OPNsense Forum
International Forums => German - Deutsch => Topic started by: Emma2 on January 04, 2022, 11:47:38 am
-
Irgendwo habe ich eine Wissens- oder Verständnis-Lücke und weiß sie gerade nicht zu füllen...
Ich habe zwei Standorte DE und SE, jeweils mit einer opnSense und einem iRedmail auf Ubuntu dahinter. Das funktioniert(e) so weit ganz gut, aber da der Standort SE nur eine dynamische IP hat, gab es mit dem Senden von dort öfters mal Probleme (z.B. akzeptiert GMX Mails von dort gar nicht). Ich habe deshalb den kompletten zweiten Server von SE nach DE portiert und die DNS-Einträge entsprechend geändert. Nun aber kann ich vom portierten Server zwar noch Senden, empfange dort aber keine Mails mehr.
Wenn ich vom funktionierenden Server sende, erhält der Absender die Nachricht "loops back to myself". wenn ich von GMX aus sende, erhalte ich ein "SMTP error from remote server for RCPT TO command, host: MYURL (MYIP reason: 554 5.7.1 <MYADDRESS>: Relay access denied"
Die Roundcube-URL dieses Servers ist erreichbar, und ich weiß nicht so richtig, was ich noch einstellen muss. Kann oder muss ich im HAProxy eine Regel für den MX-Eintrag machen? Das habe ich aber für den bisherigen Server auch nicht gemacht. Mein Problem ist wohl, dass ich nicht weiß, wie eine Mail/SMTP an der opnSense "ankommt". Andererseits funktioniert es mit dem bisherigen Server ja weiterhin.
Ich hoffe, die Frage ist hier nicht völlig falsch, aber da ich am Server nichts geändert habe (außer seiner internen IP natürlich), vermute ich den Fehler in meiner opnSense/HAProxy-Konfiguration und freue mich über jeden Tipp.
-
Ja, mit ein bisschen Nachdenken muss es an den Einstellungen meines HAProxy liegen: Wie soll der wissen, auf welchen Server er weiterleiten soll, wenn ich es ihm nicht sage... Bleibt also die Frage: Wie erstelle ich eine Regel für eine "MX-Anfrage"?
-
... aber was mich gerade verwirrt hat: Wie kann es denn jetzt überhaupt funktionieren (mit nur einem Mail-Server), wenn ich bisher noch gar keine passenden Einträge in meinem HAProxy habe?
Ok, das sehe ich jetzt, denn ich habe eingehende Regeln u.a. für den Port 25. Aber kann ich das irgendwie "aufteilen"?
... und wer schlägt überhaupt zuerst zu? Die Firewall-Regel oder der HAProxy?
Wenn es mir hier an Grundlagen fehlt, hilft mir auch ein Lesetipp! Danke im Voraus!
-
Das dürfte mit dem HAproxy nicht gehen.
https://docs.opnsense.org/manual/how-tos/mailgateway.html
Das könnte die Lösung sein.
-
Danke... aber ich befürchte, das geht über meinen (aktuellen) opnSense-Horizont. Da ist es vermutlich einfacher, wenn ich den einen der beiden Mailserver einmotte und die auf ihm lebende Domain lieber auf den anderen umziehe... :(
-
Domain umziehen war auch mein erster Gedanke. Solange es keine Gründe für zwei Server gibt ist das bestimmt die bessere Möglichkeit. Eine Maschine weniger die geflegt werden muss.
-
Ja, das werde ich wohl machen. Ich hätte - als Weiterbildung - gern gewusst, wie es funktioniert... aber wenn ich nun weiß, dass es nicht (oder nicht mit vertretbarem Aufwand) funktioniert, habe ich ja auch schon was gelernt ;-) Danke!
-
Ach, Mensch... jetzt scheine ich mich aber irgendwie blöd anzustellen:
Ich habe auf dem (funktionierenden) Mailserver B die umzuziehende Domäne eingetragen und einen User erzeugt. Dann habe ich die HAProxy-Einträge, die bisher auf den anderen (stillzulegenden) Mailserver B zeigten umgebogen (konkret: neues Zertifikat für beide Domänen, anderen Realen Server im Backend-Pool eingetragen) - aber es ändert sich nichts!? Ich habe sogar den Realen Server des bisherigen (stillzulegenden) Mailservers B deaktiviert - aber dennoch komme ich mit Roundcube und Sogo immer noch dorthin und nicht auf den "neuen" Server A. wenn ich den alten abschalte, komme ich nirgendwo hin. Mit anderen Worten: Es gelingt mir gerade nicht, die Einträge von Server B (der abgeschaltet werden soll) auf Server A (der läuft und weiterlaufen soll) umzubiegen. In meiner Verzweiflung habe ich sogar nicht nur den HAProxy, sondern die ganze opnSense neu gestartet, aber ohne Wirkung.
Gibt es eine Vermutung, was ich vergessen haben könnte?
-
Jetzt bin ich völlig "strubbelig"... :(
Ich kann am HAProxy "nichts ändern": Da ja alle drei Domänen nun auf den selben Server zeigen, habe ich die Regeln und Backendpools im HAProxy zusammengefasst.
Es gibt jetzt drei Bedingungen, aber alle werden per ODER in einer Regel erfasst, und es gibt entsprechend nur noch einen Backendpool. Die anderen Pools sind sogar gelöscht! Wenn ich aber den HAProxy neu starte, dann stehen im Protokoll immer noch die drei alten Backend-Pools als gestartet - und das, obwohl ich auf jeder einzelnen Seite nach den Änderungen "Anwenden" geklickt habe. Wo habe ich mich denn jetzt bloß verirrt?
-
Nun ich denke ein Mailgateway wird mit HAproxy nicht gehen.
Webinterfaces welche via HTTP arbeiten kann man darüber routen. SMTP nur weiterleiten. Auch an zwei zum Loadbalance.
Der Haproxy müsste für eine mailweiche wie ein MTA sein. Das isser aber nicht.
-
Ja, ok, das habe ich ja schon eingesehen, und deshalb habe ich alle Domänen auf einem Server.
Das erklärt doch aber in keiner Weise, wieso - selbst nach einem Neustart der gesamten opnSense - im Protokoll des HAProxy steht, dass er die drei Backend-Pools gestartet hat, die ich schon lange gelöscht habe, und die auch in seinen Einstellungen gar nicht mehr auftauchen. Wie kann das denn bloß sein?
-
Theoretisch sind die Mail plugins in den nginx rein kompiliert aber nicht im plugin verfügbar. Damit könntest du ne Mail weiche in Deutschland machen und über VPN die Verbindung mit Schweden weiterleiten. Da musst du aber ein kurzes Skript schreiben.
-
Ok, danke.
Was mich aktuell jedoch beunruhigt, ist die Tatsache, dass auch jetzt, nach einer ganzen Nacht, beim Neustart der HAProxy meldet, er hätte die drei (gelöschten!) Backend-pool gestartet. Wie kann das sein. Wo müsste das stehen?