OPNsense Forum
International Forums => German - Deutsch => Topic started by: bensommer on December 08, 2018, 11:36:35 am
-
Moin
Ich experimentiere gerade mit dem Proxmox Relay gateway und meinem USC Server. Der Empfang funktioniert gut und das GW arbeitet perfekt. Jetzt möchte ich gerne, ohne den Mailserver zu konfigurieren, den Port 25 beim Senden über den Port 26 in die DMZ zum PMG leiten. All meine Überlegungen und Versuche senden leider immer direkt über 25 raus.
In:
Inet- DMZ(PMG)-Lan(UCS)
Ein Tip wäre schön :)
Grüße aus Berlin
Ben
-
Ich versteh nicht was 26 da soll? Du machst ein port forward von WAN 25 auf den Host in DMZ mit 25. Und der DMZ host braucht doch nur einen Accept in Richtung LAN?
-
Das smtp relay empfängt auf WAN mit Port 25 und steht in der DMZ. Weiterleiten tut das Mailgateway auf Port 26.
Jetzt würde ich gerne meinen Mailserver in dem LAN auf 25 lassen. Daher meine Idee, die FW so zu konfigurieren, dass der Mailserver auf 25 sendet das in der FW aber auf die DMZ Adresse mit Port 26 geleitet wird, da das MailGateway auch den ausgehenden Verkehr filtern soll, genauso in die andere Richtung, DMZ Port 26 im Lan auf die feste IP mit Port 25
Gruß Ben
-
Kannst du zu jedem System noch IPs schreiben? Ich checks nicht
-
Das System sieht so aus:
Wan (P25) -> DMZ (Proxmox Mailgateway P25 in) 192.168.20.254
DMZ (Proxmox Mailgateway P26 out) 192.168.20.254 -> Lan (Mailserver) 192.168.20.90
Jetzt könnte ich dem Mailserver sagen, er soll auf P26 lauschen, was ich aber nicht machen wollte, daher soll der aus der DMZ kommende Port 26 für smtp auf Port 25 umgeschrieben werden, damit der Mailserver die gefilterten mails bekommt. Also DMZ 192.168.30.254:26 -> Lan 192.168.20.90:25
Genauso soll es in die andere Richtung gehen, wenn der Mailserver 192.168.20.90:25 soll es an 192.168.30.254:26 gehen, damit der ausgehende Verkehr auch gefiltert wird.
Ich hoffe es ist etwas verständlicher :)
Gruß Ben
-
Nein, ist es leider nicht.
WAN IP Firewall:
LAN IP Firewall:
DMZ IP Firewall:
Proxmox MG IP:
Mailserver IP:
Bitte ausfüllen :)
-
WAN IP Firewall: QSC mit 87.x.x.x
LAN IP Firewall: 192.168.20.199
DMZ IP Firewall: 192.168.30.199
Proxmox MG IP: 192.168.30.254 (vom Wan empfängt es über 25 und leitet über 26 an das Lan weiter)
Mailserver IP: 192.168.20.90 (Kennt nur Port 25)
Ich hoffe es erleuchtet :)
Einen schönen 3 Advent
Gruß Ben
-
Also ich versuch es mal zu verstehen, würde mal sagen du brauchst 2 DNAT regeln, wenn es so in etwa dem entspricht, was ich verstanden habe.
-
Moin
ja mit zwei Regeln bin ich einverstanden, ich denke die von der DMZ ins LAN läuft auch, mails kommen ja an :) nur bei dem Rückweg stehe ich auf dem Schlauch.
Gruß Ben
-
Wenn du mails schreiben willst, machst du das über den mailserver und bindest den filter über das Milter-Protokoll an.
-> https://en.wikipedia.org/wiki/Milter
-
Wenn der Proxmox an den Mailserver sendet .. wieso braucht er da Port 26? Hören tut er auf 25, wenn er sendet nimmt er irgendeinen über 1024 und der Empfängerport ist 25 vom Mailserver. Und wenn der Mailserver an den Proxmox schickt dann geht das auch an Port 25.
Entweder machst du es dir kompliziert und hast nen Denkfehler oder ich steh total aufm Schlauch, aber ehrlich gesagt hab ich sowas noch nie gelesen ..
-
Nabend, ich verstehe es so.
WAN IP Firewall: QSC mit 87.x.x.x
LAN IP Firewall: 192.168.20.199
DMZ IP Firewall: 192.168.30.199
Proxmox MG IP: 192.168.30.254 (vom Wan empfängt es über 25 und leitet über 25 an den Mailserver
(LAN) weiter, intern horcht die PMG zusätzlich auf Port 26)
Mailserver IP: 192.168.20.90 (horcht auf Port 25) und leitet externe Mails ... über Port 26 der PMG. (als Relay) ins Internet weiter.
Also für mich LAN --> DMZ NAT 192.168.30.254:25 auf 192.168.30.254:26. Da du ja an deinem internen Mailserver nichts verändert möchtest.
Gruß Andreas
-
Moin
diese Regel hatte ich auch so umgesetzt und es funktioniert, ich bekomme nur die andere Richtung nicht hin. Wenn ich über 192.168.20.98:25 sende kommt es leider nicht bei 192.168.30.254:26 an, daher versende ich im Moment nicht über das PMG, sondern direkt.
Vielleicht hat dazu jemand eine Idee :)
Gruß Ben
-
Und dein Mailserver, wenn er ausgehend an PMG schickt hat welche IP und welchen Port hinterlegt?
-
@mimugmail -> vielleicht ausgehend sowas wie dein smart host feature?
-
Hinterlegt nichts, hat halt die interne IP und sendet über 25 in die weite Welt, nun wollte ich mit einer Firewall Regel, die 192.168.20.90:25 beim Senden in die DMZ auf die 192.168.30.265:26 leiten, da das GW beim Senden und Empfangen mails filtern kann. Sozusagen Quelle der mailserver im Lan, Ziel PMG in der DMZ mit Port 26. Also den Mailserver in der Konfiguration nicht anfassen,
Gruß Ben
-
Du kannst ein DNAT im Lan machen, dass Quell IP Mailserver and Internet / TCP/25 auf das Gateway umleitet.
-
Moin
ich hatte die Lösung gefunden und sie war so einfach, normalerweise hören jetzt die Antworten auf :)
Ich hatte zu kompliziert gedacht, im Linux mailserver habe ich lediglich ein relay angelegt, das auf die ip:26 des Proxmox zeigte. Dann nur noch Lan erlauben auf die IP von Proxmox in der DMZ zuzugreifebn zuzugreifen und es lief.
Grüße aus Berlin
Ben