Thread Info
Options
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

outgoing smtp traffic uses wrong IP-Address on external interface

Krycek
Hi,

I had to replace my ASG320 because of a hardware failure. Now I imported a backup and got the new one running in no time. It seemed to work fine.

I have 2 ISP Connections, one DSL and one fixed line with a couple of public IPs. Those IPs are entered as "additional" addresses on the corresponding interface.
I also use uplink balancing with multipath rules to force smtp traffic over the fixed line (and other things).

Up until I exchanged the ASG it used the interface IP that I configured under "interfaces" for outgoing SMTP connections. That's important because we have registered the Reverse DNS Name on that IP and if it does not fit outgoing mails will get rejected a lot of times.

Now I have configured a SNAT for the whole  public IP-Range (because I don't know which one it really uses) for outgoing SMTP traffic. I didn't set this to internal because smtp traffic gets intercepted by the proxy and when leaving has a random source-address of the external interface.

So why is it not using its "standard" IP anymore? I had it running for almost 3 years before with the exact same configuration.


This thread was automatically locked due to age.
  • 0
    You should be able to read the IP in the header of a message sent from your work email to a web.de, gmail or yahoo account.  Still, it seems strange.  I wonder if you could ask your ISP to bounce their router to re-initialize the ARP tables, and if that would have any effect.

    Interesting, please let us know what you discover.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
    • 0
      The router doesn't host the IPs. The ASG does. And it connects directly to the other email servers. so if it uses a IP address which has a different or no rdns entry it might get blocked by email servers that check rdns entires (like the asg itself does).

      So the IPs got mixed inside the asg.

      i.e.: ETH7 is my synchronous Internet Connection. It has an external IP of 78.x.x.2/32 and a default gateway of 78.x.x.1 - my ISPs router.
      Now I set up "additional addresses" in the next tab, bound to the eth7 interface. I do some NATings and forwardings to different servers in my dmz with those.
      However the ASG used to identify itself with 78.x.x.2 (its "main" external IP) when using the eth7 interface for outside connections. After importing the backup it uses one of the additional addresses for that. I know this from a couple of bounced email messages where it shows that the server connected with the wrong IP and I checked by routing http trafic accross this interface as well and visit ipcheckit.com.
      For testing I disabled the additional interface it was using (say it was 78.x.x.14) and it promtly switch to a random other additional address like 78.x.x.23.

      I don't see ARP Tables or my provider involved with that.
      • 0
        The router doesn't host the IPs. The ASG does. And it connects directly to the other email servers. so if it uses a IP address which has a different or no rdns entry it might get blocked by email servers that check rdns entires (like the asg itself does).

        So the IPs got mixed inside the asg.

        i.e.: ETH7 is my synchronous Internet Connection. It has an external IP of 78.x.x.2/32 and a default gateway of 78.x.x.1 - my ISPs router.

        That's the one I meant, not the local one. Maybe their router is still looking for the old MAC address to route traffic with a destination of 78.x.x.2.

        Cheers - Bob
         
        Sophos UTM Community Moderator
        Sophos Certified Architect - UTM
        Sophos Certified Engineer - XG
        Gold Solution Partner since 2005
        MediaSoft, Inc. USA