Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 3662 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP relay and IPSec site-to-site VPN

StephaneGROBETY
Hello everyone,

I have two sites connected through site-to-site IPsec VPN. On both site, there is a mail server running. On of the site uses the Astaro box as a SMTP gateway for all mail while the other one only sends mail (directly, not through Astaro).

Just to make things clear, the mail flow (SMTP) was the following:

SMTP1 -[ASL1-ASL2 VPN]--> ASL2 --> SMTP2

Site 1 has all public IP addresses (it's a public site) while site 2 is using private IPs NATed by ASL2.

My problem is the following: up to now, the above setup worked but the tunnel was configured with the public IP addess of both ASL gateway in the list of published network for both side and gateways. This worked with connections going from ASL2 to ASL1 but not in the other direction.

So, we've fixed it by removing the firewalls public IPs from the VPN definition completely (both as published networks and gateway definitions). That solved the connectivity issue between site 1 and site 2 but now the mail server cannot connect to the ASL2's external SMTP port.

I've temporary fixed that by adding a stating entry in the host file of the SMTP1 server, but I need a more permanent fix.

Anyone has an idea what the problem is ?


This thread was automatically locked due to age.
Parents
  • 0
    Just to make things clear, the mail flow (SMTP) was the following:

    SMTP1 -[ASL1-ASL2 VPN]--> ASL2 --> SMTP2

    Site 1 has all public IP addresses (it's a public site) while site 2 is using private IPs NATed by ASL2.

    Fulgan, I think you overestimate our ability to understand![;)]  Let me restate that to see if I understand.

    Site 1 has no private IPs and the ASG is in bridge mode.  It is connected to Site 2 with an IPsec Site-to-Site.  The mail server here both sends and receives email.

    In Site 2, the ASG is in routing mode with the local network masqueraded behind a public IP on the External interface.  The mail server here sends email only.

    So, we've fixed it by removing the firewalls public IPs from the VPN definition completely (both as published networks and gateway definitions).

    (repeating in my words) In each site, the local public IP target of the VPN was removed from 'Local networks' in the 'IPsec Connection' definition and, in the local 'Remote Gateway' definition for the other site, the remote site's public IP target for the VPN was removed from 'Remote networks'.

    now the mail server cannot connect to the ASL2's external SMTP port.

    I've temporary fixed that by adding a stating entry in the host file of the SMTP1 server, but I need a more permanent fix.

    (restating) Now, the mail server in Site 1 cannot access the Site-2 mail server via its public IP which is DNATted to its private IP.  The fix was to add a host definition with the SIte-2 mail server's private IP to the list of 'Static Hosts' on the ASG in Site 1.

    If I've understood correctly, then I believe you have the optimal configuration now.

    Cheers - Bob
Reply
  • 0
    Just to make things clear, the mail flow (SMTP) was the following:

    SMTP1 -[ASL1-ASL2 VPN]--> ASL2 --> SMTP2

    Site 1 has all public IP addresses (it's a public site) while site 2 is using private IPs NATed by ASL2.

    Fulgan, I think you overestimate our ability to understand![;)]  Let me restate that to see if I understand.

    Site 1 has no private IPs and the ASG is in bridge mode.  It is connected to Site 2 with an IPsec Site-to-Site.  The mail server here both sends and receives email.

    In Site 2, the ASG is in routing mode with the local network masqueraded behind a public IP on the External interface.  The mail server here sends email only.

    So, we've fixed it by removing the firewalls public IPs from the VPN definition completely (both as published networks and gateway definitions).

    (repeating in my words) In each site, the local public IP target of the VPN was removed from 'Local networks' in the 'IPsec Connection' definition and, in the local 'Remote Gateway' definition for the other site, the remote site's public IP target for the VPN was removed from 'Remote networks'.

    now the mail server cannot connect to the ASL2's external SMTP port.

    I've temporary fixed that by adding a stating entry in the host file of the SMTP1 server, but I need a more permanent fix.

    (restating) Now, the mail server in Site 1 cannot access the Site-2 mail server via its public IP which is DNATted to its private IP.  The fix was to add a host definition with the SIte-2 mail server's private IP to the list of 'Static Hosts' on the ASG in Site 1.

    If I've understood correctly, then I believe you have the optimal configuration now.

    Cheers - Bob
Children
No Data