Cannot email or telnet on port 25 to external mail server...

I want to start of by saying that I am amazed and grateful for so many replies and experts helping me through this problem!

As far as the ping from the Astaro, the name "mail.gomezmaylaw.com" returns the following:
"Ping check did not deliver a result, because of a probably non-existing ip address / hostname"
However, when I ping 64.22.219.165, I get some weird results:
PING 64.22.219.165 (64.22.219.165) 56(84) bytes of data.
From 64.22.219.217: icmp_seq=1 Destination Host Unreachable
From 64.22.219.217 icmp_seq=1 Destination Host Unreachable
From 64.22.219.217 icmp_seq=2 Destination Host Unreachable
From 64.22.219.217 icmp_seq=3 Destination Host Unreachable
 
The 64.22.219.217 is the address on my DMZ.  What gives?  I would assume that this would be the address of the Astaro?

There is no upstream device, other than an Actelis router that provides our EIS. I do not have control over this device, and this device has not been changed in 5 years or more.  I should mention that I also have both an inbound and an outbound Zixmail encryption appliances (behind the Astaro), but my testing should have effectively bypassed them.  We also just added these last October, well into the issue with this domain.

I was concerned about the backscatterer.org "blacklist" (loose term), but I have verified that this company is not using them as any sort of RBL.  I investigated our software and it looks to be confgiured to drop any emails without any response.  I am not too fond of this group from what I have read.

I reviewed the DNS best practices thread, and this appears to be exactly how we are configured.  I am going to give it a second look just to make sure.  These Astaro units (they are actually in HA) have had very little configuration changes in the past 3 years, so it would be a good idea to refamiliarize myself with every aspect of the configuraiton anyway.

The netmask on the External Interface is 255.255.255.0.  I am not sure how this is related, but I am open to anything.

It definately seems to be a routing issue and not a DNS issue.

Thanks!
Scott

Excellent observation Bruce!  I will email this infomraiton to the ISP and the cleints IT folks and see if they can lend some insight into the problem.

Thanks!
Scott

Scott, now that you've given the external mask for your Astaro -- unless you guys have a full class C address range (not likely in the USA unless you are a large corporation or run a hosting service) from your ISP, that's probably the problem... verify that your subnet masks are correct per the ISPs configuration information.

This is really sounding like a routing issue, and not an Astaro issue, per se.

One additional tidbit of info; it's not well documented, but any additional IPs you have configured on a single interface (unless in separate VLANs) beyond the 1st one, on an Astaro should have a /32 mask -- I've seen issues when this was not done... in your case I'm thinking incorrect subnet mask or router misconfiguration.

Wow... I feel like I am getting close to the solution, but I am still missing something.

Here is my definitions:
 
DMZ [Up] on eth2 [64.22.219.217/32]  
MTU 1500 

Internal [Up] on eth0 [192.168.1.1/24] 
MTU 1500 
Auto-created on installation 
  
External (WAN) [Up] on eth1 [64.22.204.18/29] 
MTU 1500 · DEFAULT GW 64.22.204.17 
Added by installation wizard 

My ISP gave me the correct subnet, which they said should be a /29.  We have a range of IP addresses going from 64.22.204.16 to 64.22.204.22 (I think).  I am asking them to verify this.

It definately looks like our firewall thinks the 64.22.219.165 is on our DMZ for some reason.  I even tried disabling it as an interface, but that did not work either.

Any more thoughts?

Thanks!
Scott

DMZ [Up] on eth2 [64.22.219.217/32] 
MTU 1500 

That must be a typo.  If you have 25 or less there, then that would be the problem.

Cheers - Bob

Okay, I am officially confused about subnets.  I should mention that the "gomezmaylaw.com" has been addressed.  However, my website is down on the DMZ of my firewall.

The address of my DMZ is 64.22.219.217, and it has ONE system behind it at 64.22.219.218.  

I did change it to a /32, but this is because I misinterpreted Bruce's comments above.  I think I should have used /30 here, but I do not exactly know what my IP range is here.  I do know that I have at least the 64.22.219.216-64.22.219.219 range.  I am checking into this now.

Thanks!
Scott

I got the info from my ISP:  I have two ranges of 8, so these should both be /29 or 255.255.255.248.

I think I am all set.  I apreciate the help!

Thanks!
Scott

Yes.. you misunderstood -- the only time a /32 subnet is used on an IP defined on an interface is if it is an ADDITIONAL IP on an interface that already has an IP and mask defined on it... for example:

Eth1 has the IP 10.10.10.1, Mask 255.255.255.0 defined on it... I want to also have the IP 10.10.10.20 defined on this Eth1 interface as well... so I defined that Additional IP as 10.10.10.20 with a mask of /32.

If you have all the correct masks defined on your internet-facing interfaces, and the problem still exists, check the router configuration as I mentioned earlier, and / or have the company hosting the SMTP server you are trying to connect to do the same, and involve the ISP as necessary.

Oh, what was the fix, in the end, for the gomezlaw issue?  Just curious...