Hallo,
ich habe ein statisches 28er-Netz von Vodafone. In meinem Intranet befinden sich zwei Synology NAS, ein MailPlus-Server läuft dabei in einer HA-Konfiguration über eine bestimmte IP-Adresse aus dem Intranet. Diese lokale Adresse für das Cluster habe ich auf eine statische IP mit policy basiertem NAT umgesetzt. Die benötigten Ports habe ich dann auf diese WAN-Adresse maskiert. Auch die beiden Synology NAS habe ich mit einem policy basiertem NAT für andere Zwecke auf jeweils eine der externen IPs umgesetzt.
Folgendes Problem: Obwohl ich (vermeintlich) SMTP nach außen nur an die entsprechende Intranet-Adresse bzw. deren per NAT zugewiesene externe IP erlaube, für die dann auch ein PTR Record besteht, sendet der Mail-Server zeitweise (d.h. zu oft) auch über die IPs des Fallback-NAS, was dann für einen SPF-Fehler sorgt.
Was mache ich falsch?
Wie kann man die Nutzung von SMTP aus dem Intranet ins WAN so einschränken, dass dies nur über die entsprechende WAN-IP geschieht?
Oder ist das Problem eher beim Mail-Server zu suchen? Den zugrunde liegenden Postfix habe ich bereits mit smtp_bind_address bereits dazu angewiesen, leider ohne Erfolg.
Wie kann ich das Problem lösen?
Danke vorab für eure Hilfe!
Viele Grüße
Georg
SMTP out nur von bestimmter Intranet-Adresse
Moderator: Lancom-Systems Moderatoren
Re: SMTP out nur von bestimmter Intranet-Adresse
DMZ und öffentliche IP auf dem Mailserver oder macht der Lancom für diesen Anwendungsfall NAT? Falls öffentliche und interne IP auf dem Mailserver mal die Default-Routen auf dem Server prüfen.
Falls der Lancom das macht: Firewall-Eintrag 'Erkenne Port 25, 465, 587 als Ziel' der einen Routing-Tag hinzufügt. Dieser Routing-Tag dann auf die entsprechende Schnittstelle.
Falls der Lancom das macht: Firewall-Eintrag 'Erkenne Port 25, 465, 587 als Ziel' der einen Routing-Tag hinzufügt. Dieser Routing-Tag dann auf die entsprechende Schnittstelle.
Re: SMTP out nur von bestimmter Intranet-Adresse
Hi Tobias,
danke für die schnelle Antwort.
Wir würden die NAS zwecks weiteren Zugriffen aus dem lokalen Netz ungern ins DMZ stellen.
Router ist der 1780EW-4G+ mit nur einer WAN bzw. LAN-Schnittstelle.
Funktioniert das auch?
Das mit dem Routing-Tag funktioniert nicht bzw. verstehe ich wohl nicht richtig.
Viele Grüße
Georg
danke für die schnelle Antwort.
Wir würden die NAS zwecks weiteren Zugriffen aus dem lokalen Netz ungern ins DMZ stellen.
Router ist der 1780EW-4G+ mit nur einer WAN bzw. LAN-Schnittstelle.
Funktioniert das auch?
Das mit dem Routing-Tag funktioniert nicht bzw. verstehe ich wohl nicht richtig.
Viele Grüße
Georg
Re: SMTP out nur von bestimmter Intranet-Adresse
Ach verstehe, du willst nicht den Internetzugang, sondern eine von mehreren IP-Adressen auswählen. Dann ist Routing-Tag natürlich falsch.
Die Idee der DMZ ist doch gerade, dass man sowohl vom Internet als auch vom Intranet auf das Gerät zugreifen kann.
Die Idee der DMZ ist doch gerade, dass man sowohl vom Internet als auch vom Intranet auf das Gerät zugreifen kann.
Re: SMTP out nur von bestimmter Intranet-Adresse
Aber dann bekommen die Synology NAS doch jeweils eine der öffentlichen IPs als Adresse und das wäre problematisch.
Oder verstehe ich wieder etwas falsch?
Oder verstehe ich wieder etwas falsch?
Re: SMTP out nur von bestimmter Intranet-Adresse
Mehrere IP Adressen = mehrere Geräte. Aus dem selben Subnetz mehrere IP Adressen auf einem Gerät (so wie du das gerade auf dem Lancom machst) ist idr. nicht sinnvoll. Worin besteht jetzt das Problem, wenn die Synology eine externe, statt oder zusätzlich zur internen IP hat?
Die Firewall bleibt ja trotzdem aktiv.
Die Firewall bleibt ja trotzdem aktiv.
Re: SMTP out nur von bestimmter Intranet-Adresse
Folgende Anleitung kennst du? https://www.lancom-systems.de/docs/LCOS ... ample.html
Statt dort als Quelle eine IP (also das NAS) auszuwählen, kann man sicherlich auch den ZIEL!!! Port auswählen.
Statt dort als Quelle eine IP (also das NAS) auszuwählen, kann man sicherlich auch den ZIEL!!! Port auswählen.
Re: SMTP out nur von bestimmter Intranet-Adresse
Hi Tobias,
nach der Anleitung habe ich die externe IP auf die interne Cluster-IP verwiesen.
Vielleicht wird es mit der Skizze klarer. Das lokale Netz ist ein einziges derzeit.
Soll: SMTP-Versand nur über externe IP der Mail-Cluster-IP.
Ist: Versand über externe IP der Mail-Cluster-IP, aber auch externe IP2 oder auch externe IP1.
nach der Anleitung habe ich die externe IP auf die interne Cluster-IP verwiesen.
Vielleicht wird es mit der Skizze klarer. Das lokale Netz ist ein einziges derzeit.
Soll: SMTP-Versand nur über externe IP der Mail-Cluster-IP.
Ist: Versand über externe IP der Mail-Cluster-IP, aber auch externe IP2 oder auch externe IP1.
Code: Alles auswählen
+---------------------+ +----------------------+
| Externe IP 1 | | Externe IP 2 |
+---------------------+ +----------------------+
| |
| |
+-----------------+ +------------+ +------------+ +-----------------+
| Lokales Netz |----| NAS 1 |------------------------->| NAS 2 |----| Lokales Netz |
| | +------------+ +------------+ | |
| | | | | |
| | | | | |
| | +------------+ +------------+ | |
| | | Mail-Server| | Mail-Server| | |
| | +------------+ +------------+ | |
| | | | | |
| | |_________ ________| | |
| | | | | |
| | | | | |
| | +----------------------+ | |
| | | Mail-Cluster IP | | |
| | +----------------------+ | |
| | | | |
+-----------------+ | +-----------------+
|
|
+-----------------------------+
| Externe IP für Mail-Cluster |
+-----------------------------+
Re: SMTP out nur von bestimmter Intranet-Adresse
Hi Tobias,
bitte nicht falsch verstehen.
Den beiden Synologys habe ich jeweils per NAT externe IPs zugewiesen (policy basiert), aber das ist ja nicht, was du meinst.
Oder?
So stehen sie ja noch nicht im DMZ!
Viele Grüße
Georg
bitte nicht falsch verstehen.
Den beiden Synologys habe ich jeweils per NAT externe IPs zugewiesen (policy basiert), aber das ist ja nicht, was du meinst.
Oder?
So stehen sie ja noch nicht im DMZ!
Viele Grüße
Georg
Re: SMTP out nur von bestimmter Intranet-Adresse
Hast du denn zusätzlich mit höherer Priorität einen Firewall-Eintrag erstellt, der auf die Zielports matched?
Re: SMTP out nur von bestimmter Intranet-Adresse
Habe ich, aber zum einen scheint das Senden dann nur zeitweise zu klappen.
Ändert man die Richtung, ist das „falsche“ Verhalten wieder da.
Vielleicht ist es auch im LCOS sehr irreführend formuliert?
Ändert man die Richtung, ist das „falsche“ Verhalten wieder da.
Vielleicht ist es auch im LCOS sehr irreführend formuliert?
Re: SMTP out nur von bestimmter Intranet-Adresse
Hast du 'weitere Firewallregeln beachten' aktiviert? Das könnte natürlich zu Fehlern führen.
Re: SMTP out nur von bestimmter Intranet-Adresse
Nein, habe ich nicht. Gerade nochmal geschaut.
Mein Plan ist NAS-Server ---------> (Port 25,465,587) Cluster-IP vom lokalen Mail-Server --------------> externe IP (policy basiert).
Ist der Gedanke falsch?
Mein Plan ist NAS-Server ---------> (Port 25,465,587) Cluster-IP vom lokalen Mail-Server --------------> externe IP (policy basiert).
Ist der Gedanke falsch?
Re: SMTP out nur von bestimmter Intranet-Adresse
So würde ich es auch machen.
Re: SMTP out nur von bestimmter Intranet-Adresse
Bloß beim Umsetzen scheint es bei mir zu hapern... 