Beiträge von apos

apos · 31. Oktober 2015

Hi,

wollte mal meine Post updaten, denn mittlerweile habe ich eine ganz einache KISS***-Lösung gefunden und mich wieder an diese Frage erinnert:

*** keep it simple and stupid

Für die Greenhorns: der

Code

SSH server auf dem Host sollte natürlich nur über Zertifikate erreichbar sein

(sshd_config: PasswordAuthentication no, UsePAM no). Das entspricht dann in etwa einer VPN Verbindung.

Auf einer lokalen Konsole den SSH Tunnel etablieren:

Code

ssh -L 9000:IP_OF_SERVER:8443  loginname@IP_OF_SERVER

wobei

8443 der Port des Zentyal Web Interface auf dem Server ist
9000 der lokale Port im Browser ist, unter dem man nun das Web Interface aufrufen kann

... und zwar so:

Code

https://localhost:9000

Tja, das Leben kann so einfach sein

P.S.: Es is ist nicht möglich ohne Eingriffe ins KVM Host System ins innere der Maschine zu kommen. Zum Hintergrund und wie man das realisieren kann, hier ein paar Artikel. I

Ich selbst mache das auf einem eigenen KVM-Root Server mit IPtables (siehe hier: KVM - Knowledge Base) - und das ist echt Arbeit Mein zugehöriger Zentyal Thread auf Englisch ist hier: [url=https://forum.zentyal.org/index.php/topic,20028.msg98671.html#msg98671]Can't reach zentyal webadmin via vpn network on virtual nic from vpn client pc[/url]

apos · 18. Januar 2014

Die iptable-rules kann man unter Zentyal sehr einfach in einen Hook packen:

Code

vim / etc/zentyal/hooks/firewall.postservice

Bash

#!/bin/bash




VPN_SUBNET="192.168.50.0/24"
ETH0_VIRT_SUBNET="192.168.55.0/24"
ETH0_VIRT_DEV="eth0:vpn"




iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s ${VPN_SUBNET} -j ACCEPT
iptables -A FORWARD -j REJECT




iptables -t nat -A POSTROUTING -s ${VPN_SUBNET} -o ${ETH0_VIRT_DEV} -j MASQUERADE
iptables -t nat -A POSTROUTING -s ${VPN_SUBNET} -d ${ETH0_VIRT_SUBNET} -j MASQUERADE

Alles anzeigen

Code

service zentyal firewall restart;

Code

iptables -nvL -t nat --line-number




Chain PREROUTING (policy ACCEPT 23 packets, 1220 bytes)
num   pkts bytes target 	prot opt in 	out 	source           	destination
1   	24  1262 premodules  all  --  *  	*   	0.0.0.0/0        	0.0.0.0/0




Chain INPUT (policy ACCEPT 21 packets, 1116 bytes)
num   pkts bytes target 	prot opt in 	out 	source           	destination




Chain OUTPUT (policy ACCEPT 62 packets, 4320 bytes)
num   pkts bytes target 	prot opt in 	out 	source           	destination




Chain POSTROUTING (policy ACCEPT 62 packets, 4320 bytes)
num   pkts bytes target 	prot opt in 	out 	source           	destination
1   	62  4320 postmodules  all  --  *  	*   	0.0.0.0/0        	0.0.0.0/0
2    	0 	0 SNAT   	all  --  *  	eth0   !MY.SERVER.IP.49     	0.0.0.0/0        	to:MY.IP.SERVER.49
3    	0 	0 MASQUERADE  all  --  *  	eth0:vpn  192.168.50.0/24  	0.0.0.0/0
4    	0 	0 MASQUERADE  all  --  *  	*   	192.168.50.0/24  	192.168.55.0/24




Chain postmodules (1 references)
num   pkts bytes target 	prot opt in 	out 	source           	destination




Chain premodules (1 references)
num   pkts bytes target 	prot opt in 	out 	source           	destination

Alles anzeigen

Leider kein Durchkommen

Irgendwo mach ich wohl einen Denkfehler ...

apos · 17. Januar 2014

Zitat von RayMD

Wie sehen die Einträge in iptables aus?

Siehe Anhang im Link oben (das ist mein Post, auf Englisch eben).

Danke für den Hint. Ich probier das bei Gelegenheit mal aus.

Meinst du mit $ETH das virtuelle Netzwerk Device oder das reale?

apos · 17. Januar 2014

Hallo zusammen,

ich habe auf meinem Neptun ein Zentyal installiert. Es ist also eine sehr spezielle Frage.

So weit so gut. Zur Absicherung läuft ein VPN Server. Der ließ sich auch wunderbar einrichten und funktioniert.
Da der Server nur eine Netzwerkkarte hat, habe ich kurzer Hand eine virtuelle erstellt.

Ja, das ist ein Crosspost, aber ich denke, Zentyal könnte für einige Leute interessant sein (Zentyal - Knowledge Base )

Das Szenario ist hier dargestellt
* Can't reach zentyal webadmin via vpn network on virtual nic from vpn client pc

Nun wollte ich gerne das Administrationsinterface (ein spezieller Port) nur noch via VPN zugänglich machen, komme aber vom VPN-Client PC einfach nicht auf das virtuelle Interface.

Hier sind die NAT / iptables Gurus gefragt, denke ich.
Irgendwelche Ideen? Im o.g. Thread ist die iptable-save gepostet.

Grüße
Axel

apos · 9. März 2011

Hallo zusammen,

Nach dem vollständigen

- Löschen der Domain
- Löschen des Benutzers
- Löschen aller Ordner in /var/kunden/mails
- Neu anlegen des Benutzers
- Neu Zuweisen der Domain
- Neu Anlegen des Email Account und Weiterleitung

hat sich das Problem einfach in Luft aufgelöst. Ich bin echt sprachlos, woran es lag.

Vielleicht lags auch an diversen

Code

/etc/init.d/postfix restart
/etc/init.d/dovecot restart
newaliases

:confused:

Ach ja, in der /etc/postfix/main.cf habe ich die Zeile

Code

mydestination = $myhostname $mydomain localhost localhost.$mydomain

wieder in den Ursprungszustand gesetzt (war aber vorher auch schon so).

Nun denn, es geht jedenfalls.
Grüsse Axel

apos · 9. März 2011

Hallo zusammen,

Debian Squeeze / 6.0 (Problem gabs aber auch schon unter 5.0)
SysCP 1.4.2.2
postfix für Dovecot enabled (geht aber ohne Dovecot genausowenig)

komme hier mit meinem Postfix einfach nicht weiter.

Die email-Funktionalität (Mailversand / Empfang9 über TLS geht soweit wunderbar.

Nur wenn ich Weiterleitungen einrichten möchte, bekomme ich folgende Mailer Fehler.

1. Fall:

Wenn ich die Mail von einem Konto auf dem Server an die umgeleitete Adresse versende, kommtd ie Mail kommt zurück mit:

Code

Reporting-MTA: dns; meinserver.yourvserver.net
X-Postfix-Queue-ID: 6934E14D2284
X-Postfix-Sender: rfc822; [B]absender@mail.com[/B]
Arrival-Date: Wed,  9 Mar 2011 13:07:39 +0100 (CET)




Final-Recipient: rfc822; [B]info@vserverdomain.de[/B]
Original-Recipient: rfc822;[B]info@vserverdomain.de[/B]
Action: failed
Status: 5.4.6
Diagnostic-Code: X-Postfix; mail for [B]vserverdomain.de[/B] loops back to myself

Alles anzeigen

2. Fall:

Wenn ich die Mail von ausserhalb an die umgeleitete Adresse versende, wird die Mail verworfen:

Die /var/log/mail.log zeigt folgende Informationen:

Code

Mar  9 14:31:49 myvserver postfix/smtpd[9291]: connect from mailout-de.gmx.net[213.165.64.23]
Mar  9 14:31:49 myvserver postfix/smtpd[9291]: NOQUEUE: reject: RCPT from mailout-de.gmx.net[213.165.64.23]: 554 5.7.1 <[B]info@vserverdomain.de[/B]>: Relay access denied; from=<[B]absender@mail.com[/B]> to=<[B]info@vserverdomain.de[/B]> proto=SMTP helo=<mailout-de.gmx.net>
Mar  9 14:31:49myvserver postfix/smtpd[9291]: disconnect from mailout-de.gmx.net[213.165.64.23]

Seltsam:

Die Email der erstellten Weiterleitung (weiterleitung@otherdomain.de) erscheint hier nicht als Final-Recipient
Es gibt einen reject, wenn von ausserhalb versendet wird

Im Mysql Code ist die destination-Adresse jedoch vermerkt:

Code

mysql> select email, email_full, destination from mail_virtual where email LIKE '%vserverdomain%';
+-----------------------+-----------------------+------------------------------------------------------+
| email                 | email_full            | destination                                          |
+-----------------------+-----------------------+------------------------------------------------------+
| info@vserverdomain.de | info@vserverdomain.de | info@vserverdomain.de weiterleitung@otherdomain.de |
+-----------------------+-----------------------+------------------------------------------------------+

Any clue? Bin (noch) nicht so der Postfix-Guru und steh irgendwie auf dem Schlauch. Das Problem scheint jedoch bekannt zu sein und scheint irgendetwas mit den Einstellungen im Postfix main.cf zu tun zu haben.

Seltsam: Vor einer Woche habe ich es zum ersten Mal eingerichtet und es ging (für einen Tag). Nach einem Serverreboot ging es nicht mehr :o

Danke schon mal
Grüsse Axel

Achso, die üblichen Verdächtigen fehlen noch

Code

[B]/etc/postfix# cat master.cf[/B]
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
# Submission port 587 aktivieren
submission inet n       -       n       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
    -o fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache      unix    -    -    -    -    1    scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix    -    n    n    -    2    pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}
dovecot   unix  -       n       n       -       -       pipe
        flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}




retry     unix  -       -       -       -       -       error

Alles anzeigen

Code

/etc/postfix# cat sasl/smtpd.conf
pwcheck_method: auxprop
auxprop_plugin: sql
mech_list: plain login cram-md5 digest-md5
sql_engine: mysql
sql_hostnames: localhost
sql_user: syscp
sql_passwd: mysycppass
sql_database: syscp
sql_select: select password from mail_users where username='%u@%r'

Code

[B]/etc/postfix# cat main.cf[/B]
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
myhostname = meinvserver.yourvserver.net
mydomain = meinvserver.yourvserver.net
mydestination = localhost.$mydomain, localhost, $myhostname, $mydomain
mynetworks = 127.0.0.0/8
alias_maps = $alias_database
virtual_mailbox_base = /var/kunden/mail/
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_domains =
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_uid_maps = static:2000
virtual_gid_maps = static:2000
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
broken_sasl_auth_clients = yes




maps_rbl_domains = relays.ordb.org
smtp_recipient_restrictions = reject_maps_rbl, reject_unauth_destination, reject_unauth_pipelining
smtp_client_restrictions = reject_maps_rbl, reject_unauth_destination, reject_unauth_pipelining
smtp_sender_restrictions = reject_maps_rbl, reject_unauth_destination, reject_unauth_pipelining, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unknown_client, reject_non_fqdn_hostname




smtpd_tls_cert_file = /etc/postfix/mail.cert
smtpd_tls_key_file = /etc/postfix/mail.key
smtpd_use_tls = yes
smtpd_enforce_tls = no
smtpd_tls_auth_only = no

Alles anzeigen

Code

[B]/etc/postfix# cat mysql-virtual_alias_maps.cf[/B]
user = syscp
password = mysycppass
dbname = syscp
table = mail_virtual
select_field = destination
where_field = email
additional_conditions = and destination <> '' and destination <> ' '
hosts = localhost

Code

[B]/etc/postfix# cat mysql-virtual_mailbox_domains.cf[/B]
user = syscp
password = mysycppass
dbname = syscp
table = panel_domains
select_field = domain
where_field = domain
additional_conditions = and isemaildomain = '1'
hosts = localhost

Code

[B]/etc/postfix# cat mysql-virtual_mailbox_maps.cf[/B]
user = syscp
password = mysyscppass
dbname = syscp
table = mail_users
select_field = maildir
where_field = email
hosts = localhost

apos · 21. August 2009

Zitat

Weiss jemand von euch, ob man den smtp Port auch aktiviert lassen kann, damit Postfix auf beiden Ports hört?

Konnte die Antwort selbst finden und testen:

JA es ist möglich. Durch einfaches aktivieren beider Zeilen lauscht Postfix dann auf Port 25 und 587.

Siehe http://rackerhacker.com/2007/0…sion-port-587-in-postfix/

Code

smtp      inet  n       -       -       -       -       smtpd
submission inet n       -       -       -       -       smtpd
   -o smtpd_enforce_tls=yes
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject

apos · 21. August 2009

Hallo zusammen,

heute morgen rief mich ein Freund aus Schweden an, der dort vergeblich versuchte, seine Emails zu versenden. Ich war ein wenig überrascht, schien nach Einrichtung eines Testclients auf meinem Rechner doch alles hier in deutschen Landen prima zu funktionieren.

Nun ich möchte euch die Lösung nicht vorenthalten. Wohl auf Grund von Spam wird in manchen Ländern der Port 25 für das Versenden von Mails gesperrt.

http://wolf-u.li/1655/submissi…87-in-postfix-aktivieren/ erklärt, wie man die Postfixeinstellungen entsprechend ändert um dann auf Port 587 ausweichen zu können.

Die folgenden Zeilen in der /etc/postfix/master.cf (Debian) zum submission (!) Port sollten genau so auskommentiert, die zum smtp port kommentiert werden und dann der emailserver neu gestartet werden.

Code

#smtp      inet  n       -       -       -       -       smtpd
submission inet n       -       -       -       -       smtpd
   -o smtpd_enforce_tls=yes
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Code

/etc/init.d/postfix restart

Nachteil: Email Versand läuft nur noch unter TLS und mit Port 587.

Getestet unter Debian Lenny / SysCP 1.4 / Vserver 15xx.

Weiss jemand von euch, ob man den smtp Port auch aktiviert lassen kann, damit Postfix auf beiden Ports hört?

Grüße Axel

apos · 25. Januar 2009

Zitat von [netcup] Alex;2613

Es kommt eben drauf an was du mit dem Server machst bzw. darauf betreibst

So seh' ich das eigentlich auch. Danke für die Antwort.

Fazit: Die Umstellung der Consolen locale ist also eher unproblematisch für "nicht Shell Programme", eher schon für z.B. Perl, die Nutzung von CGI beim Apache o.ä., und natürlich beim compilieren (fallsman sowas auf dem vs überhaupt macht , ts. ts. ).

Schönen Sonntag noch.
Greets

apos · 25. Januar 2009

Hi zusammen,

erst einmal hallo als neuer Kunde von netcup und "Neuer" im Forum

Habe vor einigen Tagen den Umzug von s4... nach hier endlich geschafft (vs768 / Debian). Arbeite zu Hause unter Ubuntu 8.10 und nach diversen Tests der Neuinstallationsfunktionen von OpenVCP fiel mir immer wieder die inkorrekte Darstellung der Umlaute unter dem Debian Image in meinem Ubuntu Terminal auf.

Grund:[INDENT] meinUbuntu# locale
LANG=de_DE@UTF-8
[...]

meinVserver# locale
LANG=de_DE@euro
[...]
[/INDENT]Lösung auf dem Debian System (Vserver):[INDENT] meinVserver# dpkg-reconfigure locales
[...]
[/INDENT][INDENT]Darin die UTF-8 Locale im zweiten Schritt als Standard auswählen.
Logout / Login:

meinVserver# locale
LANG=de_DE.UTF-8
[...]
[/INDENT]So, nun zur Frage:

Glaubt jemand, das gibt Probleme in der Zukunft?
Sollte man nicht generell besser mit der englischen UTF-8 den Server fahren?

Greets

Beiträge von apos

[Zentyal, VPN, virtuelle NIC] - kann nicht auf virtuelle Netzwerkkarte von VPN-Client auf PORT X zugreifen

[Zentyal, VPN, virtuelle NIC] - kann nicht auf virtuelle Netzwerkkarte von VPN-Client auf PORT X zugreifen

[Zentyal, VPN, virtuelle NIC] - kann nicht auf virtuelle Netzwerkkarte von VPN-Client auf PORT X zugreifen

[Zentyal, VPN, virtuelle NIC] - kann nicht auf virtuelle Netzwerkkarte von VPN-Client auf PORT X zugreifen

SysCP Postfix Email Weiterleitung: mail for mydomain.de loops back to myself

SysCP Postfix Email Weiterleitung: mail for mydomain.de loops back to myself

Kein Versenden via SMPT aus dem Ausland (Schweden) möglich

Kein Versenden via SMPT aus dem Ausland (Schweden) möglich

Teminal - Umlaute - de_DE@euro vs. de_DE@UTF-8 vs. en_EN@UTF-8

Teminal - Umlaute - de_DE@euro vs. de_DE@UTF-8 vs. en_EN@UTF-8