SMTP eMail Versand nur sporadisch möglich
-
Hallo,
habe folgendes Problem.
Kann von PC 1 bis PC 3 nur sporadisch eMails (Google, GMX) via SMTP (Port 465) versenden. Das empfangen der eMails funktioniert. Was meine ich damit. Das eMail senden funktioniert nicht ständig. Ich muss das versenden der eMails einige Male anstoßen (via Thunderbird z.Bsp. F5-Taste), damit diese dann auch „durchgehen“. Ich kann darin noch kein Muster erkennen an was es liegt.Fehlermeldung von Thunderbird:
mein Netzwerk:
installierte Services:
Firewall Rules WAN:
Firewall Rules LAN:
DNS Server Settings:
Danke schonmal vorab.
Gruß,
vantage09 -
Problem bei der Namensauflösung?
-Rico
-
@rico Beim "Surfen" via Webbrowser muss ich auch immer wieder die F5-Taste drücken, bis z.Bsp. Google, oder andere Domains geöffnet werden können. An dass hab ich mich fast schon gewöhnt.
Wo kann ich da ansetzen? -
@vantage09 An dem was Rico sagt. DNS. Das stinkt gehörig nach DNS. Was bekommen die Clients als DNS zugewiesen? Nur die Sense? Wie ist der DNS Resolver konfiguriert? Sowas unsinniges angehakt wie "alle DHCP Clients im DNS bekannt machen"? Bitte mal posten :)
-
@jegr Die Clients bekommen nur pfSense zugewiesen, also 192.168.1.1 .
DNS Resolver:
-
Ich würde testweise mal pfBlockerNG deaktivieren.
-Rico
-
@rico OK, werde ich machen und dann testen. Danke für den Tipp!
-
Habe pfBlockerNG deaktiviert und die pfSense neu gebootet. Das Problem besteht leider weiterhin.
-
@vantage09
Deaktiviere auch DNSBL. Der gehört zwar zum pfBlockerNG, läuft aber weiter, wenn du diesen deaktivierst. Und eben dieser könnte der Übeltäter sein. -
Genau was virago sagt.
Ansonsten mal auf dem Client mehrfach versuchen mit einem nslookup eine Domain abzufragen, die du noch nicht aufgelöst hast. Vielleicht test.de oder sowas. Ich vermute, dass dann erst ein zwei mal Timeouts oder es lange dauert und dann erst eine Auflösung erfolgt. Wenn die Clients nur pfSense haben als DNS und nur die antwortet und das sporadisch, dann auch mal unter
Diagnostics / DNS Lookup
mehrfach verschiedene Domains testen. Eventuell hat die Sense auch DNS Server zugewiesen bekommen übers WAN die quatsch machen und nicht sauber auflösen. Oder im Gegenteil, nur die DNS Server extern funktionieren und der DNS Resolver geht aus irgendeinem Grund nicht so dass sie erst den Fallback auf die anderen DNS Server (.17 und .16 in deinem Shot) machen muss nach nem Timeout.
Aktuell würde ich aber erstmal alle DIenste wie pfBlocker, die in DNS reingrätschen abschalten und dann testen.
-
@jegr pfBlockerNG und auch DNSBL ist abgeschalten. Hab die Firewall neu gestartet, Problem besteht weiterhin.
Habe auf einem Client nslookup gestartet:
--> test.de z.Bsp. funktionierte sofort. Bei google.at benötigte ich 3 Versuche, bis es ohne Time Out klappte.
-
Das mal bitte durcharbeiten: https://docs.netgate.com/pfsense/en/latest/troubleshooting/dns.html
-Rico
-
@vantage09 said in SMTP eMail Versand nur sporadisch möglich:
--> test.de z.Bsp. funktionierte sofort. Bei google.at benötigte ich 3 Versuche, bis es ohne Time Out klappte.
@rico said in SMTP eMail Versand nur sporadisch möglich:
Das mal bitte durcharbeiten: https://docs.netgate.com/pfsense/en/latest/troubleshooting/dns.html
Jup, das. Dein Screenshot zeigt definitiv ein DNS Problem in deinem Setup. Wo genau das herkommt, ist dann zu klären, aber das hat sonst nichts mit Regeln oder whatever zu tun, sondern es ist schlicht DNS schuld. Ohne DNS kannst du dich dusselig senden - die Mail geht nirgends hin
-
@jegr Danke nochmals für den Tipp. Dann werd ich das heute mal durcharbeiten :-) !
-
Hab die Anleitung abgearbeitet.
Fazit:
- ISP Gateway IP kann ich weder von der pfSense noch dem Client aus anpingen (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
- beide DNS Server vom ISP kann ich nicht anpingen, weder von pfSense noch Client (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
- anpingen von 8.8.8.8 und 8.8.4.4 ist möglich, von pfSense und Client
- google.com ist ebenso anpingbar via pfSense und Client
- Bogon Updates haben geklappt
- wenn ich meinen Client direkt ohne pfSense an den Router hänge, kann ich eMails
versenden sowie jegliche Domain öffnen - bei den Clients ist als DNS Server via DHCP die IP der pfSense eingestellt
Kann man daraus etwas schließen? Danke.
-
@vantage09 said in SMTP eMail Versand nur sporadisch möglich:
Hab die Anleitung abgearbeitet.
Fazit:
- ISP Gateway IP kann ich weder von der pfSense noch dem Client aus anpingen (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
DSL? (Telekom?) Da ist der next-hop meisten (>90%) nicht pingbar. Das ist schon fast normal.
- beide DNS Server vom ISP kann ich nicht anpingen, weder von pfSense noch Client (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
Das ist schon seltsamer. Das müsste gehen, es sei denn der ISP hat komische DNSe.
- anpingen von 8.8.8.8 und 8.8.4.4 ist möglich, von pfSense und Client
- google.com ist ebenso anpingbar via pfSense und Client
- Bogon Updates haben geklappt
gut!
- wenn ich meinen Client direkt ohne pfSense an den Router hänge, kann ich eMails
versenden sowie jegliche Domain öffnen - bei den Clients ist als DNS Server via DHCP die IP der pfSense eingestellt
Kann man daraus etwas schließen? Danke.
Hast du die beiden DNSe die bei dir in System General eingetragen sind (sind das die Provider DNSe die nicht pingbar sind?) mal getestet? Via Diagnostic / DNS Lookup? Reagieren die überhaupt gescheit?
Versuche mal den Test, den du am Client gemacht hattest und der Timeouts zur Folge hatte auf der Sense unter Diagnostics und schau nach, welcher/ob einer der angegebenen DNSe dann Aussetzer hat. Müsste bei dir 2x die IPs sein von System General und einmal 127.0.0.1 - also der Resolver selbst.
Wenn der Resolver timeouts bringt, dann schau in die Logs oder erhöhe in den Settings des Resolvers das Loglevel ob man was sieht. Entweder haben deine eingetragenen DNSe Timeouts oder der unbound (DNS Resolver) wirft welche. Könnte jetzt sein, dass die IP die du beim ISP bekommst aus irgendeinem Grund für manche externe DNSs auf ner Blocklist steht. Dann würde das Problem verschwinden, wenn du den Forwarding Mode im DNS Resolver anmachst und alles über andere Server abfragst. Will man eigentlich nicht, gibt aber manchmal keine andere saubere Lösung, wenn der IP Space oder die IP die man hat "verseucht" ist.
-
@jegr zu deinen Fragen:
(1) DNSe habe ich beide in "System Generel" eingetragen, jene, die nicht pingbar sind.
Mit Diagnostic -> DNS Lookup erhalte ich folgende Meldung:
UND
An der pfSense habe ich probiert via Diagnostics -> Ping:
UND
UND
--> Der Resolver hat keinen Timout, lediglich die beiden DNSe.
Den letzten Absatz deiner Antwort, soll ich dies nun auch probieren oder wäre das nur, wenn der Resolver ein Timeout hätte?
Danke dir.
-
@vantage09 Du prüfst in der DNS Diagnose eine IP - das macht da wenig Sinn. Aber trotzdem ist schon auffällig das dein Resolver beim ersten Run über eine Sekunde zum Antworten braucht. Das ist heftig lange. Die beiden DNSe nur ~20ms
In der zweiten Runde dann logisch 0 - denn er cached.Das müsstest du mal mit mehreren Domains durchspielen, genau die, bei denen du auch das Problem hattest, dass du mehrfach reloaden musst. Für mich sieht das nach einem seltsamen Lag im Resolver aus. Warum müsste man dann näher debuggen oder ihn einfach auf Forwarding schalten und testen, aber der Resolver sollte nicht SO lange brauchen für eine Antwort. Das ist seltsam. Kann aber jetzt natürlich auch nur die doofe IP gewesen sein, weil er nen Reverse Lookup machen muss und der Server ggf. langsam ist.
-
@jegr Was ich mich Frage, wenn ich meinen Client direkt am Router - also ohne pfSense - laufen habe, dann kann ich problemlos eMails versenden bzw. jede Domain ohne Probleme öffnen.
Mir ist noch nicht klar, wo ich da jetzt ansetzen kann, um das Problem zu lösen. Ich hab wie du geschrieben hast, auch mehrere Domains durchgespielt, bei welchen ich Probleme hatte. Bei den ersten ein zweimal dauert es lange, dann ging´s schnell.
-
Sind die DNS Server vom Provider?
Oder hast du hier selber welche eingetragen weil die zugewiesenen nicht funktionieren?
Welche kommst du über WAN?Ich kann die ich vom Provider (Ex Unitymedia)per DHCP erhalten auch nicht per ICMP erreichen, aber die lösen alles sauber auf, IPv4 und IPv6.
Als GW Monitoring verwende ich daher die Cloudflare DNS Server.
Hast du in der erweiterten Einstellungen vom Resolver was verbrochen?
z.B. "Strict Query Name Minimization" aktiviert? -
@nocling
Ja, die DNS Server sind vom Provider. Diese erhalte ich auch von der WAN und habe diese dann auch händisch eingetragen.Hier meine DNS Resolver Einstellungen:
Bin um jede Unterstützung dankbar, da ich das Teil nun wirklich mal zum Laufen bringen möchte ....
-
Dann brauchst die nicht noch mal eintragen, wenn er die eh per WAN DHCP bekommt.
Ich habe im Resolver diese Einstellungen und bin damit sehr zufrieden.
Netgate 6100 & Netgate 2100
-
@nocling Mit neuen Werten nochmal durchspielen macht sicherlich Sinn aber sonst bleibt der Fakt, dass nach eigener Aussage der Resolver hohe Timeouts oder lange Zeit braucht bis zur Auflösung und das dann beim Client wahrscheinlich zu ständigen Timeouts führt. Wenn es sich nicht bessert, würde ich dann den Resolver mal in Forwarding Mode schalten und unter Generic andere DNSe eintragen statt den Providerkisten (zum Test ggf. sowas wie Cloudflares 1.1.1.1/1.0.0.1) und die dann als Forwarder nutzen. Kann man später sicherlich auch andere nehmen wie AdGuard oder sonstwas, aber erstmal sehen, ob es ggf. am Resolving vs. Forwarding liegt. Kommt leider sporadisch vor, wir haben auch zwei Kunden bei denen das am Anschluß ist. Ansonsten nirgends! Aber die beiden haben ggf. Timeouts oder lange Wartezeiten, wenn sie selbst DNS sprechen mit den Servern. Warum - k.A. - schlechtes Peering, schlechte IP, wer weiß.
-
Dann doch einfach mal den DNS Benchmark anwerfen und schauen welche DNS für die Verbindung überhaupt gescheit funktionieren.
https://www.grc.com/dns/benchmark.htm
Die Zeit solle man sich mal nehmen.
Und dann kann man sich auch gleich noch an den Bestnoten des Unbound in der Sense erfreuen
-
@nocling Hab deine Einstellungen mal übernommen. Musste jedoch dazu DNSSEC wieder aktivieren in den "General Settings".
@JeGr Hab auch den "DNS Query Forwarding" aktiviert.
Was meinst du mit "unter Generic andere DNSe eintragen"? Wo finde ich das Generic?@NOCling hab DNS Benchmark gestartet:
... verstehe ich das richtig, dass ich z.Bsp. als DNS Server die beiden von Cloudflarenet, US eintragen kann!? -
Kein wunder, die vom Provider zugeteilten DNS sind ja irgendwo in der Liste, die sollten unter den ersten 10 sein.
Kannst ja mal zum Test die Cloudflare eintragen und den Hacken raus nehmen, das WAN die nicht überschreiben darf.
-
@nocling OK, werde mal Cloudflarenet DNSe eintragen. Wäre toll, wenn das die Ursache gewesen ist.
-
Habe nun die beiden Cloudflarenet DNSe eingetragen. Leider ohne Erfolg ... hat sich an der Situation nichts geändert zu vorher.
Welche Möglichkeiten gäbe es noch? Würde sonst die Firewall "platt" machen und von grund auf neu ausetzen...
-
Backup machen.
pfSense neu installieren, nur die allernötigsten Einstellungen vornehmen, keine Packages installieren und nichts. Testen ob das Problem dann auch besteht.
Wenn es passt, Restore machen und wieder testen.-Rico
-
@rico So, jetzt hab ich zumindest einen Teilerfolg. Nach dem ich pfSense neu installiert habe, hatte ich zu Beginn das gleiche Problem wie anfangs beschrieben. D.h. SMTP eMail Versand funktioniert nur sporadisch, und das öffnen einer Domain funktionierte erst nach mehrmaligem F5-Drücken im Browser.
Habe jedoch dann die DNSe von Cloudflarenet eingetragen und siehe da, das "surfen" mit dem Browser funktioniert ohne Probleme.Was jetzt jedoch noch nicht funktioniert, ist das senden und auch teilweise empfangen von eMails. Verwende hier SMTP Port 465 (SSL/TLS) und zum empfangen IMAP Port 993 (SSL/TLS). Ist dafür eine Konfiguration notwendig in den Regeln?
Danke an alle schonmal vorab! Freu mich jetzt, dass zumindest das öffnen von Domains im Browser funktioniert :-).
-
Hat noch jemand eine Idee, was ich gegen das Problem mit dem eMail Versand machen kann? Verwende hier SMTP Port 465 (SSL/TLS) und zum empfangen IMAP Port 993 (SSL/TLS). Ist dafür eine Konfiguration notwendig in den Regeln? Danke.
-
Du musst das Netz oder den Client schon dafür freischalten.
Hast du keine Internet Regeln die any any erlaubt?
Wenn nicht musst du die Ports ausgehend erlauben. -
@nocling Das sind meine LAN Roules:
Somit sollte das ja passen, oder?
-
Ja, dann würde ich jetzt das Log kontrollieren und dann am Client mal nach dem Virenschutz schauen.
Hatte mal mit Avast ne nette IPv6 Problematik, konnte keine Mails über IMAP mehr abrufen.
Also Wireshark anwerfen und in den Paketen rumschnüffeln, wenn alles nix hilft.
-
@nocling Ohne pfSense, also direkt am Router angeschlossen, funktioniert das versenden der eMail vom Client aus. Also am Virenschutz kann es nicht liegen.
Zwecks Wireshark: Damit kenn ich mich nicht aus.
Gibt es hier keine andere Möglichkeiten das Thema zu lösen? Ich denke, es werden doch viele von Euch auch eMail Programme installiert haben und von da aus Mails versenden. Habt ihr dabei keine weiteren Einstellungen vornehmen müssen?
-
Gibt es hier keine andere Möglichkeiten das Thema zu lösen? Ich denke, es werden doch viele von Euch auch eMail Programme installiert haben und von da aus Mails versenden. Habt ihr dabei keine weiteren Einstellungen vornehmen müssen?
Nein. Wenn von intern nach extern Mail erlaubt ist, geht Mail auch. Noch nie Probleme damit gehabt. Der Paketfilter entscheidet da ja auch nicht nach Lust und Laune. Wenn dein Client 100% am LAN hängt und du da die default pass any regeln drin hast, ist dein Problem NICHT der Paketfilter/Firewall. Dann mag es vielleicht noch an DNS klemmen aber an sonst nichts. Alles andere macht keinen Sinn oder es sind Dinge konfiguriert die das kaputt machen.
-
Rufe hier mit mehreren Clients ab: GMX, WEB, Google, Yahoo, iCloud usw.
Alles funktioniert, aber hier gibts auch keine DNS Probleme.
Versuche die snmp, pop3, smtp Adresse mal mit einem nslookup auf zu lösen, geht das an deinem Client?
-
@vantage09
mach bitte noch einmal einen screenshot von:- system --> general (den DNS Part)
- firewall --> rules (Floating und LAN)
- services --> dns resolver (services --> dns forwarder ist hoffentlich deaktiviert)
-
-
@vantage09
ok also etwas grundsätzliches: wenn du im DNS Resolver das Häkchen bei "Enable Forwarding Mode" draußen hast, also deaktiviert, sind die Einträge 1.1.1.1 und 1.0.0.1 unter System --> General --> DNS Server erstmal irrelevant. Deine Clients nutzen jetzt den DNS Resolver der pfSense und dieser versucht die Einträge selbstständig aufzulösen. Damit man jetzt schnell voran kommt, wäre der erste Versuch mal das Häckchen bei "Enable Forwarding Mode" zu setzen, also zu aktivieren. Damit werden dann DNS Anfragen von deinen Clients über die pfSense zu 1.1.1.1 und 1.0.0.1 weitergeleitet.
Funktioniert das surfen und E-Mail abrufen nun einwandfrei?Wenn dies funktioniert sollte man sich genauer den Resolver anschauen, da ein grundsätzliches Problem mit der pfSense erstmal unwahrscheinlich ist. Also Häckchen bei "Enable Forwarding Mode" wieder raus. zwei drei Versuche machen und Mails empfangen bzw. versenden.
Anschließend unter Status --> DNS Resolver schaust und dort nach "Timeout A" filterst. Hast du da Einträge die einen Timeout aufweisen? Auch könntest du mal probieren DNSSEC zu deaktivieren so lange das Häckchen bei "Enable Forwarding Mode" deaktiviert ist. Anschließend wieder mit deinen Clients testen.
