Wij hebben een checkpoint NGX draaien. Hierachter staan twee switches. Wij hebben namelijk twee reeksen van onze ISP toegewezen gekregen. In switch A wordt reeks X dirtect gebruikt. Dat wil zeggen: Servers die op deze switch staan aangesloten krijgen in hun configuratie direct een extern IP adres toegewezen. De servers op switch B maken gebruik van een intern IP adres en de checkpoint zorgt hierbij dat een extern IP adres uit reeks B (static) wordt geNAT naar de betreffende machine.
Nu hebben wij onze mailserver (Linux, Sendmail) in switch B hangen. Deze heeft dus een intern IP adres. Na een klacht van verdwijnende mail ben ik een sin onze logs gaan kijken en kom af en toe deze melding tegen:
Na wat googlen kwam ik deze link tegen: http://www.issociate.de/b...ring_message_collect.html.
Ik heb echter het vermoeden dat de Checkpoint hierbij roet in het eten gooit en wel in het NAT gedeelte. Als ik namelijk op een server inlog op switch A (Direct een extern IP) en hierop het volgende commando uitvoer:
Krijg ik geen foutmedlingen over ICMP checksums.
Als ik hetzelfde commando uitvoer vanaf de betreffende mailserver krijg ik bij verschillende hops een ICMP checksum error.
Beide systemen zitten dus achter de checkpoint alleen wordt het verkeer richting de mailserver ook nog eens geNAT.
Wie weet hoe k ervoor kan zorgen dat de Path MTU discovery op de geNAT hosts ook goed gaat?
(Ik heb bovengenoemde ook uitgevoerd op twee andere servers. 1 achter switch A en 1 achter switch B, daarom denk ik niet dat het aan de server zelf ligt).
Nu hebben wij onze mailserver (Linux, Sendmail) in switch B hangen. Deze heeft dus een intern IP adres. Na een klacht van verdwijnende mail ben ik een sin onze logs gaan kijken en kom af en toe deze melding tegen:
code:
1
| Nov 7 16:12:58 ns1 sendmail[22375]: kA7DCqtH022375: to=<***@***.nl>, delay=02:00:01, pri=30674, stat=timeout waiting for input during message collect |
Na wat googlen kwam ik deze link tegen: http://www.issociate.de/b...ring_message_collect.html.
Ik heb echter het vermoeden dat de Checkpoint hierbij roet in het eten gooit en wel in het NAT gedeelte. Als ik namelijk op een server inlog op switch A (Direct een extern IP) en hierop het volgende commando uitvoer:
code:
1
| traceroute <host> 1500 |
Krijg ik geen foutmedlingen over ICMP checksums.
Als ik hetzelfde commando uitvoer vanaf de betreffende mailserver krijg ik bij verschillende hops een ICMP checksum error.
Beide systemen zitten dus achter de checkpoint alleen wordt het verkeer richting de mailserver ook nog eens geNAT.
Wie weet hoe k ervoor kan zorgen dat de Path MTU discovery op de geNAT hosts ook goed gaat?
(Ik heb bovengenoemde ook uitgevoerd op twee andere servers. 1 achter switch A en 1 achter switch B, daarom denk ik niet dat het aan de server zelf ligt).
/u/13471/karnemelk.png?f=community)