Problem mit Outbound NAT und IMAPS
-
Hi zusammen
ich hoffe jemand hier kann sich einen Reim auf mein "komisches" Problem machen. Mir sind auf jeden Fall die Ideen ausgegangen.
Aufbau:
pfsense FreeBSD 8.3-RELEASE-p11 mit 3 Interfaces. vr0-vr2
An vr0 liegt mein Homelan an und auch die default Route geht dort drüber raus. An vr1 hängt ein WLAN-AP. In der Firewall gibt es eine Regel welche auf vr1 u.a. jeglichen TCP Traffic auf Port 993 durchlässt. Auf vr0 habe ich eine NAT Regel welche die src ip des WLAN mit der IP an vr0 ersetzt.Nun habe ich ein Problem mit IMAPS. Mein Smartphone im WLAN hat zwei Mail Konten welche via 993 erreichbar sind. Bei einem der beiden Accounts "geht" es einfach nicht. Ich bin mit tcpdump auf der pfsense dahinter und konnte sehen, dass an vr0 kein einziges Paket auf dst Port 993 zu einem der beiden Server rausgeht. Die Pakete kommen aber am vr1 sauber an. Das wirklich komische ist, dass dies nur bei einem Account ein Problem ist. Beim Zugriff auf den zweiten Account kann ich die Pakete auf 993 an vr0 sehen. Einzig die Server IP ist eine andere
Also kann es ja eigentlich nicht am NAT liegen, oder?
Habe mir wirklich alle Regeln angeguckt und konnte nichts sehen was den IMAPS Zugriff auf diesen einen Server verhindern würde.
Habe schon an vr0 und vr1 eine abschliessende Regel gemacht damit mit die verworfenen Pakete geloggt werden. Wird aber nichts auf Port 993 verworfen.Hat jemand eine Idee wo ich noch gucken könnte?
Danke für jede Ideetobi
-
Hab die vermissten Pakete und das Problem gefunden :)
tcpdump zeigt mir die "vermissten" Pakete an vr2
Das Problem war, dass ich wohl die default Route via vr0 hatte, aber an vr2 eine OpenVPN-Client Verbindung an die IP des IMAPS Server. Diese OVPN Verbindung hat dann eine Route erzeugt für die Server IP via vr2. Drum sind die Pakete für diesen einen Server immer via dem "falschen" Interface raus.
Als Lösung die OVPN Verbindung ebenfalls von vr0 aus und alles lüppt :)