1900EF DNS adguard mit Mailserver reverse DNS failure

[Badmage]

1900EF DNS adguard mit Mailserver reverse DNS failure

Hallo zusammen,

seit Tagen quäle ich mich mit der folgenden Situation.

Netzwerk Struktur:
Internet -> Fritzbox -> 1900EF -> eisfair Server

Fritzbox IP: 192.172.168.1
1900EF IP: 172.23.56.1 (als exposed host)
eisfair IP: 172.23.56.254
dyndns: domain.home64.de
interne domain: intern.lan

fritzbox: ist eigentlich nur Modem und DECT Station.
1900EF macht DHCP und DNS stellt im Netz alle IP's zur Verfügung.
eisfair: hostet mailserver und adguard im Docker Container

Ziel ist das der 1900EF als upstream zum adguard fungiert damit auch die Namensauflösung weiterhin klappt.

Da ich nun schon einige Tage rumprobiere und ich es nicht hinbekomme, ist es vermutlich einfacher wenn mir jemand sagen könnte wie ich es korrekt konfigurieren muss.

Was muss z.B. eingetragen werden in/unter: (die Einstellungen werden mit Lanconfig vorgenommen)
IPv4 -> Adressen -> Erster DNS / Zweiter DNS
IPv4 -> DHCP Netzwerke -> Netzwerkname "Intranet" Standard-Gateway?/Erster DNS?/Zweiter DNS?

DNS -> Allgemein -> Eigene Domäne ist mit "intern.lan" befüllt
DNS-Server aktiviert ?
DNS-Weiterleitung aktiviert?

Ich möchte den 1900EF als upstream für den adguard zur Namensauflösung der Clients und damit für die domain.home64.de nicht nach draußen geschaut werden muss, mail.domain.home64.de kann dann direkt auf den eisfair aufeglöst werden. -> mail.eis.intern.lan

Im Moment werden von meinem lokalen mail-server keine GMX mails mehr abgeholt - im mainlog steht "reverse DNS failure" bei der Zustellung über SMTP/Exim auf die lokalen Konten. Diese sind so aufgebaut - user@intern.lan

Es war mal angedacht das ich über user@domain.home64.de auch emails versenden kann, das habe ich z.Zt. aber wieder verworfen, da ich vermutlich kein PTR-record von meinem Vodafone Cable Anbieter auf einen nicht business Anschluss erhalten werde, daher ist das nebensächlich.

habe ich noch was vergessen?

Ich hoffe ihr könnt mir helfen - ich sehe leider den Wald vor lauter Bäumen schon nicht mehr - evtl. ist es auch nur eine Kleinigkeit die ich übersehe.

Vielen Dank & viele Grüße

[Badmage]

irgendwie scheint die Weiterleitung an adguard nicht zu funktionieren

Code: Alles auswählen

--- google.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 11026ms
rtt min/avg/max/mdev = 13.089/13.964/14.561/0.632 ms
eis # traceroute  google.de
traceroute to google.de (142.250.186.99), 30 hops max, 60 byte packets
 1  1900EF.intern.lan (172.23.56.1)  0.832 ms  0.816 ms  0.845 ms
 2  fritz.box (192.168.178.1)  1.260 ms  1.457 ms  1.485 ms
 3  * * *
 4  80.69.102.58 (80.69.102.58)  19.949 ms  18.225 ms  20.034 ms
 5  84.116.191.125 (84.116.191.125)  25.730 ms  25.724 ms  25.692 ms
 6  84.116.190.34 (84.116.190.34)  25.651 ms  23.899 ms  23.888 ms
 7  74.125.32.52 (74.125.32.52)  21.569 ms  23.185 ms *
 8  * * *
 9  142.251.64.184 (142.251.64.184)  16.351 ms 142.250.186.99 (142.250.186.99)  17.128 ms 142.250.214.202 (142.250.214.202)  18.141 ms
eis #

ich kann nicht erkennen das adguard aufgerufen wurde ...

evtl. hat hier ja wer eine Idee .. ich komme leider nicht mehr so richtig weiter.

Vielen Dank & viele Grüße

[Hagen2000]

Ist ja auch das falsche Tool. Ruf mal

Code: Alles auswählen

nslookup www.google.de

auf, da wird Dir ja dann der benutzte DNS-Server angezeigt.

[Badmage]

ok - das sieht gut aus, aber wenn ich meine Mails Abrufe steht im mainlog immer:

Code: Alles auswählen

2026-01-06 20:41:23 H=(eis.intern.lan) [::1] F=<stiewe@rowl.de> rejected RCPT <toerner@toerners.home64.de>: reverse DNS failure (sender host name not set)
2026-01-06 20:41:23 H=(eis.intern.lan) [::1] F=<> rejected RCPT <postmaster>: reverse DNS failure (sender host name not set)
2026-01-06 20:41:24 H=(eis.intern.lan) [::1] F=<stiewe@rowl.de> rejected RCPT <postmaster@localhost>: reverse DNS failure (sender host name not set)
2026-01-06 20:41:24 H=(eis.intern.lan) [::1] F=<kundenbetreuung@e-wie-einfach.de> rejected RCPT <toerner@toerners.home64.de>: reverse DNS failure (sender host name not set)
2026-01-06 20:41:29 H=(eis.intern.lan) [::1] F=<> rejected RCPT <postmaster>: reverse DNS failure (sender host name not set)
2026-01-06 20:41:29 H=(eis.intern.lan) [::1] F=<kundenbetreuung@e-wie-einfach.de> rejected RCPT <postmaster@localhost>: reverse DNS failure (sender host name not set)

der reverse-dns scheint auch gut auszusehen und denn noch kommen die reverse DNS failure in mainlog vom Mailserver

Code: Alles auswählen

eis # nslookup 172.23.56.254
;; Got recursion not available from 172.23.56.254
254.56.23.172.in-addr.arpa      name = eis.intern.lan.

eis # nslookup eis.intern.lan
;; Got recursion not available from 172.23.56.254
Server:         172.23.56.254
Address:        172.23.56.254#53

Name:   eis.intern.lan
Address: 172.23.56.254

auch scheint mir der traceroute ziemlich lange zu dauern - evtl. kann mal wer nen Vergleich posten

Code: Alles auswählen

eis # traceroute e-wie-einfach.de
traceroute to e-wie-einfach.de (104.18.37.160), 30 hops max, 60 byte packets
 1  1900EF.intern.lan (172.23.56.1)  0.936 ms  0.922 ms  0.942 ms
 2  fritz.box (192.168.178.1)  1.487 ms  1.716 ms  1.839 ms
 3  * * *
 4  80.69.102.58 (80.69.102.58)  16.902 ms  16.932 ms  18.678 ms
 5  84.116.191.125 (84.116.191.125)  28.703 ms  28.697 ms  28.691 ms
 6  84.116.190.34 (84.116.190.34)  23.426 ms  21.728 ms  21.815 ms
 7  162.158.84.8 (162.158.84.8)  22.692 ms  22.680 ms  26.470 ms
 8  162.158.84.1 (162.158.84.1)  32.824 ms  37.789 ms  37.921 ms
 9  162.158.84.187 (162.158.84.187)  19.498 ms 162.158.84.53 (162.158.84.53)  18.321 ms 162.158.84.111 (162.158.84.111)  21.652 ms
10  104.18.37.160 (104.18.37.160)  18.281 ms  18.254 ms  20.199 ms

[Hagen2000]

Der traceroute schaut doch okay aus, was stört Dich daran?
Wenn er zwischenzeitlich "hängt", dann einfach mal mit Option -n aufrufen (keine Namensauflösung durchführen).

[Hagen2000]

der reverse-dns scheint auch gut auszusehen

Dir ist schon klar, dass der Reverse-DNS-Eintrag auf eine private IP-Adresse auflöst (172.23.56.254 liegt im Netz 172.16.0.0/16), den ein anderer Server im Internet zum einen nicht ermitteln kann und zum anderen könnte dieser mit der privaten IP-Adresse überhaupt nichts anfangen?
An einem normalen Internetanschluss (ohne feste IP-Adressen) einen Mailserver zu betreiben wird m. E. nicht funktionieren.

Zu deinem Eingangspost:
Du müsstest erst einmal einen Lösungsweg skizzieren.
Beispiel: Geht man mal von einem Mobilgerät aus, dass sich per DHCP in deinem Netz einbucht, dann sollte es von deinem DHCP-Server die IP-Adresse deines Adguard-DNS-Servers mitgeteilt bekommen. Auf diesem müsstest Du wiederum ein Split-DNS konfigurieren, um Anfragen an deine eigene Domain an den LANCOM-Router weiterzuleiten. Darüber hinaus müsstest Du dir auch noch Gedanken über Firewall-Regeln machen, die verhindern, dass ein Client an deinem Adguard-DNS vorbei einfach direkt DNS-Server im Internet verwendet. Daraus ergeben sich dann die Einstellungen, die Du im LANCOM-Router vornehmen musst.

[Badmage]

Der traceroute schaut doch okay aus, was stört Dich daran?
Wenn er zwischenzeitlich "hängt", dann einfach mal mit Option -n aufrufen (keine Namensauflösung durchführen).

zum einen der dritte Eintrag läuft doch in einen time out oder nicht?
und ich finde die Dauer des Aufrufs dauert ziemlich lang ...

Sehen die Zeiten bei Dir ähnlich aus? Ich habe leider momentan keinen Vergleich.

[Badmage]

der reverse-dns scheint auch gut auszusehen

Dir ist schon klar, dass der Reverse-DNS-Eintrag auf eine private IP-Adresse auflöst (172.23.56.254 liegt im Netz 172.16.0.0/16), den ein anderer Server im Internet zum einen nicht ermitteln kann und zum anderen könnte dieser mit der privaten IP-Adresse überhaupt nichts anfangen?
An einem normalen Internetanschluss (ohne feste IP-Adressen) einen Mailserver zu betreiben wird m. E. nicht funktionieren.

Zu deinem Eingangspost:
Du müsstest erst einmal einen Lösungsweg skizzieren.
Beispiel: Geht man mal von einem Mobilgerät aus, dass sich per DHCP in deinem Netz einbucht, dann sollte es von deinem DHCP-Server die IP-Adresse deines Adguard-DNS-Servers mitgeteilt bekommen. Auf diesem müsstest Du wiederum ein Split-DNS konfigurieren, um Anfragen an deine eigene Domain an den LANCOM-Router weiterzuleiten. Darüber hinaus müsstest Du dir auch noch Gedanken über Firewall-Regeln machen, die verhindern, dass ein Client an deinem Adguard-DNS vorbei einfach direkt DNS-Server im Internet verwendet. Daraus ergeben sich dann die Einstellungen, die Du im LANCOM-Router vornehmen musst.

das mit dem Mailausgangsserver habe ich schon wieder begraben, das habe ich mittlerweile auch verstanden.
Mail bekommen hingegen würde funktionieren - mit dem entsprechenden MX-Eintrag. Aber darum geht es mir erstmal nicht.
Der Auszug aus dem log ist von meinem internen Mailserver. So wie ich das momentan verstehe holt fetchmail die mails von gmx ab und der mailserver versucht dann per exim/smtp die Mails auf die lokalen User zu verteilen. Wenn Mails auf dem Server von irgendwelchen Diensten erzeugt werden klappt das auch. Auch die folgenden Befehle auf der console des eisfairs liefert in den entsprechenden lokalen Konten die Mails ab. Eben leider nur nicht die von extern (gmx) kommen

Code: Alles auswählen

echo test | sendmail postmaster@localhost
echo test2 | sendmail name@intern.lan

Ich hatte vorher eine andere dyndns mit mail-gateway - da hat alles problemlos über mehrere Jahre funktioniert, evtl. war nicht alles korrekt konfiguriert, das kann ich nicht ausschließen - evtl. war es auch Glück. Aber es hat funktioniert. Deshalb musste ich den dyndns Anbieter wechseln und dort gibt es (für mich nicht sichtbar) kein mail-gateway. Was mich überhaupt erst veranlasst hat mich mit dem Thema zu beschäftigen

Zurück zum Thema.

auf dem adguard kann ich upstream Server definieren - dort ist der lancom als upstream und auch die "[/in-addr.arpa/]172.23.56.1" konfigueriert.
Firewall Regeln um andere DNS zu verhindern würde ich auf später verschieben wollen.

Mein Hauptproblem ist zuallererst das ich wieder Emails von gmx mit dem Server empfangen kann.
Und ich verstehe nicht, warum die mit der genannten Fehlermeldung (reverse DNS failure) nicht zugestellt werden können

Vielen Dank & viele Grüße

[Hagen2000]

Sehen die Zeiten bei Dir ähnlich aus? Ich habe leider momentan keinen Vergleich.

Je nach verwendeter Maschine liege ich so zwischen 11 und 14 ms - die letzten Hops sind identisch (bei IPv4).
Nicht jedes System antwortet auf pings, daher kommen bei Dir die Sternchen / Timeouts.

Bis zu deinem Post hatte ich von eisfair noch nie gehört, da kann ich dir nicht wirklich helfen.
Irgendetwas mit dem Zusammenspiel zwischen fetchmail und deinem Mailserver scheint nicht zu klappen.

[Hagen2000]

Wo spielt eigentlich der fetchmail rein?
Du hast ja einen MX-Eintrag für toerners.home64.de, da müsstest Du doch die E-Mails direkt bekommen?
Ist der Servername deines eigenen Mailservers korrekt aufgesetzt?

[Badmage]

fetchmail / exim/smtp ist alles auf einer Kiste.
Und es hat auch alles funktioniert solange der dyndns und das mail-relay beim gleichen Anbieter waren.
Das hat auch mal gekalppt also Mails zu bekommen auf toerners.home64.de - aber das ist im Moment nicht mein Problem.
Mein Problem ist per fetchmail emails von gmx abzuholen und die den lokale usern Beispiel user@intern.lan zur Verfügung zu stellen.

Die Konten sind eingerichtet und wie gesagt das hat alles auch jahrelang funktioniert - nur jetzt bekomme ich reverse DNS failure und ich weiß nicht warum, weil - was hat das abholen von den Mails bei gmx mit meiner domain oder meinem records zu tun

selbst wenn ich mir nun eine email schicke z.B. von gmail an user@toerners.home64.de wird diese geblockt mit:

550 Client host rejected: reverse DNS failure-1