Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 1 subscriber
  • Views 12462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

pop3 and smtp problems for subnets

joequick
I have a hub-n-spoke network setup to our remote offices via sonicwall vpn that terminates on our lan.

My local subnet 192.168.10.0 can browse, send and receive email with no problem as long as outlook is configured as follows:
smtp with the ip# of my ASG
pop3 with mail.myhostingprovider.com

our email is hosted externally

My remote offices can browse and send email using the same setup as my local lan, but can not receive any email.

My SMTP setup has the smart host setup and each subnet is Allowed in the Host base relay. SMTP would not work for my subnets until I added "any" which I know is a total no-no but I was desparate at the time.

My POP3 has "any" along with each subnets in the allowed hosts and i have prefetch disabled. But the subnets still can not get pop3 email and get the enter the server popup box that outlook gives you.

I checked my PF logs an it shows that that my remote offices connection are being dropped when using the ip of my ASG machine.
17:05:51 Default DROP TCP 192.168.70.5 : 1168 
 → 192.168.10.25 : 8110 
 
i have 4 packet filter rules setup:
1-remote lan 192.168.70.0 any service to any
2- internal network web surfing to any
3- internal network emailing to any
4- internal network any to any

Not sure what else to try, any help would be appreciated.
Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Oh yeahystem info:
    Model:  ASG Software 
    Version information 
    Firmware version:  7.202 
    Pattern version:  8083 
    Last check:  3 minutes ago
  • 0 in reply to joequick
    Hi,
    rules 2 & 3 are not required because of rule 4.

    What do you have in the way of MASQ rules?

    I suspect, but can't be 100% sure you will need some routes in the ASG to point the traffic in the right directions for each of your remote office networks.

    What is the gateway your users are setup for?

    Ian M
  • 0 in reply to Billybob
    Ok,
    I have disabled transparent pop3.
    I created a PF rule Remote Offices >> POP3 >> pop3.mailhosting.com and set if allow always.
    I already had a MASQ Internal to Internet so I added RemoteOffices >> Internet.
    I deleted PF #2 & #3

    I can still send and recieve email from my workstation. Remote Offices can still send but CANT RECEIVE. PF reads:
    19:48:00 Default DROP TCP 192.168.70.3 : 1253 
     → 192.168.10.25 : 110

    I removed the rule for pop3 that you had me create and enabled the pop3 proxy but still not joy.
  • 0 in reply to joequick
    I remove the *Any* from the SMTP and everything is still working.
  • 0 in reply to joequick
    pop3 proxy is transparent so once you get the issue resolved you can enable it. Just leave it disabled right now and try to figure out the packet filter rules that are blocking your access.
    You probably have smtp server for sending out and pop3 for receving that is why it is sending out fine. I am still trying to figure out why your remote clients are hitting the inside IP of your astaro for pop3
    19:48:00 Default DROP TCP 192.168.70.3 : 1253 
    → 192.168.10.25 : 110

    do you have astaro's internal IP as your pop3 server for remote clients?
  • 0 in reply to Billybob
    Yes, the were using the ASG internal IP.

    I tried using mail.mymailhost.com and got the pop3 server could not be found message. The PF logs didnt show anything.

    So I tried pinging google.com from the Remote Office and I got: Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.

    Ping statistics for 72.14.207.99:
        Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum =  0ms, Average =  0ms

    But from google from my PC I get a reply.

    I think I have a DNS issue. The PF is not showing anything dropped when I ping from the Remote Office so I dont know.

    I have a DC running DNS for AD. Everyone including the Remote Offices points to it for DNS resolution, I tested and the recursive query from the DC to the ASG works.

    I think I may be screwed here. I know I could ping from the remote offices from the old proxy server.
  • 0 in reply to joequick
    Its not that difficult. Just a slight learning curve. With all the stuff that is available on astaro, sometimes it can be overwhelming. I have been using it since v4 and I get confused once in a while.
    Draw what you are doing on the paper and then implement it. Keep record of what you did and what impact it had and make little changes. When you change everything, you get into more trouble.

    You can try using the IP of pop3.yourmailhosing.com as pop3 server address, unless its a virtual server. Is nslookup working for remote offices? I believe you will have to write a rule for your remote offices to be able to ping.
  • 0 in reply to Billybob
    Thanks for your assistance with this. As I am far from a networking expert, I play one at work and know enought to be dangerous LOL.

    I have backups just incase [;)]

    I did try the IP of my mailhost without luck. I beleive it may be a virtual server I will double check with them. I will address the DNS stuff in a few hours as I have to wait for them to leave. Actually I am concetrating on one office in particular, figure I get that one working correctly the rest is cake.

    Thanks again and I will update you as soon as I have something to report.
  • 0 in reply to joequick
    Hi Billybob,

    I checked the NSlookup and that was fine. My ping problem was it was blocked on the sonicwall at my remote office.

    Well I beleive I have found the problem. My sonicwall blocks all internet traffic from leaving the WAN at my remote office. Just like it is supposed to to.

    All internet traffic should be routed thru my VPN to the ASG (with a couple of exceptions already setup) thru the proxy settings in IE which use the Internal IP of the ASG. That is why they can send mail and browse the internet. Both IE and SMTP in Outlook point to 192.168.10.25 (ASG).

    I am starting to wonder if the ASG can actaully do what I need it to do. The SMTP has the relay setting which points to my mail host. The pop3 has no such setting. Which is why I would get the DROP messages.

    Unless there is something else that I can try, I guess need to find another gaetway.
  • 0 in reply to joequick
    I changed the mail host from mymailhost.com to 192.168.10.25 the ASG internal ip and got the popup that the server could not be found and the following in the pop3 log on the ASG
    2008:08:14-12:34:12 (none) pop3proxy[6394]: id="110Q" severity="error" sys="SecureMail" sub="pop3" name="Connection error." message="Unknown connection error" serverip="192.168.10.25" dstport="110" srcip="192.168.10.53"

    I had a brainstorm (which really hurt) so tried something..
    I created a PF rule allowing traffic from my ip to the ASG internal interface on port 8110.

    I then created DNAT rule:
    my ip >> port8110 >> ASG Internal IP
    mymailhost.com >> port 110

    SOOO... Now if i telnet to the Internal ip of the ASG using port 8110 i get:
    +OK 
    -ERR authorization first
    quit
    +OK

    Yes getting somewhere, so I change the DNAT port 8110 to 100 and viola I get my email. Only problem is it doesnt get logged by pop3 and i am sure no virus scanning or spam filtering is being done. So this really isnt the way to do it.

    I guess the bottom line is .... it cant do it. [[:(]][[:(]]
  • 0 in reply to joequick
    Is there a reason you are not just pointing the email client directly to the IP address of your email server?

    The pop3 proxy is a transparent proxy, which means you don't point the email client to the IP address of the ASG for setup. The pop3 proxy will monitor traffic on port 110 for the networks you specify and intercept and scan the traffic.The DNAT you created is probably bypassing the proxy.
  • 0 in reply to dilandau
    Yes there is a couple reasons. 
    1 is control (users can just access company email not personal) 
    2nd is our remote offices are connected via site-to-site VPN (hub-n-spoke) with the exception of a couple specific applications all internet access is denied by the remote firewall at the office. So using mymailhost.com is blocked, before the ASG even sees it to intercept it.

    SMTP works just fine pointing to the ASG but POP3 doesnt.

    You are right tho, the DNAT I created bypasses the proxy, it also seems to bypass the logs, scanner and spam filter. Not exactly what I want, so I disabled it.
Reply
  • 0 in reply to dilandau
    Yes there is a couple reasons. 
    1 is control (users can just access company email not personal) 
    2nd is our remote offices are connected via site-to-site VPN (hub-n-spoke) with the exception of a couple specific applications all internet access is denied by the remote firewall at the office. So using mymailhost.com is blocked, before the ASG even sees it to intercept it.

    SMTP works just fine pointing to the ASG but POP3 doesnt.

    You are right tho, the DNAT I created bypasses the proxy, it also seems to bypass the logs, scanner and spam filter. Not exactly what I want, so I disabled it.
Children
Cookie Information Banner