*в сторону*
Ночное включение модуля экстрасенсорики - ничего личного, так, мысли вслух...
Ситуацию
тов. Sasha с <
...сервер недоступен...> совместно с <
...со слов ответственного у них все нормально работает...> следует, очевидно, понимать как
"сервер удаленный и территориально размещенный далеко"...
Делаем допущение, что связь идет через
Заслон или КМ некий криптомаршрутизатор (ибо вопрос изначально по мандатным меткам, ага). Который, в свою очередь, активно NATит все соединения, засовывая их в ГОСТ89/ГОСТ2015 VPN или IPsec, не суть важно...
Тогда, вероятно, проблема не в ACL на этом криптомаршрутизаторе, а в том, что он попросту знать не знает о поле security в IPv4, куда Astra Linux SE в полном соответствии с
ГОСТ-Р-58256-2018 инкапсулирует текущую мандатную метку. И пересылает NAT-трафик, не добавляя оную метку...
Следовательно, удаленный сервер при любом раскладе получает трафик без метки и считает его за 0 метку по умолчанию. Поэтому в 0-сессии клиента все идет как по маслу, а "выше" доступ режется...
Это был первый вариант. И он бы подошел, если бы не одно НО: SMTP (передача) работает, но POP3 (прием) в не0-сессии падает. Модуль экстрасенсорики подсказывает, что:
- Криптомаршрутизатор работает как надо, но МСВС все-таки нихрена не поддерживает ГОСТ в нужном виде (ибо он 2018 года, а МСВС 3.0, увы, нет) и всегда принимает трафик под 0 сессией вне зависимости от метки, установленной клиентом. Astra Linux ожидает наличие метки, чтобы разместить полученное письмо в нужном мандатном "каталоге" (условно, конечно), но раз метки нет, то и схема не срабатывает. Однако при передаче почты метка на приемной стороне нивелируется - МСВС принимает почтовое сообщение вне зависимости от полей security IPv4. Правда, в таком случае выходит, что лица, рапортующие, что у них все работает - явно врут...
- Косячат и криптомаршрутизатор, и МСВС. Далее как в варианте 1...
Впрочем, это все несколько не согласуется с ГОСТ по части передачи меток в полях IP, а не протоколов более высокого уровня (SMTP, POP3, IMAP, etc). Надо бы стенд собрать и поиграть с ним - как руки дойдут, отпишусь...
ЗЫ Проверить обе гипотезы вне стенда элементарно:
дать по ушам попросить лицо, ответственное за сервер, - нехай откроет логи под МСВС и конкретно выявит проблему. А если wireshark в промежутке запустит (например, через SPAN-порт пограничного коммутатора) - вообще красота. На крайний случай, wireshark можно и на клиентской стороне поглядеть - видны ли метки в "ответе" сервера (их отсутствие однозначно укажет суть проблемы, но не ее причину - оба варианта останутся возможными). Тогда и разговор сразу станет более предметным...