Port 25 wird nicht durchgereicht trotz NAT in OPNSense

Started by nbrg_kr, March 28, 2025, 04:07:20 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 28, 2025, 04:07:20 PM
Hallo und guten Tag,

wir haben eine OPNSense Appliance (750) mit Subscription hier bei uns.

Auf einem Hypervisor laufen 4 Server, davon 2 mit MS und 2 mit Linux.

AD DC und ERP Lösung auf den Windows Maschinen mit 2 Port Weiterleitungen für ERP Apps die meine Aussendienstler brauchen. Läuft alles.

Meine "Büromenschen" habe zum Teil Homeoffe und loggen sich per FB Wireguard in unser Netz, Rules für Protokolle sind gesetzt. Läuft alles.

Auf den beiden Linux VM´s laufen einmal Mailcow und einmal Nextcloud. Caddy läft ebenfalls als reverse proxy. Certs und Zugriffe per http/https läuft auch alles wunderbar.

Die Mailcow Maschine holt auch ihre eigenen Certs (ist in Caddy entsprechend hinterlegt) sonst klappt der Zugriff per IMAPs und TLS nicht vernünftig. Die Ports 587 und 993 sind genattet und auch das läuft alles.

Zurzeit relayen wir unsere Mails und holen per IMAP ab beim Provider. Nun würde ich gerne den Mailserver direkt ansteuern. Ich bekomme allerdings um verrecken nicht Port 25 durch genattet. FB frei, Firewall NAT mit Rule erstellt. Mails kommen nicht an.

Ich verzweifel bald. Alles funzt super nur das eben nicht.

Hat vielleicht von euch jemand eine Idee ??

Vielen Dank schonmal im Voraus

Beste Grüße und ein schönes WE.

Thomas
March 28, 2025, 04:16:19 PM #1
Hallo,

am WAN Interface siehst du die Pakete auf Port 25 aklopfen?

Wenn ja, überprüfe mittel Packet Capture, ob sie auch am richtigen Interface raus gehen.
March 28, 2025, 05:56:17 PM #2
Hallo,

Danke für den Hinweis. Das habe ich noch nicht geschaut.

Wobei mir nicht einleuchtet wenn die anderen Nats zum selben Server (in einer DMZ) funzen, warum nicht Port 25.

Wenn ich ohne Caddy den Mailserver direkt anspreche, läuft alles einwandfrei.

Merkwürdig
March 28, 2025, 06:00:28 PM #3
Quote from: nbrg_kr on March 28, 2025, 05:56:17 PMWenn ich ohne Caddy den Mailserver direkt anspreche, läuft alles einwandfrei.
Also mit normalen NAT auf den Mailserver geht es?

Warum ist da eigentlich Caddy im Spiel?
Ich kenne das Teil nicht. Ist der für SMTP überhaupt geeignet?

Leite doch den Port 25 einfach an den Mailserver weiter, wenn es so funktioniert.
March 28, 2025, 06:04:34 PM #4
Quote from: nbrg_kr on March 28, 2025, 05:56:17 PMMerkwürdig
Merkwürdig ist einen Reverse Proxy für einen Mail-Server zu nutzen. Es mag welche geben, wo das geht, aber es ist sicher einiges anders zu machen als für Web-traffic.
March 28, 2025, 06:09:56 PM #5
Der Caddy ist beim Mailserver im Spiel um die Webmail, in diesem Fall SOGO, erreichbar zu machen zusätzlich zur Nextcloud.

Ich mag SOGO wegen der EAS Funktionalität. Und die Oberfläche braucht halt ein CERT.

Ich natte 25 ja direkt auf den Mailserver. Aber das geht eben nicht.

Im Zweifel lager ich einen Server aus in eine VPS.

Vielen Dank für eure Hinweise.

March 28, 2025, 06:13:02 PM #6
Quote from: nbrg_kr on March 28, 2025, 06:09:56 PMDer Caddy ist beim Mailserver im Spiel um die Webmail, in diesem Fall SOGO, erreichbar zu machen zusätzlich zur Nextcloud.
Das geht über Port 443.

Quote from: nbrg_kr on March 28, 2025, 06:09:56 PMIch natte 25 ja direkt auf den Mailserver. Aber das geht eben nicht.
Dann sollten wir dran arbeiten.

Wenn du Port 25 einfach weiterleitest, 443 aber über Caddy leitest, geht es nicht?
Wenn du 443 auch weiterleitest, dann ja?
March 28, 2025, 06:18:47 PM #7
Kommt die Anfrage auf Port 25 überhaupt am WAN an? Es gibt ISPs die den Port von ihrer Seite her Port sperren.
Deciso DEC740
March 28, 2025, 06:45:56 PM #8
Mein Provider leitet ohne Einschränkung alle Ports weiter

Wenn ich, wie ich es früher mal hatte, nur den Mailcow Server laufen habe, funktionieren alle NATs einwandfrei.

Fünf NATs (80,443,993,587,25) direkt auf die IP in der DMZ und läuft. Mit 80 und 443 via Caddy und den anderen drei laufen nur 2 (993;587). Die 25 eben nicht.

Naja, nicht so schlimm. Dann kommt halt Plan B. :)
March 28, 2025, 06:49:44 PM #9
Caddy ist hier nicht schuld hier wurde was falsch konfiguriert.
Hardware:
DEC740
March 28, 2025, 06:58:13 PM #10
QuoteFB frei, Firewall NAT mit Rule erstellt. Mails kommen nicht an.

Was bedeutet hier FB, Fritzbox? Wie ist das Setup am Anschluß?
March 29, 2025, 08:12:17 AM #11
Guten Morgen,

Ja. FB heißt FRITZ!Box hinter einem Glasfasermodem.

Und ich gehe auch davon aus das ich etwas falsch mache und nicht Caddy.

Aber wie gesagt, halb so wild. Plan B.

Schönes WE.

VG

March 29, 2025, 12:13:36 PM #12
Mir ist sowas im Hinterkopf, daß die FRITZ!Box eine extra Option zur Sperrung von Port 25 hat. Ich hab selbst keine, aber vielleicht mal gucken ...
April 04, 2025, 09:43:52 AM #13
Quote from: nbrg_kr on March 29, 2025, 08:12:17 AMGuten Morgen,

Ja. FB heißt FRITZ!Box hinter einem Glasfasermodem.

Und ich gehe auch davon aus das ich etwas falsch mache und nicht Caddy.

Aber wie gesagt, halb so wild. Plan B.

Schönes WE.

VG



Bevor ich irgendwelche anderen Pläne spielen würde, würde ich erst absolut sicher verifizieren wollen, dass:

1) tcp/25 überhaupt am WAN der Sense ankommt (packet capture auf WAN)
2) dass dann tcp/25 (am einfachsten mal) via NAT an eine andere Kiste weitergereicht wird (packet capture zusätzlich auf LAN oder woauchimmer der Mailserver steht)

erst dann würde ich an irgendwelchen Diensten rumfingern :) Bevor da die Grundlagen nicht funktionieren oder geprüft sind, empfiehlt es sich erstmal zu schauen, was/ob es überhaupt sauber ankommt. Gerade wenn noch ein Router davor hängt, der nochmal Unfug machen kann.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions