Hallo,
im Moment stehe ich etwas auf dem Schlauch...
Ich möchte die (dynamische) WAN-IP meines Lancoms für eine FW-Regel verwenden.
Hintergrund: Ich habe mobile Clients (Smartphones), die sich sowohl im WLAN, als auch im GSM-Netz befinden können. Ich möchte nun (praktisch) ausschließlich diesen den Zugriff auf meinen Mailserver über Port 25 erlauben. Die Konfiguration soll dabei auf den Clients bei interner und externer Nutzung immer gleichbleiben und als Mailserver "mymail.dyndns.org" sein. Von extern erlaube ich nun den IP-Adressen des GSM-Providers darauf zuzugreifen. Wenn sich das Smartphone aber im WLAN befindet, so geht es ja mit der WAN-Adresse des Lancoms raus und auf dieser ja auch wieder rein (praktisch ein Loopback). Nun möchte ich aber nicht gleich allen IP-Adressen meines DSL-Providers den Zugriff erlauben, sondern nur meiner einen dedizierten WAN-IP.
Wie kann ich also eine Regel erstellen, die den Zugriff meiner WAN-IP auf den Mailserver über TCP Port 25 erlaubt?
Danke und Gruß Dirk
WAN-IP in FW-Regel verwenden
Moderator: Lancom-Systems Moderatoren
Hi DirkK,
wenn sich die Clients aus dem GSM-Netz kommen, dann haben sie auch eine *beliebige* IP-Adresse, weshalb du eh eine Regel brauchst, die *allen* IP-Adressen den Zugriff erlaubt... Zum Thema "von aussen erlaube ich nur die Adressen des GSM-Providers" kann ich eigentlich nur sagen:
- z.B. bei T-Mobile ist das schonmal ein extrem großer Adreßbereich - weshalb du auch gleich alles freigeben kannst
- was machst du, wenn die Clients roamen, weil z.B. der Mitarbeiter im Ausland unterwegs ist?
Daher mußt du letztendlich schon *alle* Adressen freigeben und den Mailserver nur authentifizierte Mails versenden lassen - das solltest du sowieso machen, denn sonst kommt dein Mailserver sehr schnell auf die Blacklist der offenen Relays und alles was du sendest wird als Spam eingestuft...
Gruß
Backslash
wenn sich die Clients aus dem GSM-Netz kommen, dann haben sie auch eine *beliebige* IP-Adresse, weshalb du eh eine Regel brauchst, die *allen* IP-Adressen den Zugriff erlaubt... Zum Thema "von aussen erlaube ich nur die Adressen des GSM-Providers" kann ich eigentlich nur sagen:
- z.B. bei T-Mobile ist das schonmal ein extrem großer Adreßbereich - weshalb du auch gleich alles freigeben kannst
- was machst du, wenn die Clients roamen, weil z.B. der Mitarbeiter im Ausland unterwegs ist?
Daher mußt du letztendlich schon *alle* Adressen freigeben und den Mailserver nur authentifizierte Mails versenden lassen - das solltest du sowieso machen, denn sonst kommt dein Mailserver sehr schnell auf die Blacklist der offenen Relays und alles was du sendest wird als Spam eingestuft...
Gruß
Backslash
Hi Backslash,
, möchte ich im Falle eines Bugs im Mailserver so wenig wie möglich Angriffsfläche bieten.
Aber aus Deinen Ausführungen würde ich mal schließen, daß mein Ansinnen sich so nicht lösen lässt. Richtig?
Gruß
Dirk
Stimmt bei T-Mobile ist das eine ganze Menge, bei o2 sind es nur 2x254 IP's (da hat man dann aber mit anderen Problemen wie NAT-Traversal bei VPN zu kämpfen).backslash hat geschrieben:wenn sich die Clients aus dem GSM-Netz kommen, dann haben sie auch eine *beliebige* IP-Adresse, weshalb du eh eine Regel brauchst, die *allen* IP-Adressen den Zugriff erlaubt... Zum Thema "von aussen erlaube ich nur die Adressen des GSM-Providers" kann ich eigentlich nur sagen:
- z.B. bei T-Mobile ist das schonmal ein extrem großer Adreßbereich - weshalb du auch gleich alles freigeben kannst
Bei Roaming im Ausland bekommen die Clients ebenfalls eine "deutsche" IP, da sie sich ja nur in einem ausländischen Netz befinden, die Zuordnung zum Heimat-Netzbetreiber bleibt ja weiterhin bestehen.backslash hat geschrieben:- was machst du, wenn die Clients roamen, weil z.B. der Mitarbeiter im Ausland unterwegs ist?
Das habe ich natürlich von Beginn an gemacht. Auch nutze ich natürlich alle Sicherungsmechanismen, wie SSL, TSL, erzwungene 128bit Verschlüsselung. Trotzdem, nenne es Paranoiabackslash hat geschrieben:Daher mußt du letztendlich schon *alle* Adressen freigeben und den Mailserver nur authentifizierte Mails versenden lassen - das solltest du sowieso machen, denn sonst kommt dein Mailserver sehr schnell auf die Blacklist der offenen Relays und alles was du sendest wird als Spam eingestuft...
, möchte ich im Falle eines Bugs im Mailserver so wenig wie möglich Angriffsfläche bieten.Aber aus Deinen Ausführungen würde ich mal schließen, daß mein Ansinnen sich so nicht lösen lässt. Richtig?
Gruß
Dirk
Hi DirkK,
Eine sinnvollere Lösung wäre, die mobilen Clients per VPN anzubinden - insbesondere wenn es um das Thema Paranoia geht... Dann kannst du den Mailserver auch komplett vom Internet abschotten
Gruß
Backslash
richtig... es sei denn dun würdest den IP-Bereich deines Internet-Providers freigeben - dann sind wir aber wieder an der Stelle, an der du wieder alles freigeben kannst, wenn dein Provider z.B. T-Online ist.Aber aus Deinen Ausführungen würde ich mal schließen, daß mein Ansinnen sich so nicht lösen lässt. Richtig?
Eine sinnvollere Lösung wäre, die mobilen Clients per VPN anzubinden - insbesondere wenn es um das Thema Paranoia geht... Dann kannst du den Mailserver auch komplett vom Internet abschotten
Gruß
Backslash
Hi Backslash
Danke für den Hinweis, dann werde ich dem wohl nachgehen (müssen).
Ach, vielleicht lässt sich die eigene WAN-Variable ja bei einer der nächstn LCOS-Versionen einbauen (Feature-Wunsch).
Gruß
Dirk
also einen VPN-Client habe ich auf den mobilen Clients bereits drauf; daran soll es nicht scheitern. An die Möglichkeit die Mail darüber abzwickeln habe ich auch schon gedacht, allerdings ist das Handling des VPN-Clients auf den Smartphones etwas umständlich (besonders wenn das Netz schwach bzw. instabil ist). Daran lässt sich aber meiner Einschätzung nach noch was drehen, daß man hier den VPN-Aufbau bzw. -Reconnect automatisieren kann.backslash hat geschrieben:Eine sinnvollere Lösung wäre, die mobilen Clients per VPN anzubinden - insbesondere wenn es um das Thema Paranoia geht... Dann kannst du den Mailserver auch komplett vom Internet abschotten
Danke für den Hinweis, dann werde ich dem wohl nachgehen (müssen).
Ach, vielleicht lässt sich die eigene WAN-Variable ja bei einer der nächstn LCOS-Versionen einbauen (Feature-Wunsch).
Gruß
Dirk
Tach,
ziemlich schmutzige Lösung, aber deine Telefone im WLAN befinden sich doch in deinem internen Netz in dem auch der Mailserver steht?
Die benutzen doch auch dann deinen internen DNS Server?
Dann könntest du die Domain "mymail.dyndns.org" in deinem DNS einfach auf die interne IP deines Mailservers zeigen lassen und fertig...
Und immer daran denken, daß du die wirkliche IP von "mymail.dyndns.org" intern nicht mehr auflösen kannst...
Schmutzige Lösung wie gesagt, aber dürfte Funktionieren...
Gruß
COMCARGRU
ziemlich schmutzige Lösung, aber deine Telefone im WLAN befinden sich doch in deinem internen Netz in dem auch der Mailserver steht?
Die benutzen doch auch dann deinen internen DNS Server?
Dann könntest du die Domain "mymail.dyndns.org" in deinem DNS einfach auf die interne IP deines Mailservers zeigen lassen und fertig...
Und immer daran denken, daß du die wirkliche IP von "mymail.dyndns.org" intern nicht mehr auflösen kannst...
Schmutzige Lösung wie gesagt, aber dürfte Funktionieren...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???