IMAP funktioniert nicht nach Umzug in ein anderes Subnetz mit neuer IP

HisDudeness

Hi,
ich habe versucht meinen Mailcow-Server (auf Debian) in ein anderes Subnetz umzuziehen. Es schien auch alles zu klappen, bis auf IMAP. Laut netstat lautscht das system auf 993 aber ich bekomme sofort ein “connection refused” wenn ich ein telnet versuche (kein Timeout oder so). Selbst vom host selbst ging es nicht via “telnet 192.168.0.1 993”. Die Firewall sollte dann ja raus sein.
Die anderen Dienste (Web-UI, SMTP) haben funktioniert bzw. geantwortet.
Hat jemand eine Idee warum nur IMAP nicht geht?
Gruß & Dank
Michael

DocFraggle

HisDudeness Die Firewall sollte dann ja raus sein.

Das würde ich jetzt mal pauschal nicht ausschliessen… hast Du denn da eine lokale Firewall ausser den iptables die Mailcow pflegt laufen? Sowas macht immer mal Probleme…

DocFraggle

Poste mal bitte den Output von

netstat -tulpen

und

iptables -L

HisDudeness

Hi, vielen Dank für deine Antwort!
Ich hab in der zwischenzeit den Snapshot erstmal wieder zurückheholt ^^

netstat -tulpen zeigte auf jeden fall dass 993 und 143 auf 0.0.0.0 lauscht. Die anderen Ports auch (web, smtp, etc.)

iptables -L sieht derzeit so aus, da hatte ich ja nichts dran geändert.

`root@mail01:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination
MAILCOW all – anywhere anywhere /* mailcow */
DOCKER-USER all – anywhere anywhere
DOCKER-ISOLATION-STAGE-1 all – anywhere anywhere
ACCEPT all – anywhere anywhere ctstate RELATED,ESTABLISHED
DOCKER all – anywhere anywhere
ACCEPT all – anywhere anywhere
ACCEPT all – anywhere anywhere
ACCEPT all – anywhere anywhere ctstate RELATED,ESTABLISHED
DOCKER all – anywhere anywhere
ACCEPT all – anywhere anywhere
ACCEPT all – anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain DOCKER (2 references)
target prot opt source destination
ACCEPT tcp – anywhere 172.22.1.4 tcp dpt:8983
ACCEPT tcp – anywhere 172.22.1.8 tcp dpt:http
ACCEPT tcp – anywhere 172.22.1.8 tcp dpt:https
ACCEPT tcp – anywhere 172.22.1.10 tcp dpt:mysql
ACCEPT tcp – anywhere 172.22.1.249 tcp dpt:redis
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:pop3
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:imap2
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:imaps
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:pop3s
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:sieve
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:12345
ACCEPT tcp – anywhere 172.22.1.253 tcp dpt:smtp
ACCEPT tcp – anywhere 172.22.1.253 tcp dpt:submissions
ACCEPT tcp – anywhere 172.22.1.253 tcp dpt:submission

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target prot opt source destination
DOCKER-ISOLATION-STAGE-2 all – anywhere anywhere
DOCKER-ISOLATION-STAGE-2 all – anywhere anywhere
RETURN all – anywhere anywhere

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
target prot opt source destination
DROP all – anywhere anywhere
DROP all – anywhere anywhere
RETURN all – anywhere anywhere

Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all – anywhere anywhere

Chain MAILCOW (1 references)
target prot opt source destination
DROP tcp – anywhere anywhere /* mailcow isolation */
`

DocFraggle

HisDudeness netstat -tulpen zeigte auf jeden fall dass 993 und 143 auf 0.0.0.0 lauscht

OK, aber welcher Prozess steht ganz rechts?

HisDudeness

DocFraggle Meinst Du beim netstat ?
Dann muss ich spöter nochmal einen Snapshot machen und einen Versuch starten :-)

DocFraggle

Genau, da sollte docker-proxy stehen, siehe

netstat -tulpen | grep 993
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      0          1085823256 1517358/docker-prox 
tcp6       0      0 :::993                  :::*                    LISTEN      0          1085820644 1517367/docker-prox

HisDudeness

Bin mir sehr sicher, dass da docker-proxy stand. Müsste genau so ausgesehen haben.
Wie gesagt: die anderen dienste waren sofort erreichbar.
Ich hatte auch schon in die dovecot.conf geschaut.. da Steht aber Listen * drin.
Fällt Dir sonst noch was ein was ich prfüfen könnte wenn ich wieder in den Fehler laufe?

HisDudeness

Hi, so, hab die VM nochmal in das andere Subnetz umgezogen (genau genommen sind es zwei NICs mit unterschiedlichen Subnetzen aber Routing/Gateway sollte passen)

`root@mail01:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain DOCKER (2 references)
target prot opt source destination
ACCEPT tcp – anywhere 172.22.1.253 tcp dpt:smtp
ACCEPT tcp – anywhere 172.22.1.2 tcp dpt:mysql
ACCEPT tcp – anywhere 172.22.1.253 tcp dpt:submissions
ACCEPT tcp – anywhere 172.22.1.253 tcp dpt:submission
ACCEPT tcp – anywhere 172.22.1.7 tcp dpt:http
ACCEPT tcp – anywhere 172.22.1.7 tcp dpt:https
ACCEPT tcp – anywhere 172.22.1.249 tcp dpt:redis
ACCEPT tcp – anywhere 172.22.1.13 tcp dpt:8983
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:pop3
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:imap2
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:imaps
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:pop3s
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:sieve
ACCEPT tcp – anywhere 172.22.1.250 tcp dpt:12345

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
target prot opt source destination
DROP all – anywhere anywhere
DROP all – anywhere anywhere
RETURN all – anywhere anywhere

Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all – anywhere anywhere

Chain MAILCOW (1 references)
target prot opt source destination
DROP tcp – anywhere anywhere /* mailcow isolation */`

Und hier netstat:

root@mail01:~# netstat -tulpen Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 0 13690 853/docker-proxy tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 14151 1239/docker-proxy tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 14168 1277/docker-proxy tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 13884 1022/docker-proxy tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 0 13679 837/docker-proxy tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 12981 482/sshd: /usr/sbin tcp 0 0 127.0.0.1:19991 0.0.0.0:* LISTEN 0 14302 1395/docker-proxy tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 13670 831/docker-proxy tcp 0 0 127.0.0.1:13306 0.0.0.0:* LISTEN 0 14522 862/docker-proxy tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 0 14607 1030/docker-proxy tcp 0 0 0.0.0.0:4190 0.0.0.0:* LISTEN 0 14293 1320/docker-proxy tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 0 14180 1291/docker-proxy tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 0 14194 1306/docker-proxy tcp 0 0 127.0.0.1:7654 0.0.0.0:* LISTEN 0 14765 1153/docker-proxy tcp 0 0 127.0.0.1:18983 0.0.0.0:* LISTEN 0 14138 1228/docker-proxy tcp6 0 0 :::22 :::* LISTEN 0 12992 482/sshd: /usr/sbin

Mailcow Web GUI geht
SSH geht
SMTP geht (bekomme via Telnet ne Antwort)
/sogo geht auch

Nur: IMAP geht nicht. Kein Timeout sondern “Verbindung verweigert”
Eine andere Firewall außer iptables hab ich nicht

Selbst vom Server selbst auf dei eigene (neue) IP kommt sofort eine Connection refused

root@mail01:~# telnet 192.168.168.20 993 Trying 192.168.168.20... telnet: Unable to connect to remote host: Connection refused

während SMTP sofort geht:

root@mail01:~# telnet 192.168.168.20 25 Trying 192.168.168.20... Connected to 192.168.168.20. Escape character is '^]'. 220 mail01.x.y ESMTP Postcow

DocFraggle

Was ist denn mit den anderen Ports vom Dovecot Container? IMAP (143), POP3 etc? Gehen die?

Hast Du selinux aktiv? Das kann auch ordentlich dazwischen funken

HisDudeness

143 ist das gleiche. POP3 hab ich nicht probiert - hab jetzt den Snapshot schon wieder zurück geholt.

Hätte ich selinux selbst einrichten und aktivieren müssen auf einem default Debian+Mailcow? Falls ja, dann nicht 😃