Komme einfach nicht weiter -> DMZ [SOLVED]
-
Moin,
danke für deine Antwort.
8443 ist ein https Port für eine Konfig-Seite.Leider kann die Fritz!Box keinen Modem Modus (mehr) und so musste ich mir ein ZyXEL Router holen; bei dem heisst es aber Bridge Modus.
Ich bin mir ziemlich sicher, dass das Modem alles durchlässt. Die eigentliche Verbindung macht ja die Firewall.Super, genau so einen Tip habe ich gebraucht. Das probiere ich die Tage gleich mal aus.
-
Ich verstehe Dein Setup nicht ganz.
Ist die FritzBox noch verbaut?
Falls ja und die FritzBox in einem anderen Subnetz (DMZ) ist als sie hin-natten soll, so verliert sie ständig das Setting dazu. -
Hallo renegade,
die FritzBox habe ich dann nicht mit in Betrieb.
Zum besseren Verständnis habe ich mein Setup noch mal aufgezeichnet.
-
Okay Kalle, das Diagramm verstehe ich jetzt gut.
Was ich nicht verstehe: Soll dein Mailserver nur Mail versenden oder auch empfangen? Denn ich sehe nur 8443 und 22 eingehend, aber keinen einzigen Mailport? Wenn nur versenden, dann sollte das schon genügen was du hast, vorbehaltlich, dass du Outbound NAT Regeln fürs DMZ angelegt hast?
Grüße
-
Moin JeGr,
das sind nicht alle Ports, da hast du Recht. Alle Ports die ich öffnen will, kannst du in meinem ersten Post im dritten Bild sehen.
Ich habe die zwei nur erst mal genommen, weil das ja reicht zum testen.
Die Outbound Regeln werden doch automatisch erstellt, oder sehe ich das falsch?Grüße
-
Hallo,
wie soll der Server denn funktionieren? Soll dieser die Emails bei deinem Provider per Pop3/IMAP/Exchange abholen und intern zur Verfügung stellen oder soll dieser von anderen Mailservern direkt per SMTP "angesprochen" werden?
Für das zweite benötigst du noch weitere Regeln die SMTP an deinen Server durchleiten.
VG
Andreas -
Moin Andreas,
mein Server sendet und empfängt Nachrichten (Ich habe meine eigene Domain, es gibt keinen Provider.) und ich greife dann per IMAP drauf zu.
Diese Ports habe ich nur noch nicht eingerichtet, weil es ja schon grundsätzlich mit dem SSH Port
nicht funktioniert.
Ich habe noch gar kein richtiges Verständnis wie das mit den Firewallregeln funktioniert. Wie NAT funktioniert ist mir aber klar.Grüße
-
Du führst deine Verbindungsversuche aber schon von extern durch? Also nicht über den Internet Anschluss an dem auch die DMZ hängt?
Das ist nämlich mit der Default NAT Konfig nicht möglich. NAT Reflection müsste hier das Stichwort sein.
-
Danke für den Tip Andreas,
an so was habe ich überhaupt nicht gedacht. Vorher mit der Fritz!Box hat da ja locker funktioniert. Ich habe bis jetzt auch noch nie mit einer Firewall gearbeitet, somit kenne ich das gar nicht.
Das klingt viel versprechend und ich werde es auf jeden Fall ausprobieren, was ich leider aber erst am Wochenende machen kann.Aber wie ist das denn jetzt, wenn ich mit meinem Laptop in meinem LAN bin und dann über IMAP meine emails abrufen will, das geht dann ja nicht mehr, oder wie?
Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?Grüsse
-
Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?
Geht auch einfacher mit Split-DNS. Ich habe im DNS Resolver (geht analog auch im Forwarder) der pfSense einfach einen Host Override gesetzt.
Host
imapDomain
domain.deIP
DMZ IP des ServersDann gehts von aussen und von innen problemlos.
Beim Zyxel Modem würde ich darauf achten, die neuste Firmware zu installieren. Ist schon ein paar Jahre her, aber es gab da mal Probleme mit IPSec bei nem Bekannten. Das lief nur sauber nach Firmware Update. Auch wenn ich nie kapiert habe, wie das sein konnte bei Bridge Betrieb. :)
-
Moin athurdent,
danke für deinen Tip, aber leider verstehe ich nur Bahnhof. :-[
Was ist das und wie funktioniert es?Grüße
-
:)
Also, geh mal in der pfSense auf Services -> DNS Resolver. Dort findest Du den Punkt Host Overrides. Nehmen wir an, Dein IMAP Server heisst imap.kalle13.de und hat in der DMZ die IP 192.168.2.10. Dann trägst Du das dort entsprechend ein:
Host: imap
Domain: kalle13.de
IP: 192.168.2.10Damit löst der Name dann bei Dir im LAN korrekt auf und Dein Mailprogramm braucht keine Änderung.
-
Oh, ok.
Wenn das so einfach ist.
Danke! :D
Das werde ich auch mit auf meine To-Do Liste nehmen.Grüße
-
Kann ich auch den Hostnamen weglassen?
Im Mailprogramm habe ich ja nur meine Domain und den Port angegeben. Meine Domain habe ich nur für meinen Mailserver.Grüße
-
Moin,
nee, den Hostnamen musst Du schon angeben, das gibt doch an welcher Rechner kontaktiert wird.
Trag es einfach mal ein: Hostname.Domain.TLDWelches Mailprogramm?
-teddy
-
@magicteddy: Wieso? Es ist kein Problem, einen A Record auf eine Domain zu setzen. Nur CNAMEs sind eine schlechte Idee, aber das ist eine andere Geschichte. ;)
@Kalle13: Also, ja Du kannst den Hostnamen weglassen und nur Domain und IP beim Host Override eintragen.
-
Stümmt, hatte nur von der Tapete bis zur Wand gedacht …
-teddy
-
Gut, werde ich so machen.
Ich bin gespannt. ;DGrüße
-
;D Moin ;D
Es hat geklappt!
Der Tip von andreas_at_work und athurdent war genau der richtige. Danke!
Es lag an der NAT Reflection, denn ich hatte nie von aussen getestet. Nun kann ich vollständig vom Internetz auf meinen Server zugreifen!
Leider geht das aber nur teilweise vom LAN aus, wenn ich über meine Domain gehe. Mails abrufen geht, aber kein ssh.
-> ssh Benutzer@domain -p49999
Dazu muss ich sagen, dass nicht über den Standart SSH-Port (22) gehe sondern über 49999. Das heisst im NAT mache ich dann aus 49999 wieder 22.
Der Server und die NAT Regel funktioniert! Das habe ich schon von aussen getestet. :-\Gerade habe ich auch noch entdeckt, dass ich vom Server aus keine Updates (Debian) machen kann. Ich habe als NAT Regel Port 80(HTTP) TCP und Port 53(DNS) TCP/UDP freigeschaltet. Trotzdem geht es nicht. :-
Wget geht auch nicht. -> wget http://128.101.240.212
Ping geht auch nicht. -> ping www.google.de oder ping 8.8.8.8Grüße
-
Für SSH müsstest Du entweder aus dem LAN in Richtung DMZ eine NAT Regel schreiben, die Dir die Ports umbiegt (also Anfragen aus dem LAN an Port 49999 wieder auf 22 umschreiben), oder Du lässt das SSH einfach auf der Linux Box auf 49999 laufen und sparst Dir bei WAN und LAN das Portverbiegen.
Für den Traffic aus der DMZ Richtung WAN fehlt vielleicht eine Firewallregel? Und ICMP für Ping hast Du auch nicht genatted, das würde eh nicht gehen. Der Einfachheit halber natte ich wo möglich auch immer ohne Ports/Protokolle und schreibe dann restriktive Firewallregeln, die durch dürfen. Macht die Sache unkomplizierter, ist aber nur meine Meinung ;)
Wenns nicht klappt, zeig vielleicht mal Deine Nat und Firewallregeln…