Beiträge von Skl

    Die Hälfte ist geschafft. Es fehlt ein Script das auf dem Rootserver läuft und die aktuelle IP-Adresse des Heimnetzwerks prüft und bei Veränderung (alle 24 Stunden eine neue IP durch den ISP) die iptables - rules aktualisiert.


    Das Heimnetzwerk ist über eine Dyndns-Adresse erreichbar die von der Fritzbox aktuell gehalten wird.

    • Script soll mittels "PING / alle 20 Sekunden" die aktuelle IP prüfen
      ping heimnetzwerk.meinBevorzugterDyndnsDienst.org
    • Bei neuer IP die bestehenden iptables - rules löschen
      iptables -t nat -F ( oder wie geht das granularer?)
    • Neue rules mit aktualisierter IP hinzu fügen
      iptables -t nat -A PREROUTING -p udp --dport 500 -j DNAT --to-destination <IP-ADRESSE_ZU_HAUSE>:500
      iptables -t nat -A PREROUTING -p udp --dport 4500 -j DNAT --to-destination <IP-ADRESSE_ZU_HAUSE>:4500
      iptables -t nat -A POSTROUTING -p udp -d <IP-ADRESSE_ZU_HAUSE> --dport 500 -j SNAT --to-source <IP-ROUTSERVER>
      iptables -t nat -A POSTROUTING -p udp -d <IP-ADRESSE_ZU_HAUSE> --dport 4500 -j SNAT --to-source <IP-ROUTSERVER>

    ---

    Fragen - die man sich sicher auch alleine bei google raus suchen kann, aber dabei nicht von eurer Erfahrung profitieren kann ;-):

    • Wo kommt so ein Script hin? Früher habe ich es einfach unter /etc/init.d/scriptname abgelegt aber es gibt heute ein Mechanismus den man zum erstellen solcher Scripte nutzen soll, oder?
    • Wie bekomme ich die iptables - rules permanent gespeichert - so, dass diese nach dem Neustart noch da sind ud IP-Forwarding noch aktiviert ist?

    Hallo,

    danke für die Tips. Die Anleitung von "ehlers" (forward with iptables) war sehr hilfreich und hat mich zu folgender Lösung geführt (Android-Gerät im Internet <--> Rootserver im Internet <--> Fritzbox <--> Heimnetzwerk):


    iptables auf dem Rootserver konfigurieren:


    Im Anschluß folgende Einstellung am Android-Gerät vornehmen:


    Android-Gerät -> Einstellungen -> Verbindungen -> Weitere Verbindungseinstellungen -> VPN -> VPN-Profil hinzufügen


    Name: DerNameIstSchallUndRauch

    Tpy: IPSec Xauth PSK

    Server-Adresse: IP-Adresse des Rootservers

    IPSec Identifier: IPSec-ID des Fritzbox VPN-Benutzers

    IPsec Pre-shared Key: IPSec-Schlüssel des Fritzbox VPN-Benutzers


    Erweiterte Optionen Anzeigen muss ausgewählt werden

    DNS-Suchdomäne kann frei bleiben

    DNS-Server einzutragen - zum Beispiel google 8.8.8.8

    Routen-Weiterleitung kann frei bleiben

    Proxy / Proxy-Hostname / Proxy-Port können frei bleiben


    Benutzernamen: IPSec-ID des Fritzbox VPN-Benutzers

    Passwort: Passwort auf der Fritzbox für den Fritzbox VPN-Benutzer


    Haken setzen bei "VPN immer eingeschaltet"


    ---

    Das war's. Bei mir kann jetzt eine dauerhafte VPN-Verbindung von dem Android-Gerät in das Heimnetzwerk über den Rootserver hergestellt werden.

    Hi mainziman,

    danke für deine Antwort.


    • Ich sehe keine Sciherheitsbedenken, wenn mein Heimnetzwerk durch die Umleitung quasi über eine feste IP-Adresse erreichbar ist (ist dein VPS 200 bei Netcup ja auch).
    • Als verkorkste Lösung sehe ich das "iptables PREROUTING" auch nicht - ist ja implementiert worden weil es den technischen bedarf gibt. Leider bekomme ich es so nicht zum laufen.


    Hast Du oder jemand anderes vielleicht eine technische Hilfestellung wie die iptables rule aussehen müsste das die gewünschten Ports weitergeleitet werden?


    Beste Grüße

    Stefan K aus R

    Hallo zusammen,


    ich versuche seit einige Tage folgendes:


    VPN-Root-Home.jpg



    - Ein Androidtelefon soll eine ständige VPN-Verbindung zu meinem Heimnetzwerk aufbauen. Dazu wird eine feste IP-Adresse benötigt.

    - Der vServer (Debian) soll alle Anfragen an das Heimnetzwerk weiterleiten (in erster Linie alle VPN anfragen, könnten aber auch andere Services sein). Also IP-Forwarding aktivieren und dann die Pakete für IP/Sec einfach nach Hause weiterleiten:

    Code
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    /sbin/iptables -t nat -A PREROUTING -p udp --dport 500 -j DNAT --to-destination 40.0.0.1:500
    /sbin/iptables -t nat -A PREROUTING -p udp --dport 4500 -j DNAT --to-destination 40.0.0.1:4500
    
    # könnten auch DNS, WEB, oder irgendwelche anderen Ports sein 


    So einfach ist es aber leider nicht.


    Im Grunde genommen möchte ich alle Anfragen an die öffendliche IP-Adresse des vServers nach Hause umleiten (gerne Web, DNS, VPN, etc.)


    Ich muss die Pakete in das Heimnetzwerk umleiten um diese dort verarbeiten! Der vServer ist mit seinen 10 GB HDD und den 128 MB RAM zu schwach auf der Brust.


    Kann mir jemand einen Rat geben?

    Ja der rDNS-Eintrag ist aus meiner Sicht auch problematisch. Wenn zum Beispiel in Froxlor drei Domänen auf einem vServer (Name des vServer: "konfiguratiosversuch1.vServer.test) verwaltet werden und alle Domänen über seperate Emailpostfächer verfügen. Gebe ich mittels des CCP die DNS-Konfiguration ein:


    ---------------------- DNS-Konfiguration ----------------------
    #Für den vServer selbst:
    @ A <IP-Adresse Root-Server> (Der Domänenname wird aufgelöst -> nslookup -> vServer.test))
    @ MX 10 mail.vServer.test) (??? Irgendwas wird mit mail.domäne1.de aufgelöst)
    mail A <IP-Adresse Root-Server> (Die Subdomäne wird aufgelöst -> nslookup -> konfiguratiosversuch1.vServer.test)


    #für jede Domäne (Hier für Domäne1.de):
    @ A <IP-Adresse Root-Server> (Der Domänenname wird aufgelöst -> nslookup -> domäne1.de)
    * A <IP-Adresse Root-Server> (Die Subdomänen werden aufgelöst -> nslookup -> serverX.domäne1.de)
    @ MX 10 mail.domäne1.de (??? Irgendwas wird mit mail.domäne1.de aufgelöst)
    mail A <IP-Adresse Root-Server> (Die Subdomäne wird aufgelöst -> nslookup -> mail.domäne1.de)


    ---------------------- Email-Konfiguration ----------------------
    Mittels Froxlor die Domänen den Kunden zuordnen und Emailpostfächer erstellen:
    - domäne1.de
    + email1@domäne1.de
    + email2@domäne1.de


    - domäne2.de
    + email3@domäne2.de
    + email4@domäne2.de


    - domäne3.de
    + email5@domäne3.de
    + email6@domäne3.de



    Und jetzt die spannende Frage ...
    rDNS-Eintrag auf "konfiguratiosversuch1.vServer.test", "mail.domäne1.de", "mail.domäne2.de" oder "mail.domäne3.de" stellen?

    Hi heavygale,


    volltreffer:

    Sendest du die E-Mail an eine 1&1-Adresse für die eine Weiterleitung an eine Adresse auf deinen Server eingerichtet ist?
    Dann würde dein Server die E-Mail mit einer Absender-Adresse empfangen, die er selbst verwaltet und dementsprechend ablehnen (nicht eingeloggt).

    Das funktioniert nicht:
    Sender: email@netcup.de
    Empfänger-Weiterleitung: email@1&1.de -> Weiterleitung -> email@netcup.de
    Emfpfänger-Postfach: email@netcup.de


    Das funktioniert:
    Sender: email@netcup.de
    Empfänger-Weiterleitung: email@1&1.de -> Weiterleitung -> email@gmx.de
    Emfpfänger-Postfach: email@gmx.de


    Kann man dich mieten?! ;)


    Leider habe ich es aus technischer Sicht nicht verstanden "Dann würde dein Server die E-Mail mit einer Absender-Adresse empfangen,
    die er selbst verwaltet und dementsprechend ablehnen (nicht eingeloggt)". Kannst Du mir vielleicht eine (vorzugsweise deutschsprachige) Internetseite empfehlen auf der STARTTLS / SSL/TLS in Verbindung mit dovecot und Postfix erklärt wird. Die entsprechenden Wikieinträge "STARTTLS", "Simple Mail Transfer Protocol", usw habe ich durch.


    Besten Dank
    Stefan


    ps: Was müsste ich denn machen das die 1&1-Weiterleitung funktioniert?
    Sender: email@netcup.de
    Empfänger-Weiterleitung: email@1&1.de -> Weiterleitung -> email@netcup.de
    Emfpfänger-Postfach: email@netcup.de

    Hi perryflynn,


    das denke ich nicht:

    Die Fehlermeldung kommt von Deinem Mailserver, nicht von 1&1.

    Warum sollte der Versand zu den anderen Mailhostern ohne Fehler funktionieren und wenn Mails an 1&1 gehen mein Mailserver rumzicken? Ich denke es liegt an der Kommunikation zu 1&1. In der Antwortmail wird auch auf den 1&1 Server verwiesen:


    --- The header of the original message is following. ---


    Received: from [212.227.15.41] ([212.227.15.41]) by mx.kundenserver.de
    (mxeue006) with ESMTPS (Nemesis) id 0MQfwv-1ai7g82WCL-00U5fU for email@meinedomäne.de


    lg
    Stefan

    Hallo zusammen,
    leider ist es mir immer noch nicht möglich Emails an "1&1" zu senden (gmx, hotmail, netcup, t-online funktionieren). Es handelt sich um einen netcup Root-Server mit Debian - Froxlor.


    Fehlermeldung ("Mail delivery failed: returning message to sender" -> nach dem Versenden der Email aus Thunderbird heraus):
    SMTP error from remote server for RCPT TO command, host: mail.meinedomäne.de (<IP-Adresse Root-Server>) reason: 553 5.7.1 <email@meinedomäne.de>: Sender address rejected: not logged in



    Durchgeführte und kontrollierte Konfiguration:
    - rDNS wurde angepasst (über CCP-Login) -> "mail.meinedomäne.de"


    - MX-DNS-Eintrag wurde eingetragen (über CCP-Login):
    @ A <IP-Adresse Root-Server>
    * A <IP-Adresse Root-Server>
    @ MX 10 mail.meinedomäne.de
    mail A <IP-Adresse Root-Server>


    - /etc/mailname wurde eingetragen -> "mail.meinedomäne.de"


    - /etc/postfix/main.cf wurde angepasst:
    mydomain = mail.meinedomäne.de
    myhostname = mail.meinedomäne.de


    - /etc/hostname -> mail


    -/etc/hosts -> <IP-Adresse Root-Server> mail.meinedomäne.de mail



    Die Konfiguration wurde vor fünf Tagen vorgenommen. Nach ca. 10 Minuten funktionierte der Versandt an GMX. Das System wurde mehrfach neu gestartet.
    Habt ihr eine Idee an was es noch liegen könnte? Ich habe keine Mehr :(


    Danke für eure eventuelle Hilfe ...
    Stefan