Users don't reach the authentication

Hi, Elise, and welcome to Astaro!

Let me repeat that in different words to be certain that I understand.  You have a mailserver with which you provide email services to other companies.  Your customers connect from their public IPs to your Astaro's External interface, and you have a DNAT rule that forwards their port-993 traffic to your mailserver.

If that is correct, it is unclear to me where the LDAP authentication takes place; in the mailserver, the Astaro or ?

Other questions... Version of Astaro?  Do all users with problems have the same client software?  Which Live Log are you looking at?

Cheers - Bob

Thanks for the kind words, Bob.

I took the example of Mail but I could have said this about other services. But let stick to Mail in our example. Yes we do provide email services to other companies. Our customers connect to three WAN (different MX) that are load balanced by a Syswan system. The Syswan goes to the Astaro that is said a DMZ. No traffic rules on the Syswan only the Wan load balance. Then the customers authenticate on the Astaro by LDAP. Then I have the DNAT rule that forward their secure IMAP to the mailserver. 
The version of Astaro is the last one 7.504. 
All clients have the same client software. I look at the network security/Packet Filter/Live Log and there I can see the IP of my client going through. And then I look at the Users/Authentication/Live Log and I don't see the customer of this IP address authenticate.
I mean for example the IP address 17.250.0.0 goes through and the customer johndoe from this IP can authenticate but in the meantime the IP address 17.251.0.0 goes through but the customer janedoe from this IP address does not appear in the Live Log of Authentication and so cannot connect to any services (not only Mail). It is like janedoe was totally unable to reach the Astaro except her IP address does reach the Astaro and goes through the packet filter !

I know this sound a bit weird.

Can you show packet filter log lines from an unsuccessful authentication and a successful one from the same remote IP?

Also, I'm a bit confused about authentication in email.  The Astaro only authenticates a user when necessary; otherwise the packets traverse the system without identification.  A remote user only would be authenticated by the Astaro when connecting with one of the Remote Access VPNs.

If there were a site-to-site VPN, there are two situations where authentication is done by the Astaro. If the remote user wanted to send mail from his PC (not through the server) and 'Allow authenticated relaying' was selected in 'Mail Security', the Astaro would authenticate the user.  If "Transparent with authentication" or "Basic user authentication" mode were selected in 'Web Security', the user would be authenticated.

Does this explain what you are seeing?

Cheers - Bob

In fact all my customers go through the packet filter and this is exactly what is weird I think. None IP addresses are blocked. ANd because of that I can see the Syswan is working perfectly. 
It's only authentication that don't work. And yes whenever my customers connect their mail software their name pop up in the live log of User because I have a group LDAP users that is in Allowed users/groups in Authenticated Relay (Mail Security/SMTP/Relaying).

This is not a site to site VPN.

I understand now.  This does sound like a client-side issue.  On the Astaro side, I know that OpenLDAP doesn't work reliably with it, but it works perfectly with Microsoft LDAP.

Cheers - Bob

Thanks Bob, I do work with OpenLDAP... This is the explanation, you think ? Anyway this is the problem, what I see it's sometimes one customer (I mean one office here) stop being authenticate when its IP address pass through the firewall perfectly so it's just authentication problem.