第一个问题,请多包涵!
问题:在谷歌云平台中,他们阻止了端口 25 上到外部地址的出站流量。
- 1 个网络服务器需要通过我的公司邮件服务器发送邮件。
- 1 个邮件服务器位于我的 DMZ 内,在防火墙上路由。
- 我的办公室子网和 GCP 本地子网之间的 1 个站点到站点 VPN(在防火墙上)。
我目前所知道的是:
所以......经过一天的确认后,我确信我的防火墙存在问题,结果发现谷歌阻止了出站端口 25、465 和 587。(所有 SMTP 协议端口的变体)
在这里找到了这个金块:https://cloud.google.com/compute/docs/tutorials/sending-mail/
它描述了这里如何允许本地网络之间的流量,但阻止互联网流量。
现在,我在 GCP 和我的 ASA5520 之间建立了一个站点到站点 VPN,它运行良好,GCP 中有供我的本地网络路由的路由。现在,这算是“本地网络”的一部分还是仅限于 Google 实例的本地子网?
我想肯定有人在我之前遇到过这个问题,并且有类似的设置,但我找不到太多信息。
在对我的实时防火墙进行更改以尝试允许从 VPN 到 DMZ 的流量之前,我想知道是否有人有这方面的经验?
也愿意接受关于如何解决我的问题的其他建议...尽管我宁愿不支付任何费用,或者依赖应用程序和其他服务。
干杯!
答案1
在您发送的链接中,有一个名为通过公司邮件服务器发送邮件。它描述了如何使用 VPN。因此,您只需中继到 ASA 内部的邮件服务器,而 Google 流量过滤器甚至看不到端口号 - 它们只会看到 ESP 或 UDP/500(UDP 上的 ESP)。
关于一个隧道上的两个子网,我只能谈谈 ASA 方面的问题。我通常创建一个一行的访问列表,定义两个对象组,然后只需将对象组定义加载到需要穿越隧道的子网中即可。例如:
object-group L2L-GCP-Remote
network-object host 169.254.169.254
object-group L2L-GCP-Local
network-object 10.11.12.0 255.255.255.0
network-object 10.12.13.0 255.255.255.0
access-list outside_5_cryptomap extended permit ip object-group L2L-GCP-Local object-group L2L-GCP-Remote
crypto map outside_map 5 match address outside_5_cryptomap
我用 L2L-xxx-Local/Remote 的说法来表明我的年龄。这是旧 3000 VPN 集中器用来定义每一侧的方式。:)