не допонял, поменять надо линковый IP *.8.58 или IP шлюза *.8.57 ? Разжуйте, плиз...

скажи пож. как у тебя происходит подключение к инету модем, кабель напрямую к ПК? также каким образом ты получаешь IP, руками прописываешь или автоматом провайдер выдаёт. неплохо было бы узнать и маску, от неё зависият дальнейшие действия.

Цитата:

Цитата wertyg а эхо и не будет приходить »

пришёл... :)
поменяв, если винда даст, вообще всё перестанет работать, т.к. IP и шлюз - в разных сетях.
было бы хорошо увидеть IPCONFIG /ALL с сервера. как и всю топологию подключению к интернету.

вопрос: а что такое "линковый" IP ?

а да IP-ы и маску упустил.)

хорошо бы было понять что тогда это и как оно предпологает работать.

могу предположить, что у провайдера прописана маршрутизация, что IP 94.25.70.113 находится за 94.25.8.57/30
Но обыно в таких ситуациях дают не один IP, а сеточку, к примеру 94.25.70.112/30.
94.25.70.113 назначается на сетевой карте вашего сервера (с внутренней стороны), а за сервером ещё один NAT 94.25.70.113=<NAT>=локальная сеть.

Я подозревал что работать не должно, но таки попробовал :)
Винда ругнулась на разные подсети шлюза и IP, но адреса схавала. Ping снаружи на 94.25.70.113 дал эхо! С сервера на шлюз 94.25.8.57 тоже получил ответ! Правда и там и там получил средний отклик более 350 Мсек... Поменял на DNS- ах хостера IP на 94.25.70.113 и стал пробовать слать почту. Тут все и пропало, пинга на шлюз не стало, соответственно снаружи аналогично. Понаблюдал: пинг на шлюз с сервера появляется на небольшое время, причем примерно каждый 10 пакет теряется, ну и время отклика громадное > 300 мсек. минут через 5 - 10 все гаснет и появляется часа через пол.
IPCONFIG /ALL:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : nvtrans
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

DSL (on-board) - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe NIC
Физический адрес. . . . . . . . . : 00-01-6C-2A-BF-E1
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 94.25.8.58
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 94.25.8.57
DNS-серверы . . . . . . . . . . . : 208.67.222.222
208.67.220.220
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe NIC #2
Физический адрес. . . . . . . . . : 00-E0-4C-77-18-33
DHCP включен. . . . . . . . . . . : нет
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.164.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
Локальнач сеть на витой паре, собрана на одном общем концентраторе 100 Mbit , туда же подключен
витой парой выделенный сервер. В локалке адреса статические.
На серврере две сетевые карты: одна в "ЛВС", вторая "DSL".
Интерфейс "DSL" подключен витой парой на конвертор D-Link, дальше оптоволоконный кабель на 2-й D-Link к прову.
внешний IP статический, выданный провайдером при заключении договора.
Что еще рассказать не знаю, спросите что интересно...
Пров выданный внешний адрес 94.25.8.58 - называет "линковым" и категорически отказывается писать для него соответствие в обратной зоне.
Именно так и есть, был выдан диапазон 94.25.70.112/30 из которого предлогалось выбрать адрес для записи соответствия в обратной зоне.

Поясните, плиз, насчет "за сервером ещё один NAT"... Имеется ввиду маршрутизатор типа Cisco или что-то еще?
Хотелось бы все поиметь в одном системнике :)

Цитата:

Цитата Serhio62 Пров выданный внешний адрес 94.25.8.58 - называет "линковым" »

бред, а не название. Просто IP и всё.ну блина !!!
это значит что у вас два IP. Один назначается на ваш шлюз, а другой на ваш сервер-почты.
пример:
|ISP-ip-94.25.8.57|<--------->|Router-WAN1(ip-94.25.8.58),WAN2(ip-94.25.70.113|<------->|mail-server(ip-94.25.70.114)|
я реализовывал данную штуку на Cisco. может и бюджетные есть. с NAT я погорячился...

Если делать трассировку, то последних хопом будет ип 94.25.8.57-94.25.8.58.

Для чего делают такие "махинации". К примеру у меня (в Москве) есть клиент (в Калиниграде).
Я купил клиенту через местного провайдера IP пул. Больше по каким-то причинам провайдер не даёт адреса.
Я ему маршрутизирую свой, москвовский пул. И всё...

С помощью Cisco все просто-это понятно. У меня задача максимум - нормальное хождение почты. Покупать для этой цели доп. оборудование - жаба давит, тем более что контора небольшая и деньги считать любит.
Может быть есть варианты решения проблеммы с имеющимся составом оборудования?

ничего хорошего в голову не приходит... может какой нить бюджетный роутре поможет. С выключенным NAT...

Проблемма решена, если кому интересно, пишите в личку.

опиши здесь. всем интресно.