Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 504 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[POP3-Proxy V7.005] DNAT-Problems

siudak@HES
Hello,

we ported our firewall-system from v6.305 to v7.005. it seems all okay
since we look in the pop3-proxy-log. we have the following configuration:

Internal POP3-Server: 10.10.1.100
External POP3-Address: 62.8.xyz.xyz
DNAT-Rule: Any->POP3->62.8.xyz.xyz -->Dest->10.10.1.100
POP3-Proxy: Allowed Networks=Any
Paket-Filter: Any->POP3->10.10.1.100 Allow

Pop3-Proxy-Log:

2007:06:27-00:26:33 (none) pop3proxy[29167]: id="1117" severity="error" sys="SecureMail" sub="pop3" name="Error" info="communication error with cffd" message="basic_ios::clear" 
2007:06:27-00:26:33 (none) pop3proxy[29167]: id="1117" severity="error" sys="SecureMail" sub="pop3" name="Error" info="communication error with cffd" message="basic_ios::clear" 

2007:06:27-01:34:05 (none) pop3proxy[25554]: id="110Q" severity="error" sys="SecureMail" sub="pop3" name="Connection error." message="Unknown connection error" serverip="62.8.xyz.xyz" dstport="110" srcip="84.58.205.13" 
2007:06:27-01:34:05 (none) pop3proxy[25554]: id="110Q" severity="error" sys="SecureMail" sub="pop3" name="Connection error." message="Unknown connection error" serverip="62.8.xyz.xyz" dstport="110" srcip="84.58.205.13" 
2007:06:27-01:34:55 (none) pop3proxy[25554]: id="110Q" severity="error" sys="SecureMail" sub="pop3" name="Connection error." message="Unknown connection error" serverip="62.8.xyz.xyz" dstport="110" srcip="89.59.133.233" 

POP3-connections from internal to the web are no problem. Internal
connections over the proxy without dnat have also no problem.

when a connection is with dnat the proxy have a big problem.
the client software (thunderbird) give an "empty" error message
and no emails are transmitted.

thank you for tipps and bugfixes..

...edit...
this dnat-rule with pop3-proxing works fine at v6.
the packet-filter log shows nothing about this problem.
when switching the pop3-proxy to off the problem is away.
...end edit...

tobi


This thread was automatically locked due to age.
Parents
  • 0
    I don't understand the advantage of this configuration. 
    Why do you use a DNAT Rule, instead of pointing the mailcient to the right server.
  • 0 in reply to Agadoo
    I don't understand the advantage of this configuration. 
    Why do you use a DNAT Rule, instead of pointing the mailcient to the right server.


    Seems to me the POP3 server is behind the Astaro and the clients connect from outside. How should it work without DNAT?
  • 0 in reply to matteolo
    the pop3-server is in the dmz with a private network (10.10.1.0 mask 255.255.255.0)
    astaro have to dnat the packets from the external addresses to the private
    network.

    tobi
  • 0 in reply to siudak@HES
    I agree that he needs a DNAT Rule to access the Server from outside, but i do not understand why he points the internal mail clients to the external IP of the pop Server. If he uses the internal IP, he would probably get no error while accessing the server from inside the network.
Reply
  • 0 in reply to siudak@HES
    I agree that he needs a DNAT Rule to access the Server from outside, but i do not understand why he points the internal mail clients to the external IP of the pop Server. If he uses the internal IP, he would probably get no error while accessing the server from inside the network.
Children
  • 0 in reply to Agadoo
    only the external connections with dnat do have the problems. all the internal traffic without dnat have NO problem. the log-file-snippet in the first post shows you that e.g. the "srcip="89.59.133.233" is an external ip.

    we analyses the problem and think: the pop3-proxy comes first and the dnat-engine comes after the proxy. so the pop3-proxy don't know about the "translation" from external to internal addresses and generates this error-messages.

    meanwhile this "bug" is a ticket to astaro. we have to look what astaro says.

    tobi
  • 0 in reply to siudak@HES
    All of the proxies come before packet filter and NAT rules, that is the way ASG functions.

    Why would you want to NAT a proxy?

    Ian M
  • 0 in reply to RFCat_vk_01
    cause our customers have employees which have to catch emails via pop3
    from external ips without a vpn. the employees email have to check for viruses
    and spam.
Cookie Information Banner