[RESUELTO]pfsense 2.3.1 - problemas con el envío de mail con adjuntos
-
Buenas tardes a todos, estoy teniendo un problema con la versión de pfsense 2.3.1, la misma está configurada como firewall y proxy este último se entrega por medio de wpad. El pfsense se encuentra en la oficina y en un datacenter externo tengo el correo con zimbra.
Anteriormente utilizaba el pfsense con el squid en modo transparente pero este no bloqueaba las web https y es por eso que cambie a la configuración antes mencionada.
El problema que tengo es que puedo enviar mail siempre y cuando no tenga un adjunto superior a 1 MB. Si salto al pfsense con una ruta estática en mi maquina estos problemas desaparecen.
No se que es lo que es lo que está provocando que no salgan los mail pero imagino que viene por la fragmentación de los paquetes.
Si alguien puede darme alguna idea se lo voy agradecerSaludos
-
Hola
Aqui hablan de lo mismo:
https://forum.pfsense.org/index.php?topic=15177.0A lo mejor te da una idea.
Por cierto, no es el pfsense el que se pone en modo transparente , es el proxy :)
Imagino que squid.Salu2
-
Muchas gracias por la info ahora la reviso y ya corregi es verdad es el squid el que se configura en modo transparente.
Saludos
-
Hola javcasta, gracias nuevamente por tu ayuda revise lo del MTU y lo baje a 1000 para realizar una prueba y sigo con el mismo problema. Por lo tanto no creo que sea por ahí el problema. Además esta misma configuración la realice en otro servidor y tuve el mismo resultado .
Se te ocurre que otra cosa puede ser…Saludos
-
Hola.
No se me ocurre más que podrias aumentar, en squid, el parámetro:
Proxy Server: Cache Management > Local Cache: Maximum Object Size in RAM
Ya que por lo visto, si te conectas sin proxy, te deja enviar adjuntos de más de 1MB, y vía proxy no, el meollo debe de estar en la conf de squid.
Revisa la conf de squid (clamAV si lo tienes activado tb, y si tienes squidGuard tb) intenta enviar via proxy un email con adjunto de más de un MB y mira los logs de squid y del pfSense a ver si indican error o un bloqueo, etc
Salu2
-
Sugerencias:
PackageProxy Server: General SettingsGeneral
Transparent Proxy Settings
Bypass Proxy for These Source IPs (PRUEBA con una IP local y manda desde ese equipo un correo con adjunto)PackageProxy Server: Cache ManagementLocal Cache
Squid Cache General Settings
Do Not Cache (zimbra.dominio) No necesitas caché para el correo.PackageProxy Server: Access ControlACLs
Squid Access Control Lists
Unrestricted IPs (ACA Haces otra prueba como en 1, salvo que no bypaseas el proxy, pasas a través de él con permiso para TODO)
Whitelist (zimbra) Asegúrate de tener tu server en whitelist, espero que tengas zimbra con clamav y spamassassing bien configurado.PackageProxy Server: Traffic ManagementTraffic Mgmt
Squid Traffic Managment Settings
Maximum Download Size [ Debe estar en 0 para ilimitado]
Maximum Upload Size [ Debe estar en 0 para ilimitado]Puedes hacer combinaciones con todas ellas, de acuerdo a tus necesidades.
Saludos
-
Hola.
Pues sí es buena idea que no cachee el proxy el envío de emails.
Eso me recuerda que tuve que indicarle al squid que no me cacheara el dominio donde tenia un wordpress, pues presentaba problemas al publicar posts (hacer previews, etc). Parece que ciertas páginas dinámicas con php (como wordpress) no tiene mucho sentido hacer proxy cache con ellas.
Salu2
-
Hola y gracias a ambos por la ayuda, les comento en principio hasta donde recuerdo squid no realiza proxy de protocolo de mail no se si eso ha cambiado ahora o es distinto en pfsense. Igualmente hice todas las pruebas a continuación las comento.
"… Proxy Server: Cache Management > Local Cache: Maximum Object Size in RAM...."
Esta opción la tengo en 8 MB cuando el default es de 4 MB, por lo tanto esto no es
PackageProxy Server: General SettingsGeneral
Transparent Proxy Settings
Bypass Proxy for These Source IPs (PRUEBA con una IP local y manda desde ese equipo un correo con adjunto)Esta prueba no la puedo realizar ya que me traería problemas con la configuración con wpad. Si esto no es así y alguno me confirma que puedo realizar la prueba sin afectar la configuración lo hago
PackageProxy Server: Cache ManagementLocal Cache
Squid Cache General Settings
Do Not Cache (zimbra.dominio) No necesitas caché para el correo.agregue el dominio pero sigue todo igual
PackageProxy Server: Access ControlACLs
Squid Access Control Lists
Unrestricted IPs (ACA Haces otra prueba como en 1, salvo que no bypaseas el proxy, pasas a través de él con permiso para TODO)
Whitelist (zimbra) Asegúrate de tener tu server en whitelist, espero que tengas zimbra con clamav y spamassassing bien configurado.Esta configuración la la tengo así pero sigo sin poder enviar adjuntos. Respecto al zimbra esta configurado con clamav y spamassassing y funciona bien no es un problema del correo.
PackageProxy Server: Traffic ManagementTraffic Mgmt
Squid Traffic Managment Settings
Maximum Download Size [ Debe estar en 0 para ilimitado]
Maximum Upload Size [ Debe estar en 0 para ilimitado]Es la configuración que utilizo
Para mi el problema esta en la ruta que maneja el pfsense para ir al datacenter, si bien funciona perfecto con otros servicios como ssh al zimbra algo esta haciendo con los paquete smtp.
Otra cosa mas que me olvide de mencionar… Para recibir archivos adjuntos llegan sin problemas sin importar el tamaño es decir la sincronización por imap funciona sin problemas.
Cuando comencé con la configuración de la rutas al principio se me caían las conexiones y eso lo solucione activando la siguiente opción System /Advanced /Firewall & NAT Static route filtering --> Bypass firewall rules for traffic on the same interface.
No se por ahí este dato sirva de algo ...Gracias a ambos por la ayuda y si se les ocurre algo mas se los voy a agradecer
Saludos
-
Hola y gracias a ambos por la ayuda, les comento en principio hasta donde recuerdo squid no realiza proxy de protocolo de mail no se si eso ha cambiado ahora o es distinto en pfsense. Igualmente hice todas las pruebas a continuación las comento.
Zimbra tiene un cliente GUI por https, imaginaba que tu problema era por allí, no especificaste que usabas un MUA que no sea por HTTP, presumirpe que es outlook o thunderbird
PackageProxy Server: General SettingsGeneral
Transparent Proxy Settings
Bypass Proxy for These Source IPs (PRUEBA con una IP local y manda desde ese equipo un correo con adjunto)Esta prueba no la puedo realizar ya que me traería problemas con la configuración con wpad. Si esto no es así y alguno me confirma que puedo realizar la prueba sin afectar la configuración lo hago
Ok, la idea es hacer una prueba para que vayas descartando que sea squid o pfsense, tenía entendido que estabas usando proxy transparente, si no es así, esta opción no te sirve… como comento, es solo a manera de prueba.
PackageProxy Server: Cache ManagementLocal Cache
Squid Cache General Settings
Do Not Cache (zimbra.dominio) No necesitas caché para el correo.agregue el dominio pero sigue todo igual
Sí, me imagino, pensé que usabas el GUI de zimbra para los usuarios, tengo años que no instalo ni uso zimbra, pero su GUI en AJAX era muy bueno…
PackageProxy Server: Access ControlACLs
Squid Access Control Lists
Unrestricted IPs (ACA Haces otra prueba como en 1, salvo que no bypaseas el proxy, pasas a través de él con permiso para TODO)
Whitelist (zimbra) Asegúrate de tener tu server en whitelist, espero que tengas zimbra con clamav y spamassassing bien configurado.Esta configuración la la tengo así pero sigo sin poder enviar adjuntos. Respecto al zimbra esta configurado con clamav y spamassassing y funciona bien no es un problema del correo.
Lo mismo, esto era pensando que usabas el cliente http
PackageProxy Server: Traffic ManagementTraffic Mgmt
Squid Traffic Managment Settings
Maximum Download Size [ Debe estar en 0 para ilimitado]
Maximum Upload Size [ Debe estar en 0 para ilimitado]Es la configuración que utilizo
Para mi el problema esta en la ruta que maneja el pfsense para ir al datacenter, si bien funciona perfecto con otros servicios como ssh al zimbra algo esta haciendo con los paquete smtp.
Otra cosa mas que me olvide de mencionar… Para recibir archivos adjuntos llegan sin problemas sin importar el tamaño es decir la sincronización por imap funciona sin problemas.
Cuando comencé con la configuración de la rutas al principio se me caían las conexiones y eso lo solucione activando la siguiente opción System /Advanced /Firewall & NAT Static route filtering --> Bypass firewall rules for traffic on the same interface.
No se por ahí este dato sirva de algo ...Gracias a ambos por la ayuda y si se les ocurre algo mas se los voy a agradecer
Saludos
Los clientes de correo tienen cómo configurarse un servidor proxy para salir, si te fijas en el squid debe estar identificado el puerto 993 (IMAPS) tal vez necesites agregar 465 (SMTPS) para zimbra, es cierto que para correo no se usaba proxy, pero con SSL es otro comportamiento.
Otra cosa que debes probar, es las opciones MIME del squid, aunque no has especificado qué tipo de archivos estás enviando, presumo que algo de eso puede afectar, investiga sobre eso…
Saludos
-
Hola rodria, no de di cuenta que no aclare ese tema que es importante.
Te cuento el zimbra web funciona bien no tiene ningún problema el problema lo presenta el zimbra desktop y el outlook.
Con respecto a los adjuntos es por tamaño no por extensión ya que probé con doc, pdf, fotos, etc.
Los puertos de zimbra son imap 993 y smtp 587. Los he agregado en ACL SSLPorts sin resultados
En outlook me da el error 0x800CCC0F y en zimbra desktop se queda en bandeja de salida
Pero comente al principio si genero una ruta local en mi maquina saltandome al pfsense los mail salen normalmente.Saludos
-
Hola rodria, no de di cuenta que no aclare ese tema que es importante.
Te cuento el zimbra web funciona bien no tiene ningún problema el problema lo presenta el zimbra desktop y el outlook.
Con respecto a los adjuntos es por tamaño no por extensión ya que probé con doc, pdf, fotos, etc.
Los puertos de zimbra son imap 993 y smtp 587. Los he agregado en ACL SSLPorts sin resultados
En outlook me da el error 0x800CCC0F y en zimbra desktop se queda en bandeja de salida
Pero comente al principio si genero una ruta local en mi maquina saltandome al pfsense los mail salen normalmente.Saludos
Ok, desactiva entonces cualquier opción de antivirus en pfSense (squid), es posible que el scaner del antivirus se "sature" porque el archivo es "grande"
PackageProxy Server: Antivirus / Antivirus
Desmarcalo y prueba.Si esta prueba te funciona, deberás estudiar/modificar
PackageProxy Server: Antivirus / Antivirus
Advanced Features
Y allí deberás hacerle el tunning a los archivos de configuración.Por ejemplo, tienes una opción que por default tiene configurado 1MB
#MaxZipTypeRcg 1M
Ojo, no estoy diciendo que sea esa la causa, solo es un ejemplo, tal vez tengas que agregar algo que no esté ##Comentado.
Saludos
-
Hola rodria, el antivirus de squid esta deshabilitado ….
Saludos
-
Hola.
https://social.technet.microsoft.com/Search/es-ES?query=0x800CCC0F&ac=4
Seria un detalle que mirases los logs (del squid y del firewall, etc) … o es que no ponen nada cuando te corta el envío de un adjunto?
Por lo que he leido, el problema es más de Outlook que del pfSense, podrias recrear el perfil de Outlook el pst, etc
Salu2
-
Hola javcasta, no es un problema de outlook ya que tuve que preparar una maquina con este ya que yo no lo uso además me pasa lo mismo con zimbra desktop.
Esta noche he realizado una prueba nueva que ratifica lo que pienso de que hay un problema cuando rutea y el manejo de los paquetes smtp.
La prueba que realice fueron las siguientes: baje el squid y squiguard deshabilite las reglas de firewall solo deje las que permiten salida a todos lados (las que vienen por default) probe navegar sin problemas lo único que mantuve fueron las rutas que me permiten llegar al datacenter por una tls y el problema sigue con el mismo error. Cosa que no me pasa cuando genero la ruta local en mi maquina y salto al pfsense.
Otra cosa que probe fue de pasar un archivo por ssh de 5mb el cual paso sin problemas. Por lo tanto no es el squid ni las reglas de fw el que me esta provocando que los mail no salgan.No se si esto sirve para que me den alguna idea a probar
Saludos
-
Saludos…
Una consulta, puedes poner al pfSense como default gateway (sin configurarlo como proxy) y envías un correo con un adjunto de menos y de más de 1M?
La otra prueba que puedes hacer, aprovechando que ssh te sirve... crea un tunel ssh y configuras tu host en modo proxy socks y prueba enviar un correo.
Saludos
-
Hola rodria, te comento que esa prueba la hice anoche cuando no hay nadie en la oficina mediante escritorio remoto. El pfsense en mi default gateway y es el que maneja las rutas por el cual salto, por medio de otro equipo, al datacenter. Es ahí donde se genera el problema con los paquetes smtp esto es así porque al generar una ruta en mi maquina saltandome al pfsense, es decir que redirecciono el trafico del correo directo al equipo que va al datacenter los mail funcionan sin problema.
Un poco mas grafico
(equipo en la oficina)–-------(pfsense)--------(TLS al datacenter)--------------(datacenter - zimbra) Esta configuración bloquea los adjuntos
(equipo en la oficina con ruta estática)--------(TLS al datacenter)--------------(datacenter - zimbra) El correo funciona perfecto
Hay un problema en el tratamiento de los paquetes smtp en el pfsense que no deja salir los adjuntos, y esto lo digo porque el servicio ssh funciona sin problemas además de otros tantos como http, https, imap y conexiones a diferentes servideres que están en el datacenter
Saludos
-
Por eso hice la sugerencia de hacer el tunel ssh, si por el tunel funciona, al menos vas a estar 100% seguro que es un problema con el protocolo smtp y el enrutamiento.
Por otro lado, podrías colocar el esquema de red con el pfsense? rutas, gateways, rutas estáticas, nics, etc. etc.
Saludos
-
Hola rodria, el tunel ssh funciono perfecto lo que ratifica lo que te estuve comentado. Respecto a la configuración del pfsense es muy básica tiene dos placa de red una wan y una lan no uso virtual ip , además tiene configurado squid, squidguard y Lightsquid. Tengo otro equipo que hace de pasarela por medio de tls al datacenter y la regla funciona correctamente ya que como te comente todos los otros servicios responde bien. Respecto a las reglas de firewall hasta que funcione todo lo único que bloqueo es el 443 y 80 para obligar pasar por el proxy (aunque tengo un aleas con excepciones) las redes internas todas están permitidas no hay restricción de puertos.
El esquema básico sería así
(PFsense - gw 192.168.2.2)
|______________(192.168.2.3 tls 172.16.2.3)_______(Datacenter 172.16.2.0/24)–--(zimbra 172.16.2.21)
|
(ofcina 192.168.2.0/24)la ruta en pfsense sería ---> route add 172.16.2.0 mask 255.255.255.0 192.168.2.3
Esto funciona bien para todo menos para el smtp
Saludos
-
Hola
(nota: no mirais los logs?, por lo que leo, cualquier bloqueo del firewall se refleja en sus logs en /var/log/filter.log
monitorizar bloqueos de puertos tcp a host 10.0.0.25
clog -f /var/log/filter.log | grep block | grep tcp | grep "10.0.0.25"
Y lo que pase con squid se refleja en
tail -f /var/squid/logs/access.log
Y desde gui, por supuesto….)
A lo mejor ayuda:
Default rule blocking Outlook RPC and HTTP RPC
https://forum.pfsense.org/index.php?topic=63448.msg622314#msg622314I had this same very issue!
My workaround was to remove the outlook profile then re-add it, all fixed, it took me hours and hours of tinkering to get to this point!Los misterios del Outlook :)
Suerte
Salu2
-
squid no es proxy de smtp ni pop3 ni imap (solo una aclaracion)