E-Mail Server kommuniziert mit falscher IP-Adresse nach außen (Multi Public IP)

Adolar · June 10, 2021, 02:20:06 PM

Hallo liebe Community,

ich habe folgendes Problem:
Mein MailCow E-Mailserver kann an T-Online, GMX oder Web.de keine E-Mail senden.

Fehlermeldung:
Bad DNS PTR resource record

Der PTR record wurde auf die externe IP-Adresse des Mailservers gestellt.

Wenn ich mithilfe von www.mail-tester.com den MailFlow prüfe, wird mir angezeigt, das ich über die falsche IP-Adresse versende und diese in den SPF Record aufgenommen werden muss.

Die IP-Adresse, welche mir angezeigt wird, ist die IP-Adresse meiner WAN1 Schnittstelle.
Der Mailserver wird jedoch über WAN2 (extra public ip-range) und einer dort enthaltenen IP-Adresse gehostet.

Ich habe schon eine NAT Outbound oder 1:1 regel versucht - ohne Erfolg.

Ich bin auch verwundert, warum die IP-Adresse von WAN1 angezeigt wird.
Wenn dann müsste ja die externe IP Adresse von WAN2 angezeigt werden - was auch falsch wäre.

Kann das ganze evtl. mit der CARP konfiguration zu tun haben?
Ich habe WAN1 und WAN2 dort angelegt mit unterscheidlicher vhid aber gleicher freq (base2, skew2)

Hat von euch jemand noch eine Idee?

superwinni2 · June 10, 2021, 02:33:08 PM

Outbound NAT sollte eigentlich das richtige sein.

Was mich oft auf die Palme bringt: Browser Cache

Adolar · June 10, 2021, 03:49:38 PM

Was hat denn der Browsercache damit zu tun?

Hier geht es um Firewall - ich habe 2x public ip ranges welche im cluster auf opnsense betrieben werden und der mailserver mit einer falschen ip nach aussen geht.

lfirewall1243 · June 10, 2021, 04:01:17 PM

Quote from: Adolar on June 10, 2021, 03:49:38 PM
Was hat denn der Browsercache damit zu tun?

Hier geht es um Firewall - ich habe 2x public ip ranges welche im cluster auf opnsense betrieben werden und der mailserver mit einer falschen ip nach aussen geht.

Stichwort PolicyBased Routing.
Hinterleg für deinen Mailtraffic eine Regel mit Gateway und überprüfe auch das Outbound NAT
https://docs.opnsense.org/manual/firewall.html#policy-based-routing

superwinni2 · June 10, 2021, 04:14:41 PM

Quote from: Adolar on June 10, 2021, 03:49:38 PM
Was hat denn der Browsercache damit zu tun?

Hier geht es um Firewall - ich habe 2x public ip ranges welche im cluster auf opnsense betrieben werden und der mailserver mit einer falschen ip nach aussen geht.

Was der BrowserCache damit zu tun hat? Je nachdem wie genau du deine Konfiguration kontrollierst, kann es auch gut sein, dass dein Browser dir keine aktuellen Informationen vorgaukelt.

Falls nicht, dann wie lfirewall1243 geschrieben hat das Gateway fest in der Regel zuordnen und ein passendes Outbound NAT machen.

Adolar · June 11, 2021, 12:15:25 PM

wollte gerade eine Regel anlegen und erhalte die folgende Fehlermeldung:
The following input errors were detected:

Policy based routing (gateway setting) is only supported on inbound rules.

--->> INBOUND hab ich ja kein Problem - ich habe das Problem das OUTBOUND die falsche IP kommuniziert wird.

---------------------

Das Outbound NAT funktioniert auch für die 1. IP-Range ohne Probleme (WAN1 = IP-Range 1)
Nur bei WAN2 funktionieren die Regeln nicht.

Vielleicht habe ich hier auch etwas falsch konfiguriert?
Ich habe ein zusätzliches Netz vom Provider bekommen, welches ein anderes Gateway auch verwendet. Hierfür habe ich eine zusätzliche NIC konfiguriert (WAN2).

superwinni2 · June 11, 2021, 01:08:04 PM

Einfach eine Standard Firewall Regel Anlagen und ganz unten bei "Gateway" das entsprechende Gateway abgeben.
Wenn du in der Regel die Richtung von In zu Out geändert hast, dann ist das falsch :)

Gesendet von meinem OnePlus 8t mit Tapatalk

Adolar · June 11, 2021, 01:18:21 PM

Quote from: superwinni2 on June 11, 2021, 01:08:04 PM
Einfach eine Standard Firewall Regel Anlagen und ganz unten bei "Gateway" das entsprechende Gateway abgeben.
Wenn du in der Regel die Richtung von In zu Out geändert hast, dann ist das falsch :)

Gesendet von meinem OnePlus 8t mit Tapatalk

diese Regel hat leider auch nix bewirkt

JeGr · June 11, 2021, 03:25:08 PM

Wie wäre es statt stochern im Nebel mal deine Regeln (NAT und Firewall) zu posten sowie einen kurzen Plan, was wo wie anliegt und wo dein Mailserver rein- und raus soll und mit welcher IP.

Ohne ordentlich Infos zu sehen, kann man da wirklich nur Raten.

Cheers

lfirewall1243 · June 11, 2021, 03:27:16 PM

Kann auch sein dass der SPF nicht passt, da Exchange Server die lokale IP auch immer in den Header schreiben.
Aber wie JeGr schon schrieb ohne Infos kommt man da nicht weiter

Adolar · June 13, 2021, 12:17:47 PM

Ich habe das Thema nun folgendermaßen gelöst:

Neue Firewall Regeln wurden erstellt:
1. DNS Regel
2. Mailserver über WAN2 (Policy based routing)

Details siehe Anhang

lfirewall1243 · June 13, 2021, 12:19:04 PM

Quote from: Adolar on June 13, 2021, 12:17:47 PM
Ich habe das Thema nun folgendermaßen gelöst:

Neue Firewall Regeln wurden erstellt:
1. DNS Regel
2. Mailserver über WAN2 (Policy based routing)

Details siehe Anhang

Also mit Policy based routing wie oben schon geschrieben :)

E-Mail Server kommuniziert mit falscher IP-Adresse nach außen (Multi Public IP)

Adolar

June 10, 2021, 02:20:06 PM

superwinni2

June 10, 2021, 02:33:08 PM #1

Adolar

June 10, 2021, 03:49:38 PM #2

lfirewall1243

June 10, 2021, 04:01:17 PM #3

superwinni2

June 10, 2021, 04:14:41 PM #4

Adolar

June 11, 2021, 12:15:25 PM #5

superwinni2

June 11, 2021, 01:08:04 PM #6

Adolar

June 11, 2021, 01:18:21 PM #7

JeGr

June 11, 2021, 03:25:08 PM #8

lfirewall1243

June 11, 2021, 03:27:16 PM #9

Adolar

June 13, 2021, 12:17:47 PM #10

lfirewall1243

June 13, 2021, 12:19:04 PM #11