Komme einfach nicht weiter -> DMZ [SOLVED]
-
Moin wehrte Mitgleider,
ich versuche und probiere schon seid einigen Wochen eine funktionierende DMZ aufzusetzen. Darin befindet sich dann mein Mail Server. (Der funktioniert tadellos hinter meiner Fritz!Box)
Das Internet habe ich schon rauf und runter gesucht, Anleitungen gelesen und Videos angeschaut. Ich habe mir sogar ein Buch gekauft, aber leider kein Erfolg. Langsam bin ich am verzweifeln und glaube auch, dass ich zu doof dafür.Mein Setup ist wie folgt:
Als erstes habe ich ein Modem im Bridge Mode. Daran angeschlossen ist die Firewall (Alix Board 2D13 - pfSense). Es übernimmt die PPPoE-Einwahl. Das Board hat drei NICs: vr0 = WAN, vr1 = LAN, vr2 = DMZ.
Vom LAN aus kann ich meinen Mail Server über SSH erreihen, aber nicht aus dem Internet; weder über meine Domain (dynDNS) noch direkt über die WAN IP.
Wenn ich meinen Laptop in die DMZ hänge komme ich aber raus und kann surfen.Meine Konfiguration:
Firewall: LAN -> 192.168.178.*/24 (DHCP)
DMZ -> 192.168.1.1/24 (static)
Mailserver -> IP: 192.168.1.2
Subnetmask: 255.255.255.0
Gateway: 192.168.1.1Hoffentlich könnt ihr mir weiterhelfen! :-\
 -
Hallo,
von den gezeigten Regeln her sollte der Zugriff funktionieren. Weiß zwar nicht, was du mit dem Port 8443 auf einem Mailserver willst, aber SSH sollte klappen.
Eine DMZ-Regel wäre dafür gar nicht nötig.Bist du dir sicher, dass die Fritz!Box nichts sperrt?
Ich würde mal ein Packet Capture machen (Diagnostic > Packet Capture), während du von außen über SSH eine Verbindung versuchst, erst am WAN, wenn okay am DMZ Interface.
Damit siehst du, ob überhaupt was rein kommt und auf der DMZ rausgeht und was vom Server zurückkommt. -
Moin,
danke für deine Antwort.
8443 ist ein https Port für eine Konfig-Seite.Leider kann die Fritz!Box keinen Modem Modus (mehr) und so musste ich mir ein ZyXEL Router holen; bei dem heisst es aber Bridge Modus.
Ich bin mir ziemlich sicher, dass das Modem alles durchlässt. Die eigentliche Verbindung macht ja die Firewall.Super, genau so einen Tip habe ich gebraucht. Das probiere ich die Tage gleich mal aus.
-
Ich verstehe Dein Setup nicht ganz.
Ist die FritzBox noch verbaut?
Falls ja und die FritzBox in einem anderen Subnetz (DMZ) ist als sie hin-natten soll, so verliert sie ständig das Setting dazu. -
Hallo renegade,
die FritzBox habe ich dann nicht mit in Betrieb.
Zum besseren Verständnis habe ich mein Setup noch mal aufgezeichnet.
-
Okay Kalle, das Diagramm verstehe ich jetzt gut.
Was ich nicht verstehe: Soll dein Mailserver nur Mail versenden oder auch empfangen? Denn ich sehe nur 8443 und 22 eingehend, aber keinen einzigen Mailport? Wenn nur versenden, dann sollte das schon genügen was du hast, vorbehaltlich, dass du Outbound NAT Regeln fürs DMZ angelegt hast?
Grüße
-
Moin JeGr,
das sind nicht alle Ports, da hast du Recht. Alle Ports die ich öffnen will, kannst du in meinem ersten Post im dritten Bild sehen.
Ich habe die zwei nur erst mal genommen, weil das ja reicht zum testen.
Die Outbound Regeln werden doch automatisch erstellt, oder sehe ich das falsch?Grüße
-
Hallo,
wie soll der Server denn funktionieren? Soll dieser die Emails bei deinem Provider per Pop3/IMAP/Exchange abholen und intern zur Verfügung stellen oder soll dieser von anderen Mailservern direkt per SMTP "angesprochen" werden?
Für das zweite benötigst du noch weitere Regeln die SMTP an deinen Server durchleiten.
VG
Andreas -
Moin Andreas,
mein Server sendet und empfängt Nachrichten (Ich habe meine eigene Domain, es gibt keinen Provider.) und ich greife dann per IMAP drauf zu.
Diese Ports habe ich nur noch nicht eingerichtet, weil es ja schon grundsätzlich mit dem SSH Port
nicht funktioniert.
Ich habe noch gar kein richtiges Verständnis wie das mit den Firewallregeln funktioniert. Wie NAT funktioniert ist mir aber klar.Grüße
-
Du führst deine Verbindungsversuche aber schon von extern durch? Also nicht über den Internet Anschluss an dem auch die DMZ hängt?
Das ist nämlich mit der Default NAT Konfig nicht möglich. NAT Reflection müsste hier das Stichwort sein.
-
Danke für den Tip Andreas,
an so was habe ich überhaupt nicht gedacht. Vorher mit der Fritz!Box hat da ja locker funktioniert. Ich habe bis jetzt auch noch nie mit einer Firewall gearbeitet, somit kenne ich das gar nicht.
Das klingt viel versprechend und ich werde es auf jeden Fall ausprobieren, was ich leider aber erst am Wochenende machen kann.Aber wie ist das denn jetzt, wenn ich mit meinem Laptop in meinem LAN bin und dann über IMAP meine emails abrufen will, das geht dann ja nicht mehr, oder wie?
Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?Grüsse
-
Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?
Geht auch einfacher mit Split-DNS. Ich habe im DNS Resolver (geht analog auch im Forwarder) der pfSense einfach einen Host Override gesetzt.
Host
imapDomain
domain.deIP
DMZ IP des ServersDann gehts von aussen und von innen problemlos.
Beim Zyxel Modem würde ich darauf achten, die neuste Firmware zu installieren. Ist schon ein paar Jahre her, aber es gab da mal Probleme mit IPSec bei nem Bekannten. Das lief nur sauber nach Firmware Update. Auch wenn ich nie kapiert habe, wie das sein konnte bei Bridge Betrieb. :)
-
Moin athurdent,
danke für deinen Tip, aber leider verstehe ich nur Bahnhof. :-[
Was ist das und wie funktioniert es?Grüße
-
:)
Also, geh mal in der pfSense auf Services -> DNS Resolver. Dort findest Du den Punkt Host Overrides. Nehmen wir an, Dein IMAP Server heisst imap.kalle13.de und hat in der DMZ die IP 192.168.2.10. Dann trägst Du das dort entsprechend ein:
Host: imap
Domain: kalle13.de
IP: 192.168.2.10Damit löst der Name dann bei Dir im LAN korrekt auf und Dein Mailprogramm braucht keine Änderung.
-
Oh, ok.
Wenn das so einfach ist.
Danke! :D
Das werde ich auch mit auf meine To-Do Liste nehmen.Grüße
-
Kann ich auch den Hostnamen weglassen?
Im Mailprogramm habe ich ja nur meine Domain und den Port angegeben. Meine Domain habe ich nur für meinen Mailserver.Grüße
-
Moin,
nee, den Hostnamen musst Du schon angeben, das gibt doch an welcher Rechner kontaktiert wird.
Trag es einfach mal ein: Hostname.Domain.TLDWelches Mailprogramm?
-teddy
-
@magicteddy: Wieso? Es ist kein Problem, einen A Record auf eine Domain zu setzen. Nur CNAMEs sind eine schlechte Idee, aber das ist eine andere Geschichte. ;)
@Kalle13: Also, ja Du kannst den Hostnamen weglassen und nur Domain und IP beim Host Override eintragen.
-
Stümmt, hatte nur von der Tapete bis zur Wand gedacht …
-teddy
-
Gut, werde ich so machen.
Ich bin gespannt. ;DGrüße
