Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3686 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot Send Mail while connected to L2TP VPN

claud1e
My Astaro box has 2 separate external IP's: x.x.x.132 is used for SMTP Auth Proxy and x.x.x.133 is used for VPN connections.  x.x.x.132 is externally resolvable using the name smtp.mydomain.com, using that for outgoing mail server works great!  However, once I connect to the vpn, I can no longer send mail.  It can still resolve smtp.mydomain.com but it eventually times out with the following error:

Sending Message Failed.
  
The message could not be sent because connecting to smtp.mydomain.com failed. The server may be unavailable or is refusing SMTP connections.  Please verify that your SMPT server setting is correct and try again, or else contact your netwok administrator.

Obviously I could change my server settings and send mail from the internal side once connected, but I have a number of users that are on and off the vpn all day.  They do not want to have to change their server settings all the time.  I realize that once connected to the VPN on IP x.x.x.133 I could not use that IP for sending mail, so I figured a second external IP would fix that problem....I stand corrected!

Any help or advise would be greatly appreciated.  If you would like more config info just let me know and I will update this post ASAP.

Regards,
Claud1e


This thread was automatically locked due to age.
Parents
  • 0
    claud1e,
    do you use policy routing with ASL? Which version? Please tell us more about your interface configuration and the topology of the network (local/remote subnet)? For me, it sounds like a DNS or address issue? If you try send mails, which IP address of your ASL is use for the outgoing request. Normally, ASL uses the interface, where the default gateway is set. Do you find any other entries in the logs? Try to dump the smtp session during the tunnel is up.
    Cheers bagira
  • 0 in reply to bagira
    Bagira-

    Here's what I have:

    eth0 (external)  x.x.x.133  f1rewall.mydomain.com
    gateway x.x.x.1
    This is the card that accepts VPN connections

    eth1 (internal)  y.y.y.50  f1rewall.mydomain.com
    gateway none

    eth2 (internal dmz)  z.z.z.1 dmz.mydomain.com
    getway none (card not being used)

    eth3 (external)  x.x.x.132 smtp.mydomain.com
    gateway none
    This is the card used for sending email

    My DNS proxy setup Allows my dmz, internal network and IPSEC-Pool (which is what I use for my vpn connections).  It has 3 DNS servers listed, 2 external and my own internal DNS in the following order:
    externalDNS1
    internalDNS
    externalDNS2

    I am using L2TP over IPSEC.  My clients get a 10.7.47.x address from the IPSEC-Pool with 2 DNS servers; externalDNS1 and internalDNS.

    Finally, I have a NAT/MASQ rule for  each local user that connects the VPN:
    L2TP_User1 --> Any / Any     MASQ_eth1     none

    Once I am connected to the VPN I cannot use any of the other interfaces.  No WebAdmin, SMTP Proxy, etc.  I can however send email if, once I connect I add a route to smtp.mydomian.com via my IPSEC-Pool address 10.7.47.x.

    Hopefully that helps.  Let me know if any further info is required.

    Thanks!
    claud1e
  • 0 in reply to claud1e
    clau1de,
    how do you implement 2 external connections,policy routing?
    Do you only have Roadwarrior VPN wilt L2TP? Don't you have access from  your RW or from all boxes you want to access the WebAdmin? As I get you right, it is not possible to send mails from your RW or are you not able to send mails at all? Is it possible to access your WebAdmin from your internal network, is your smtp proxy available from the internal network? 
    Sorry, but I think I am getting on a tube ... 
    Cheers bagira
  • 0 in reply to bagira
    Bagira-

    I don't have any policy routing setup that I am aware of.  I just have 2 cards with external addresses, both on the same network.   I'll do a search and see what I come up with to implement policy routing.

    Yes, I only have RW connecting with L2tp over IPSEC.  While these RW's are connected they cannot send mail.  Mail can be sent fine using SMTP proxy with Authentication to my Oracle LDAP Server while not connected to VPN.  Mail can also be sent from my internal network without issue. 

    There are only 2 users that would access WebAdmin myself and one other.   And it is only accessable from the internal network.  When connected to the VPN from home, I can connect to other internal web servers, ssh to linux boxes, browse windows shares, etc but cannot WebAdmin to ASL.

    Let me know if you need any other information.

    Thanks in advance,
    Claud1e
  • 0 in reply to bagira
    Bagira-

    After a good bit more debugging, I think I've narrowed the problem down.  It appears to be that packets directed toward the Road Warrior's (RWs) external IP address are getting redirected through the IPSEC0 interface, even though they have nothing to do with the VPN tunnel.  To put it another way, once an IPSEC session is setup with a particular endpoint, all packets to that endpoint's IP address get stuffed into the pipe erroneously.  

    Suppose that my RWs external IP address was qq.qq.qq.226.  Assuming that the Road Warrior is not currently connected via IPSEC, that box can connect to the SMTP server on x.x.x.132.  Using tcpdump -i eth3 host qq.qq.qq.226 will show the packets coming from qq.qq.qq.226 to x.x.x.132:25.  Using tcpdump -i eth0 host qq.qq.qq.226 will show the return packets going from x.x.x.132:25 to qq.qq.qq.226 (since our default gateway is on the eth0 card).  

    When the RW connects to the IPSEC tunnel, however, the situation is different.  tcpdump -i eth3 host qq.qq.qq.226 still shows the incoming packets the same.  tcpdump -i eth0 host qq.qq.qq.226 is blank.  tcpdump -i ipsec0 host qq.qq.qq.226 shows the return packets.  They should not technically be there because the connection from the client to the server is done outside the scope of the IPSEC tunnel (which only handles data to our internal network).  I think the packet gets lost somewhere in the Astaro box's IPSEC code because qq.qq.qq.226 is not a valid IPSEC-Pool address (10.7.47.x).  

    So, the question is, is there some way to make the Astaro box not try to route packets to the IPSEC tunnel's endpoint's IP address through the tunnel.  It doesn't appear to me that it should ever do that.  The only thing that should go into the tunnel is stuff on the IPSEC-Pool.

    Thanks again!
    Claud1e
  • 0 in reply to bagira
    So it looks like I'm stuck?

    As it stands right now, once connected to the VPN no other service that passes through ASL  will work....no matter what interface.  For instance, once I connect to VPN on x.x.x.133, I can no longer send mail through x.x.x.132.  

    In addition, things like the Jabber server I run for instant messaging will fail.  The client is configured to connect through one of the other external IPs which will no longer work while connected.  Does this mean that if I use ONLY ASL box as a firewall that none of my regularly provided internet services will work while connected to the vpn?

    Is this something I just need to 'Accept' or is there some work around that I am unaware of?

    Thanks in advance,
    Chad
Reply
  • 0 in reply to bagira
    So it looks like I'm stuck?

    As it stands right now, once connected to the VPN no other service that passes through ASL  will work....no matter what interface.  For instance, once I connect to VPN on x.x.x.133, I can no longer send mail through x.x.x.132.  

    In addition, things like the Jabber server I run for instant messaging will fail.  The client is configured to connect through one of the other external IPs which will no longer work while connected.  Does this mean that if I use ONLY ASL box as a firewall that none of my regularly provided internet services will work while connected to the vpn?

    Is this something I just need to 'Accept' or is there some work around that I am unaware of?

    Thanks in advance,
    Chad
Children
No Data
Cookie Information Banner