Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
#1 2020-06-09 09:46:20
krzys - 
Użytkownik
Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
W sieci LAN działają obecnie dwie bramy, pierwsza na Debianie 8 i druga rozbudowana o dodatkowe interfejsy na Debianie 10. Sytuacja jest oczywiście przejściowa i docelowo ma pozostać tylko Debian 10.
Pakiety z sieci LAN po translacji NAT są filtrowane przez VDOM Fortigate, który pracuje w trybie transparentnym i wędrują w świat. Kłopot pojawił się nagle z dnia na dzień. Od paru dni mam problem wyłącznie z komunikacją po porcie 995 przez Debiana 10. Połączenia ze stacji roboczych z klienta pocztowego są permanentnie zrywane i blokowane przez Fortigate. Wyłączenie polityk na Fortigate przywraca komunikację i wskazywałoby na problem z tym urządzeniem i certyfikatami. Jednak ruch z drugiej bramy po tym samym VDOM jest puszczany bez problemów co w zasadzie wyklucza urządzenie Fortigate.
Na Linux wprowadzone są proste reguły umożliwiające ruch w odpowiednich kierunkach i NAT, zmodyfikowane na nowej bramie o 2 reguły FORWARD. Brakuje mi pomysłów. Dzięki z góry za każdą sugestię.
Offline
#2 2020-06-09 20:26:37
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Wykonaj najpierw:
sed 's#995#993#'
sed 's#POP3#IMAP#'
POP3 to obecnie poważne nieporozumienie, w tej chwili jedynym sensownym rozwiązaniem jest IMAP w trybie PUSH.
Mam tak ustawionego fechmaila, grzecznie ciągnie pocztę z kont gmaila i interii.
Kod:
fetchmail 7267 vpopmail 3u IPv4 4813562 0t0 TCP 192.168.1.10:56468->lh-in-f108.1e100.net:imaps (ESTABLISHED) fetchmail 7269 vpopmail 3u IPv4 4842193 0t0 TCP 192.168.1.10:58740->poczta.interia.pl:imaps (ESTABLISHED) fetchmail 7271 vpopmail 3u IPv4 4837098 0t0 TCP 192.168.1.10:44406->lk-in-f109.1e100.net:imaps (ESTABLISHED) fetchmail 7322 vpopmail 3u IPv4 4838835 0t0 TCP 192.168.1.10:55208->lk-in-f108.1e100.net:imaps (ESTABLISHED)
Debugowanie połączenia ssl zrobisz dwojako:
Kod:
openssl s_client -connect host:port
Kod:
gnutls-cli host port
Fortigate?
Może serwer pocztowy ma jakieś filtry np snorta w trybie IPS i nerwowo reaguje na ten proxy fortigate.
Albo sam fortigate permanentnie nie lubi Debiana 10.
Przydałyby się równoczesne logi klienta i serwera.
Miałem ostatnio jazdy z Gmailem, cała klasa adresowa, z której mam adres została zbanowana na smtp.gmail.com, pocztę moglem wysyłać tylko po Ipv6 albo przez połączenie LTE.
PS:
Jeśli masz w tym biurze z fortigate Ipv6 (choćby przez 6to4), to połączenie ipv6 bez żadnego NAT mogłoby bardzo uprościć sprawę, o ile serwer pocztowy obsługuje v6.
Pozdro
Ostatnio edytowany przez Jacekalex (2020-06-09 21:12:46)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2020-06-09 21:51:18
krzys - Użytkownik
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Sytuacja była stabilna przez około m-c do ubiegłego czwartku, a obciążony pełnym ruchem jakieś 14-dni. Zasięgnąłem języka u inżynierów fortigate, był problem z certyfikatami, jednak już chyba opanowany. Sytuacja jest dziwna, gdyż inny większy segment sieci bez problemu komunikuje się po pop3s, ale za pomocą bramy na debian 8.
Dysponuję dwoma urządzeniami fortigate, więc oczywiście przepiąłem problematyczną części LAN na drugie urządzenie. Potwierdziło to jedynie, że problem powstaje na debianie 10.
Sprawdziłem również interfejs LAN, przeadresowałem inny wolny i przepiąłem patch cordy. Niestety.
Przeadresowałem stacje które korzystały z tej bramy na poprzednią, oczywiście poczta działa, a przez 10-tkę wychodzi tylko moja stacja i problem nad jest.
Kod:
openssl s_client -connect pop3.****.pl:995 CONNECTED(00000003) write:errno=104 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 309 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent
Kod:
gnutls-cli pop3.****.pl 995 Processed 128 CA certificate(s). Resolving 'pop3.****.pl:443'... Connecting to 'ip.ip.ip.ip:443'... Could not connect to ip.ip.ip.ip:443: Connection timed out
Fortigate potrafi zrobić problem, ćwiczyłem już różne scenariusze od blokowania połączeń po 443 po blokowanie samego siebie.
No i obecnie zamierzam postawić nową instalację systemu.
ps.
Dodałem certyfikat FGT na 10-tce, skopiowałem go do /usr/local/share/ca-certificates zmieniając rozszerzenie na crt i update-ca-certificates.
Został dodany do /etc/ssl/certs i jest dopisany do ca-certificates.crt.
Ostatnio edytowany przez krzys (2020-06-09 22:05:15)
Offline
#4 2020-06-09 22:01:17
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
To nie jest problem tylko w ogóle zablokowana komunikacja na 995.
To jakiś prywatny serwer POP3 czy publiczny?
Logi Debiana 10 i tcpdump na Debianie 10, tym się zainteresuj.
W gnutls-cli moja pomyłka miało być
Kod:
gnutls-cli host:port
np:
Kod:
gnutls-cli poczta.interia.pl:995
Processed 126 CA certificate(s).
Resolving 'poczta.interia.pl:995'...
Connecting to '217.74.64.236:995'...
- Certificate type: X.509
- Got a certificate list of 2 certificates.
- Certificate[0] info:
- subject `CN=*.interia.pl,OU=Security Department,O=Grupa INTERIA.PL sp. z o.o. sp. k.,L=Krakow,C=PL', issuer `CN=DigiCert SHA2 High Assurance Server CA,OU=www.digicert.com,O=DigiCert Inc,C=US', serial 0x0b42e469faf8521c58adf305c7b56c14, RSA key 4096 bits, signed using RSA-SHA256, activated `2017-12-14 00:00:00 UTC', expires `2021-01-06 12:00:00 UTC', pin-sha256="7LWGvMSprHffCQbwbqpgWAB7xjjP0BVRORRfXqVimm8="
Public Key ID:
sha1:dbc415674432f19f4d8cef84f62ecb50b3bca2b4
sha256:ecb586bcc4a9ac77df0906f06eaa6058007bc638cfd0155139145f5ea5629a6f
Public Key PIN:
pin-sha256:7LWGvMSprHffCQbwbqpgWAB7xjjP0BVRORRfXqVimm8=
- Certificate[1] info:
- subject `CN=DigiCert SHA2 High Assurance Server CA,OU=www.digicert.com,O=DigiCert Inc,C=US', issuer `CN=DigiCert High Assurance EV Root CA,OU=www.digicert.com,O=DigiCert Inc,C=US', serial 0x04e1e7a4dc5cf2f36dc02b42b85d159f, RSA key 2048 bits, signed using RSA-SHA256, activated `2013-10-22 12:00:00 UTC', expires `2028-10-22 12:00:00 UTC', pin-sha256="k2v657xBsOVe1PQRwOsHsw3bsGT2VzIqz5K+59sNQws="
- Status: The certificate is trusted.
- Description: (TLS1.3-X.509)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
- Options:
- Handshake was completed
- Simple Client Mode:
+OK e8183eef5c3f3fe8Zobacz przede wszystkim, czy problem dotyczy jednego czy wszystkich na świecie serwerów POP3.
Pozdro
Ostatnio edytowany przez Jacekalex (2020-06-09 22:04:21)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2020-06-09 22:12:15
krzys - Użytkownik
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Kod:
gnutls-cli pop3.****.pl Processed 128 CA certificate(s). Resolving 'pop3.****.pl:995'... Connecting to 'ip.ip.ip.ip:995'... *** Fatal error: Error in the pull function.
Kod:
gnutls-cli poczta.interia.pl:995
Processed 128 CA certificate(s).
Resolving 'poczta.interia.pl:995'...
Connecting to '217.74.64.236:995'...
- Certificate type: X.509
- Got a certificate list of 1 certificates.
- Certificate[0] info:
- subject `CN=*.interia.pl,OU=Security Department,O=Grupa INTERIA.PL sp. z o.o. sp. k.,L=Krakow,C=PL \ ', issuer `EMAIL=support@fortinet.com,CN=FGT60****,OU=Certificate Authority,O=Fortinet,L=Sunnyvale,ST=California,C=US', serial 0x*****, RSA key 4096 bits, signed using RSA-SHA256, activated `2017-12-14 00:00:00 UTC', expires `2021-01-06 12:00:00 UTC', pin-sha256="*********************"
Public Key ID:
sha1:***************
sha256:***************
Public Key PIN:
pin-sha256:**************
- Status: The certificate is trusted.
- Description: (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
- Options:
- Handshake was completed
- Simple Client Mode:
+OK d257f8ab83505ae
-ERR The command sent is invalid or unimplemented.
-ERR The command sent is invalid or unimplemented.
-ERR The command sent is invalid or unimplemented.
-ERR The command sent is invalid or unimplemented.
-ERR The command sent is invalid or unimplemented.
...Kod:
gnutls-cli poczta.az.pl:995
Processed 128 CA certificate(s).
Resolving 'poczta.az.pl:995'...
Connecting to '89.161.254.158:995'...
- Certificate type: X.509
- Got a certificate list of 1 certificates.
- Certificate[0] info:
- subject `CN=az.pl,O=AZ.pl Sp. z o.o.,OU=IT,L=Szczecin,ST=zachodniopomorskie,C=PL,serialNumber=0000360147,businessCategory=Private Organization,street=Zbożowa 4,postalCode=70-653,jurisdictionOfIncorporationLocalityName=Szczecin,jurisdictionOfIncorporationStateOrProvinceName=zachodniopomorskie,jurisdictionOfIncorporationCountryName=PL \ ', issuer `EMAIL=support@fortinet.com,CN=FGT60****,OU=Certificate Authority,O=Fortinet,L=Sunnyvale,ST=California,C=US', serial 0x*****, RSA key 2048 bits, signed using RSA-SHA256, activated `2019-11-21 11:45:12 UTC', expires `2021-11-20 11:45:12 UTC', pin-sha256="********************"
Public Key ID:
sha1:************************
sha256:*********************
Public Key PIN:
pin-sha256:*******************
- Status: The certificate is trusted.
- Description: (TLS1.2)-(ECDHE-SECP256R1)-(RSA-SHA256)-(AES-256-GCM)
- Session ID: ******************
- Options: safe renegotiation,
- Handshake was completed
- Simple Client Mode:
+OK Dovecot ready.
-ERR Unknown command.
-ERR Unknown command.
-ERR Unknown command.
-ERR Too many invalid bad commands.
- Peer has closed the GnuTLS connectionOstatnio edytowany przez krzys (2020-06-09 22:20:33)
Offline
#6 2020-06-09 22:42:55
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Czyli problem jest w komunikacji z konkretnym adresem IP, albo w Debianie albo w Fortigate musi być jakiś ślad w logach.
Tcpdump też potrafi sniffować dialog z konkretnym IP i/lub na konkretnym porcie.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2020-06-09 23:07:57
krzys - Użytkownik
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Nie jest to problem z certyfikatem serwera? Poczta jest na hostingu lokalnego dostawcy.
Kod:
/usr/sbin/tcpdump -i tun0 tcp port 995 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes 23:02:15.236187 IP 172.17.ip.21.51942 > ip.ip.ip.ip.pop3s: Flags [s], seq 2295351789, win 64240, options [mss 1357,nop,wscale 8,nop,nop,sackOK], length 0 23:02:15.257305 IP ip.ip.ip.ip.pop3s > 172.17.ip.21.51942: Flags [S.], seq 2363231724, ack 2295351790, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 23:02:15.293175 IP 172.17.ip.21.51942 > ip.ip.ip.ip.pop3s: Flags [.], ack 1, win 1028, length 0 23:02:15.305984 IP 172.17.ip.21.51942 > ip.ip.ip.ip.pop3s: Flags [P.], seq 1:518, ack 1, win 1028, length 517 23:02:15.306872 IP ip.ip.ip.ip.pop3s > 172.17.ip.21.51942: Flags [.], ack 518, win 318, length 0 23:02:15.413329 IP ip.ip.ip.ip.pop3s > 172.17.ip.21.51942: Flags [R.], seq 1, ack 518, win 445, length 0
Kod:
/usr/sbin/tcpdump -i enp1s0 tcp port 995 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes ^C 0 packets captured 0 packets received by filter 0 packets dropped by kernel
Nie wiem czy przeczytałeś to powyżej po edycji: dodałem certyfikat FGT na 10-tce, skopiowałem go do /usr/local/share/ca-certificates zmieniając rozszerzenie na crt i update-ca-certificates. Został dodany do /etc/ssl/certs i jest dopisany do ca-certificates.crt. Dla upewnienia się że jest dodany przebudowałem bazę certyfikatów update_ca-certyficates --fresh
Wielkie dzięki za pomoc, pomogło mi to zrozumieć pewne rzeczy, m.in, że chyba najwyższy czas zmienić usługodawcę hostingu. Rano do pracy.
Pozdrawiam serdecznie.
Ostatnio edytowany przez krzys (2020-06-09 23:14:42)
Offline
#8 2020-06-09 23:38:37
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Klient poczty jaki błąd daje, brak połączenia czy coś z certyfikatem?
Co to za interfejs tun0? VPN?
Może trzeba routing z tun0 na enp1s0 zrobić?
Albo firewall coś dropuje?
W skrajnych wypadkach do iptables jest moduł TRACE.
https://backreference.org/2010/06/11/iptables-debugging/
Do nftables też:
https://wiki.nftables.org/wiki-nftables/index.php/R … debug/tracing
a do routingu stary, dobry tcpdump. xD
PS.
Sprawdź w Debianie 10:
Kod:
ip route get ip.ip.ip.ip
dowiesz się, czy routing adresuje prawidłowo dany adres.
np:
Kod:
ip route get 2a00:1450:401b:806::200e 2a00:1450:401b:806::200e from :: via fe80::a263:91ff:fe7d:585a dev net proto ra src 2002:587c:6781:10:741c:c8ce:6cd8:afc9 metric 1024 mtu 1280 hoplimit 64 pref medium
Ostatnio edytowany przez Jacekalex (2020-06-09 23:44:19)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#9 2020-06-10 08:22:37
krzys - Użytkownik
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Jacekalex napisał(-a):
Klient poczty jaki błąd daje, brak połączenia czy coś z certyfikatem?
Co to za interfejs tun0? VPN?
Thuderbird wyświetla pod windowsem "Connection server to pop3.***.pl was reset"
Inny klient poczty po prostu milczy i nie pobiera wiadomości.
Tak, tun0 to moje połączenie po VPN. Mam zrobione przekierowanie po VPN, tak jakbym był w biurze. Ale to samo dzieje się po interfejsie LAN.
Jacekalex napisał(-a):
Sprawdź w Debianie 10:
Kod:
ip route get ip.ip.ip.ip
Kod:
ip route get ip.ip.ip.ip
ip.ip.ip.ip via 172.16.1.1 dev enp4s0 src 172.16.1.12 uid 0
cacheLoguję pakiety za pomocą ulog
Kod:
Jun 10 07:43:06 D10 IN=enp1s0 OUT=enp4s0 MAC=ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff SRC=192.168.*.* DST=ip.ip.ip.ip LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43980 DF PROTO=TCP SPT=53139 DPT=995 SEQ=2630500899 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0 Jun 10 07:43:06 D10 IN=enp1s0 OUT=enp4s0 MAC=ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff SRC=192.168.*.* DST=ip.ip.ip.ip LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43981 DF PROTO=TCP SPT=53140 DPT=995 SEQ=774781080 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
Co miał za zadanie sed? Jaki miał być efekt polecenia
Kod:
sed 's#995#993#'
nie rozumiem znaków hash (#)
Ostatnio edytowany przez krzys (2020-06-10 09:14:35)
Offline
#10 2020-06-10 13:22:07
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Port 995 - POP3s.
Port 993 - Imaps.
Po prostu fruwaj z TB na Imap, z pozostawieniem kopii na serwerze i ewentualnie, choć niekoniecznie synchronizacją.
Musisz tylko w TB przestawić przechowywanie poczty, żeby używał maildir zamiast mbox, i ustalić limit przechowywanych wiadomości i zajmowanego miejsca, żeby Ci dysku nie zapchał.
U mnie łącznie 1.5 GB poczty wygenerowało 9GB folderu TB, a jednemu gościowi z forum Ubu TB zapchał całą partycję.
Dlatego pocztę wygoniłem na Fetchmaila, Dovecota, Spamassasina i Postfixa, a TB używam tylko do wyświetlania i wysyłania poczty, z SMTP i IMAP łaczy się na localhoście.
Dodatkowo dzięki dokładnym logom Postfixa (chodzi przez smarthosty), dokładnie wiem, co się dzieje z pocztą wychodzącą.
Moja poczta z ostatnich 15 lat siedzi w tym folderze:
Kod:
# root ~> du -shm /home/domains/ 1361 /home/domains/
a kopia na kontach, bo fetchmail w trybie IMAP pozostawia maila na serwerze, kopiując go na kompa..
Bezpośredni dostęp na konta gmaila mam z cegłofona i tabletu.
Ostatnio edytowany przez Jacekalex (2020-06-10 13:26:38)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#11 2020-06-10 15:22:00
krzys - Użytkownik
Re: Komunikację POP3 po SSL port 995 blokuje fortinet po NAT
Komunikację IMAP (993) również FGT blokuje przez ten router. Nie wydaje mi się żeby w tym przypadku Fetchmail poradził sobie z komunikacją skoro jej nie ma.
SOA#Z
Ostatnio edytowany przez krzys (2020-06-11 13:44:53)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Komunikację POP3 po SSL port 995 blokuje fortinet po NAT