Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 1 subscriber
  • Views 12462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

pop3 and smtp problems for subnets

joequick
I have a hub-n-spoke network setup to our remote offices via sonicwall vpn that terminates on our lan.

My local subnet 192.168.10.0 can browse, send and receive email with no problem as long as outlook is configured as follows:
smtp with the ip# of my ASG
pop3 with mail.myhostingprovider.com

our email is hosted externally

My remote offices can browse and send email using the same setup as my local lan, but can not receive any email.

My SMTP setup has the smart host setup and each subnet is Allowed in the Host base relay. SMTP would not work for my subnets until I added "any" which I know is a total no-no but I was desparate at the time.

My POP3 has "any" along with each subnets in the allowed hosts and i have prefetch disabled. But the subnets still can not get pop3 email and get the enter the server popup box that outlook gives you.

I checked my PF logs an it shows that that my remote offices connection are being dropped when using the ip of my ASG machine.
17:05:51 Default DROP TCP 192.168.70.5 : 1168 
 → 192.168.10.25 : 8110 
 
i have 4 packet filter rules setup:
1-remote lan 192.168.70.0 any service to any
2- internal network web surfing to any
3- internal network emailing to any
4- internal network any to any

Not sure what else to try, any help would be appreciated.
Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Oh yeahystem info:
    Model:  ASG Software 
    Version information 
    Firmware version:  7.202 
    Pattern version:  8083 
    Last check:  3 minutes ago
  • 0 in reply to joequick
    Hi,
    rules 2 & 3 are not required because of rule 4.

    What do you have in the way of MASQ rules?

    I suspect, but can't be 100% sure you will need some routes in the ASG to point the traffic in the right directions for each of your remote office networks.

    What is the gateway your users are setup for?

    Ian M
  • 0 in reply to joequick
    I changed the mail host from mymailhost.com to 192.168.10.25 the ASG internal ip and got the popup that the server could not be found and the following in the pop3 log on the ASG
    2008:08:14-12:34:12 (none) pop3proxy[6394]: id="110Q" severity="error" sys="SecureMail" sub="pop3" name="Connection error." message="Unknown connection error" serverip="192.168.10.25" dstport="110" srcip="192.168.10.53"

    I had a brainstorm (which really hurt) so tried something..
    I created a PF rule allowing traffic from my ip to the ASG internal interface on port 8110.

    I then created DNAT rule:
    my ip >> port8110 >> ASG Internal IP
    mymailhost.com >> port 110

    SOOO... Now if i telnet to the Internal ip of the ASG using port 8110 i get:
    +OK 
    -ERR authorization first
    quit
    +OK

    Yes getting somewhere, so I change the DNAT port 8110 to 100 and viola I get my email. Only problem is it doesnt get logged by pop3 and i am sure no virus scanning or spam filtering is being done. So this really isnt the way to do it.

    I guess the bottom line is .... it cant do it. [[:(]][[:(]]
  • 0 in reply to joequick
    Is there a reason you are not just pointing the email client directly to the IP address of your email server?

    The pop3 proxy is a transparent proxy, which means you don't point the email client to the IP address of the ASG for setup. The pop3 proxy will monitor traffic on port 110 for the networks you specify and intercept and scan the traffic.The DNAT you created is probably bypassing the proxy.
  • 0 in reply to dilandau
    Yes there is a couple reasons. 
    1 is control (users can just access company email not personal) 
    2nd is our remote offices are connected via site-to-site VPN (hub-n-spoke) with the exception of a couple specific applications all internet access is denied by the remote firewall at the office. So using mymailhost.com is blocked, before the ASG even sees it to intercept it.

    SMTP works just fine pointing to the ASG but POP3 doesnt.

    You are right tho, the DNAT I created bypasses the proxy, it also seems to bypass the logs, scanner and spam filter. Not exactly what I want, so I disabled it.
  • 0 in reply to joequick
    Isn't the email being scanned by the smtp proxy, doesn't this make the pop3 proxy scanning the email redundant?
  • 0 in reply to joequick
    I am glad you are getting the hang of packet filter rules. Custom configurations like this give you granular control over the product but like you stated, builtin proxies don't work like this.[;)]

    Isn't the email being scanned by the smtp proxy, doesn't this make the pop3 proxy scanning the email redundant?


    In his case, smtp proxy is only being utilized for outgoing connections I believe, so all the incoming pop3 won't be scanned with custom packet filter rules.
  • 0 in reply to dilandau
    The pop3 email is from outside sources. who knows what the email contains.
  • 0 in reply to Billybob
    I am finally talkign to tech support after 5 days of phone tag. I will let you know how it goes. But I am sure the is no way to POP using the Astaro directly since it has no clue where to POP.

    SMTP is using relay so it knows where to go. POP relies on you to enter the server name used by the mail client to get the mail.
  • 0 in reply to joequick
    My mistake, I thought we were dealing with an internal email server that was located behind the astaro.
  • 0 in reply to dilandau
    My mistake, I thought we were dealing with an internal email server that was located behind the astaro.

    No problem. That would make this headache go away quickly and replace it with another lol.
  • 0 in reply to dilandau
    Tech support is going to get back to me sometime tomorrow to see if they can come up with a work around since I need to point my users to an internal IP address.

    Its funny, but I feel like I am the only person in the world not hosting their own email or trusting enough to allow them to POP to any server they decide to heheh.

    Thank you guys though for trying to help.
Reply
  • 0 in reply to dilandau
    Tech support is going to get back to me sometime tomorrow to see if they can come up with a work around since I need to point my users to an internal IP address.

    Its funny, but I feel like I am the only person in the world not hosting their own email or trusting enough to allow them to POP to any server they decide to heheh.

    Thank you guys though for trying to help.
Children
  • 0 in reply to joequick
    I just wanted to update and thank everyone for their assistance.

    I was able to resolve the problem (not to my liking) by forcing all internet traffic thru the VPN. The ASG would change the port # to 8110 from 110, but hey it works.

    Again thanks!
  • 0 in reply to joequick
    Hello:

    I have the same issue.  I have some lUsers that require access to POP on the outside and I have been struggling with this for days.

    I was reading thru this thread and I'm getting confused on what exactly got it to work for you.

    I don't have any VPN clients so my setup is simplier.  

    If I use the local IP of the ASG I get the drops in the packet filter just like you did.

    If I use the IP of the POP3 server, the e-mail client just fails with a socket error.

    If I use the POP3 proxy, nothing ever gets there - please note that all my lUsers are on their own subnets (eg:  172.18.125.121 -> ASG, lUser -> 172.18.118.15).  I allowed all Internal to the POP3 and also created a packet filter rule to allow 110.  I even tried different port #'s with no success and I just get the following:

    14:03:18 Default DROP TCP 172.18.118.166 : 1987 
     → 172.18.125.121 : 110 
     [SYN] len=48 ttl=127 tos=0x00 srcmac=00:1e:be:5b:2b:7f dstmac=00:1a:8c:f0:41:20
  • 0 in reply to Kingbuzzo
    Hi KingBuzzo,

    I had to force all traffic thru the VPN tunnel to get it to work.

    Have you added the subnet(s) to the Allowed Networks in your pop3 settings?
Cookie Information Banner