Virtual IP und Postfix

Started by lecmich, June 21, 2022, 03:49:44 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 21, 2022, 03:49:44 PM Last Edit: June 21, 2022, 10:24:27 PM by lecmich
Hallo zusammen,

nach langer Zeit der stillen Teilnahme muss ich mich nun doch zu meinem ersten Forumspost quälen  ::)

Unser Anbieter MK-Netzdienste versorgt uns mit einer MK-Interconnect VDSL Leitung incl. Virtueller IP Adressen

Das Gateway XX.XX.XXX.153 und die Virtuellen IPs  XX.XX.XXX.154- 158 stehen zur Verwendung

Aktuell kommt für diese Leitung noch eine Lancom UF200 zum Einsatz, darüber läuft eigentlich nur noch SMTP Traffic.

Nun wollen wir für diese Leitung auch eine OPNSense einsetzen und haben dafür  die Firewall soweit Grundlegend konfiguriert. Daran angebunden sind auch zwei weitere 1&1 VDSL Leitungen.

Die Schnittstelle für die Leitung (WAN_MKINTERCONNECT) wurde soweit konfiguriert das diese statisches IPv4 nutzt
IP: XX.XX.XXX.154/29
Hier habe ich auch zusätzlich das Gateway angelegt (XX.XX.XXX.153/29), aber auf Auto-detect gelassen.

Unter Virtuelle IPs wurden dann die XX.XX.XXX.154/29 - XX.XX.XXX.158/29 als IP Alias angelegt.

Soweit, so gut.
Schließe ich nun das Lankabel der Leitung an, sehe auch im Firewall Log eingehenden Traffic der durch die Standardregeln geblockt wird.

Das Ziel wäre nun das der SMTP Traffic der IP XX.XX.XXX.154/29 akzeptiert und an den Mailserver weitergeleitet wird.
Hierzu habe ich mir Posfix installiert und konfiguriert.
Als nächstes habe ich in den Firewall Regeln unter WAN_MKINTERCONNECT eine Regel erstellt die SMTP Traffic zulässt.         (IPv4 TCP/UDP   *   *   *   25 (SMTP)   *   *   SMTP MK Connect)

Nun sollte eigentlich nach meinem Verständnis die kommunikation mit dem Postfix auch schon funktionieren, jedoch erscheinen im Postfix Log keine Meldungen. Auch via Telnet auf die XX.XX.XXX.154 bekomme ich keine Verbindung.

Schaue ich mir das Firewall Log für den Port 25 allerdings an wird hier nichts geblock, der Traffic wird erlaubt verschwindet aber scheinbar im Nirgendwo

Um die Konfiguration zu testen habe ich das ganze anschließend mal über die beiden 1und1 Leitungen versucht.
Hier wurden die Mails erfolgreich zugestellt...

Nach Stundenlangem herumtesten hoffe ich nun hier erlöst zu werden   :'(
Hat jemand eine Idee wo ich scheitere?


LG

Michael
June 21, 2022, 04:06:56 PM #1 Last Edit: June 21, 2022, 04:21:21 PM by wedge1001
Irgendwas passt mit deinen Netzten und IP-Adressen nicht.

das /29 Netz mit der 63 wäre von
.56 bis .63, wobei .63 die Broadcast-IP ist. (im übrigen auch bei /28 und /27 und /26)

das nächste Netz beginnt dann entsprechend bei .64 - d.h. aber auch, dass du auf die .64 keinen host legen kannst;
Die eigentlichen hosts liegen dann bei 65-70 mit broadcast bei der 71.

Entweder passt dein /29 nicht oder dein Anbieter hat dir jeweils /32 Adressen gegeben (oder die gehören in ein /25 oder größeres Netz) Was ist denn der Gateway, den dir dein Anbieter mitgeteilt hat?

Benutzt ihr PPPoE oder habt ihr da noch einen Router davor? Ich nehme mal nicht an, dass da direktes Ethernet aus der Wand fällt, oder? Bei PPPoE sollte dir für das WAN zumindest die Haupt-IP  (1. IP-Adresse) zugewiesen werden. Ob die per PPPoE übertragenen extra-IP-Adressen automatisch konfiguriert werden, weiß ich nicht - aber im Zweifel hast du da ja dann die IP-Aliase :)


edit
laut bgp.he befindest du dich im Netzwerk 213.172.96.0/19
und laut routing-table sind die IPs zwischen 56 und 63 nicht speziell zuweisen. Es gibt dann aber das /29 ab 64.
June 21, 2022, 04:20:44 PM #2
Sorry da hab ich wohl einen Zahlendreher beim verschleiern der echten IP Adresse gehabt ;)
Da hast du natürlich recht.

Die Verbindung wird über einen Draytek Router und ein Mikrotik Routerboard hergestellt. An den Mikrotik Router Board hängt dann die Opnsense an der Ethernet-Schnittstelle mit der Statischen IP
June 21, 2022, 04:24:59 PM #3
Ich hab die IPs gerade nochmal in die echten abgeändert, da das aktuell glaub ich einfacher ist ;)
June 21, 2022, 04:28:06 PM #4 Last Edit: June 21, 2022, 04:42:01 PM by wedge1001
ah!
merke bei so was, immer die letzten Zahlen gleich lassen ^^

okay.
also noch mal, damit ich das richtig verstanden habe

Draytek Router (als Modem) an Mikrotik Router (als Router mit PPPoE)?
Das heißt dann aber auch, dass dein Mikrotik die IPs zugewiesen bekommt / oder dein Draytek, wenn er als Router arbeitet.
Das wäre dann double-NAT was du für deine LAN-Systeme hinten dran machen müsstest - und das ist böse :/
Code Select

    |
    |
    |
.----------.
| Draytek |
`----------'
    |
    | PPPoE Internet (/29 Netz)
    |
.----------.
| Mikrotik  |
`----------'
    |
    |  Irgend ein LAN, mit IPs, die hier fehlen?
    |
.----------.
| OPNsense |
`----------'



Damit der Zugang geht, wie du es haben möchtest, müsstest du die OPNSense an den Draytek Stecken und den Draytek als Modem konfigurieren - so dass die OPNSense die Verbindung aufbaut.

Ansonsten enden alle IP-Adressen auf deinem Mikrotik und müssen dort per 1:1 NAT weiter gegeben werden (oder etwas ähnliches).


edit
ah! ihr gebt im Mikrotik routerboard die IPs an die Schnittstelle weiter!
Wie ist der Mikrotik genau konfiguriert? Nimmt der die anderen IPs auf der selben Schnittstelle? Das ist ja das, was du da gerade auch versuchst? Wenn ja, wie unterscheidet der Mikrotik das welche IP wohin muss? Jeweils eine eigene IP, oder per VLAN? oder ... tja, gute Frage, was man bei dem mikrotik alles noch einstellen kann ^^'

die Frage ist: braucht ihr das routerBOARD dringend? Mir fällt spontan nichts ein, was über die OPNSense nicht auch machbar ist - zumindest auf IP-Basis.  Wenn nicht, je weniger Geräte, desto besser :)
June 21, 2022, 04:39:55 PM #5 Last Edit: June 21, 2022, 10:25:07 PM by lecmich
Auf die beiden teile habe ich leider keinen Zugriff.
Die kamen schon vor konfiguriert. Darauf hab ich keinen Zugriff

Damals wurde mir gesagt das ich die Ethernet Adresse an der Firewall welche mit dem Mikrotik Routerboard verbunden ist mit der XX.XX.XXX.154 konfigurieren soll. Anschließend nur noch die Virtuellen IP/s der Ethernetkarte zuweisen und fertig.

Bei der Gateprotect hat das auch soweit geklappt. Dort konnte ich dann die einzelnen Dienste (z.B. XX.XX.XXX.153 SMTP via NAT an den Exchange, XX.XX.XXX.153 HTTP an Webserver, usw..., leiten)

Daher war mein Gedanke die Netwerkkarte an der Opnsense zu konfigurieren und anschließend die WAN Regeln anzulegen. Der Postfix und Haproxy sollten dann den Rest machen  :-\
June 21, 2022, 05:03:18 PM #6
ah, das ist ärgerlich - dann vergiss meinen edit...

und ahhh!
hast du bei den alias-en den Gateway auch eingetragen - also beim Anlegen? Es gab mal einen "Bug", wenn ich mich richtig erinnere, bei dem das interface gespackt hat, wenn man am WAN-Interface-Alias ein 2. mal den Gateway eingetragen hat.

Meine alias-IPs sind alle ohne speziellen Gateway angelegt - das scheint bei mir zu gehen;
Da die bei dir auch im selben Subnetz sind müsste die passende route eh schon da sein
June 21, 2022, 08:24:38 PM #7
Der Support vom Anbieter hat die Vermutung das es am Outbound NAT liegt.
Daher werde ich morgen mal ohne Postfix mit folgender Anleitung versuchen:
https://techlabs.blog/categories/how-to-guides/set-up-nat-port-forwarding-with-outbound-nat-in-opnsense
June 22, 2022, 08:59:01 AM #8
oh! daran hab ich gar nicht mehr gedacht - da ich das bei mir ausgeschaltet habe ^^''

ja, daran kann es auch liegen.
June 25, 2022, 09:12:14 AM #9
Das war natürlich auch nicht die Ursache.
Ich habe mich nun nach unzähligen Stunden dazu entschieden mir am Montag einen alten HP D120 zu schnappen und da parallel nochmal eine Neu Installation durchzuführen und dann darauf nur die MK-Leitung und LAN zu hängen. Ggf. ist einfach irgendwas mit der Multi WAN Konfiguration komplett verkehrt.
June 30, 2022, 08:23:51 PM #10
Sollte mal jemand dasselbe Problem haben, ich habe die Schnittstelle und das Gateway nochmal von vorne angelegt nun klappts.

https://docs.opnsense.org/manual/how-tos/multiwan.html
Print
Go Up Pages1
User actions