10
Debian 8: Services (mail, web,.) sind Serverintern nicht mehr erreichbar
Hallo!
Ich habe einen Server basierend auf Proxmox 4.2 unter Debian 8 und darin mehrere VM's für verschiedenen Aufgaben (mailserver, webserver, TS usw). Mein Problem bezieht sich im folgenden auf alle Services, auch wenn ich nur vom Mailserver schreibe.
Der Router hat als DMZ die IP des 1. NIC eingestellt, das gesamte interne Netzwerk (mehrere PCs, WLAN, alle VMs) sind an NIC2 angeschlossen. Als DNS verwende ich dnsmasq, die Namensauflösung funktioniert ohne Probleme.
Wenn ich von aussen über meine Domain auf meine Mails zugreife (mail.xxx.com, port 143), klappt alles wunderbar. Bis vor kurzem war das auch intern (Handy über WLAN, PC, ...) der Fall.
Seit kurzem jedoch kann ich intern nicht mehr auf mail.xxx.com:143 zugreifen, sondern nur mehr auf 192.168.1.3:143.
Die Firewall ist so aufgebaut, dass alles gewollte akzeptiert und zum jeweiligen VM geroutet wird, der Rest wird verworfen.
An den Firewallregeln wurde nichts geändert in den letzten Monaten, am DNS auch nicht.
Kann mir bitte jemand einen Tipp zu meinem Problem geben (natürlich erwarte ich keine Komplettlösung, ein Schubs in die richtige Richtung ist schon Gold wert ;) )?
Dank im Voraus
Mudla
Ich habe einen Server basierend auf Proxmox 4.2 unter Debian 8 und darin mehrere VM's für verschiedenen Aufgaben (mailserver, webserver, TS usw). Mein Problem bezieht sich im folgenden auf alle Services, auch wenn ich nur vom Mailserver schreibe.
Der Router hat als DMZ die IP des 1. NIC eingestellt, das gesamte interne Netzwerk (mehrere PCs, WLAN, alle VMs) sind an NIC2 angeschlossen. Als DNS verwende ich dnsmasq, die Namensauflösung funktioniert ohne Probleme.
Wenn ich von aussen über meine Domain auf meine Mails zugreife (mail.xxx.com, port 143), klappt alles wunderbar. Bis vor kurzem war das auch intern (Handy über WLAN, PC, ...) der Fall.
Seit kurzem jedoch kann ich intern nicht mehr auf mail.xxx.com:143 zugreifen, sondern nur mehr auf 192.168.1.3:143.
Die Firewall ist so aufgebaut, dass alles gewollte akzeptiert und zum jeweiligen VM geroutet wird, der Rest wird verworfen.
An den Firewallregeln wurde nichts geändert in den letzten Monaten, am DNS auch nicht.
Kann mir bitte jemand einen Tipp zu meinem Problem geben (natürlich erwarte ich keine Komplettlösung, ein Schubs in die richtige Richtung ist schon Gold wert ;) )?
Dank im Voraus
Mudla
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 308920
Url: https://administrator.de/contentid/308920
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
geht eine Verbindung über die öffentliche IP und telnet auf z.B. den Mailserver per Port 25?
Ist der Besuch der Serverdiesnte über Handy und LTE/GX möglich?
Ist ein Pink auf die öffentliche IP möglich?
Ist der Router schon neu gestartet worden?
Was sagt das Log vom Router?
Hat der Server auch IPTABLES Regeln?
Wurde ein Update auf dem Proxmox eingespielt das ggf. die Netzwerkgeschichten durcheinander gebracht hat?
Gruß
Chonta
geht eine Verbindung über die öffentliche IP und telnet auf z.B. den Mailserver per Port 25?
Ist der Besuch der Serverdiesnte über Handy und LTE/GX möglich?
Ist ein Pink auf die öffentliche IP möglich?
Ist der Router schon neu gestartet worden?
Was sagt das Log vom Router?
Hat der Server auch IPTABLES Regeln?
Wurde ein Update auf dem Proxmox eingespielt das ggf. die Netzwerkgeschichten durcheinander gebracht hat?
Gruß
Chonta
Hallo Chonta,
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT
Gruß
Chonta
Mudla
Zitat von @Chonta:
Hallo,
geht eine Verbindung über die öffentliche IP und telnet auf z.B. den Mailserver per Port 25?
von intern nicht, von extern schonHallo,
geht eine Verbindung über die öffentliche IP und telnet auf z.B. den Mailserver per Port 25?
Ist der Besuch der Serverdiesnte über Handy und LTE/GX möglich?
jaIst ein Pink auf die öffentliche IP möglich?
jaIst der Router schon neu gestartet worden?
jaWas sagt das Log vom Router?
hat kein log (komisch aber wahr)Hat der Server auch IPTABLES Regeln?
ja, zB:iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT
Wurde ein Update auf dem Proxmox eingespielt das ggf. die Netzwerkgeschichten durcheinander gebracht hat?
Updates wurden eingespielt, aber ich habe keine Ahnung, wo ich noch suchen sollte Gruß
Chonta
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT
Sind die Regeln auf dem Proxmox?
Sind die VM nicht im normalen Netz sondern in einem VM Netz in das der Proxmox dann routen muss?
Die IP die Du angegeben hast (interne) was das die vom mailserver oder vom Proxmox?
Mein Favorit wäre der Proxmoxserver als Ursache, da der Router einen Ping erlaubt und der Router neu gestartet wurde.
Geht eine ssh Portweiterleitung auf den Proxmoxserver (einen der anderen Server) über die öffentliche IP?
Das der Router was weg hat kann sein, aber Proxmox ist warscheinlicher.
Updates wurden eingespielt, aber ich habe keine Ahnung, wo ich noch suchen sollte
Nach den Updates die eingespielt wurden und bekannten ProblemenGruß
Chonta
Zitat von @Chonta:
Sind die Regeln auf dem Proxmox?
Ob die Regeln im Proxmox-Interface erstellt wurden? Neiniptables -t nat -A PREROUTING -i $WAN -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT
Sind die Regeln auf dem Proxmox?
Sind die VM nicht im normalen Netz sondern in einem VM Netz in das der Proxmox dann routen muss?
siehe Anhang: /etc/network/interfacesDie IP die Du angegeben hast (interne) was das die vom mailserver oder vom Proxmox?
pve: 192.168.1.2mailserver: 192.168.1.3
Mein Favorit wäre der Proxmoxserver als Ursache, da der Router einen Ping erlaubt und der Router neu gestartet wurde.
Geht eine ssh Portweiterleitung auf den Proxmoxserver (einen der anderen Server) über die öffentliche IP?
Das der Router was weg hat kann sein, aber Proxmox ist warscheinlicher.
Gruß
Chonta
route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 vmbr0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr1
/etc/network/interfaces:
# network interface settings
auto lo
iface lo inet loopback
iface eth0 inet manual
iface eth1 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
bridge_ports eth0
bridge_stp off
bridge_fd 0
auto vmbr1
iface vmbr1 inet static
address 192.168.1.2
netmask 255.255.255.0
gateway 192.168.0.2
bridge_ports eth1
bridge_stp off
bridge_fd 0
Also wenn der Zugriff per Domain von extern funktioniert aber von intern nicht würde ich Probleme mit Proxmox erstmal ausschließen. Gibts ne Fehlermeldung wenn du intern den Zugriff probierst? Was sagt das Syslog vom Mailhost? Kannst du intern von einem Client die Maildomain anpingen? Hast du extern einen anderen Nameserver oder nutzt du dafür auch deinen eigenen DNS?
Am Mailserver krieg ich keine Fehlermeldung, da die Verbindung dahin ja nicht aufgebaut wird.
Wenn ich vom pve "telnet mailserver 25" mache, klappt das wunderbar, wenn ich aber "telnet xxx.com 25" mache, klappt das nicht mehr (Meldung: Trying xxx.xxx.xxx.xxx ..., dann abbruch).
Dnsmasq ist nur vom internen Netz erreichbar.
Ich werd einfach nicht sclau aus der Sache
Wenn ich vom pve "telnet mailserver 25" mache, klappt das wunderbar, wenn ich aber "telnet xxx.com 25" mache, klappt das nicht mehr (Meldung: Trying xxx.xxx.xxx.xxx ..., dann abbruch).
Dnsmasq ist nur vom internen Netz erreichbar.
Ich werd einfach nicht sclau aus der Sache
Meldung: Trying xxx.xxx.xxx.xxx ..., dann abbruch
Was genau bedeuten die xxx ist das die korrekte IP deines Mailservers? In diesem Fall scheint ja erstmal die Namensauflösung an sich korrekt zu sein. Poste doch mal die Ausgabe eines Ping Befehls also: ping mail.xxx.com du schreibst auch was von Webserver, sind da deine gehisteten seiten per Domainame erreichbar?Sollte der Hostname korrekt aufgelöst sein muss im Syslog deines Mailservers irgendwas ankommen. Entweder ben Fehler der Firewall oder was anderes, der Server ist ja schließlich per IP korrekt erreichbar wenn ich das richtig verstanden habe.
ping von intern:
PING xxx.com (111.222.333.444) 56(84) bytes of data.
64 bytes from xxx.com (111.222.333.444): icmp_seq=1 ttl=63 time=0.558 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=2 ttl=63 time=0.426 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=3 ttl=63 time=0.356 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=4 ttl=63 time=0.364 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=5 ttl=63 time=0.370 ms
^C
--- xxx.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 0.356/0.414/0.558/0.079 ms
Die gehostete Seite ist von aussen erreichbar über xxx.com, von intern nur über IP (192.168.1.4) oder DNS-Name (webserver), wie auch alle anderen Services.
Wenn ich "telnet xxx.com 25" mache, versucht er immer, mit der öffentlichen IP zu verbinden, was ja richtig ist, nur wird die Verbindung nicht nach innen weitergeleitet, warum auch immer. Von "aussen" funktioniert es prima, nur von innen nicht.
PING xxx.com (111.222.333.444) 56(84) bytes of data.
64 bytes from xxx.com (111.222.333.444): icmp_seq=1 ttl=63 time=0.558 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=2 ttl=63 time=0.426 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=3 ttl=63 time=0.356 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=4 ttl=63 time=0.364 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=5 ttl=63 time=0.370 ms
^C
--- xxx.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 0.356/0.414/0.558/0.079 ms
Die gehostete Seite ist von aussen erreichbar über xxx.com, von intern nur über IP (192.168.1.4) oder DNS-Name (webserver), wie auch alle anderen Services.
Wenn ich "telnet xxx.com 25" mache, versucht er immer, mit der öffentlichen IP zu verbinden, was ja richtig ist, nur wird die Verbindung nicht nach innen weitergeleitet, warum auch immer. Von "aussen" funktioniert es prima, nur von innen nicht.
Okay also deine öffentliche IP wird korrekt aufgelöst... Hast du eine statische IP oder eine dynamische IP?
Also ich weiß aktuell auch nicht so richtig weiter... Der Zugriff zum Beispiel per LTE funktioniert. Das bedeutet, der Server an sich ist richtig konfiguriert. Dein Router leitet intern die Anfrage auch richtig weiter. Wenn du aus deinem LAN eine Anfrage startest geht diese zum externen DNS dieser löst deine öffentliche IP richtig auf aber dein Router scheint die Anfrage abzulehnen was für mich keinen Sinn macht...
Was hast du fürn Router davor?
Also ich weiß aktuell auch nicht so richtig weiter... Der Zugriff zum Beispiel per LTE funktioniert. Das bedeutet, der Server an sich ist richtig konfiguriert. Dein Router leitet intern die Anfrage auch richtig weiter. Wenn du aus deinem LAN eine Anfrage startest geht diese zum externen DNS dieser löst deine öffentliche IP richtig auf aber dein Router scheint die Anfrage abzulehnen was für mich keinen Sinn macht...
Was hast du fürn Router davor?
Guten Morgen!
Ich hab eine statische IP.
Router ist ein "Genexis Tundra", Glasfaseranschluss.
Leider ist für mich das alles auch sehr komisch.
Ich hab eine statische IP.
Router ist ein "Genexis Tundra", Glasfaseranschluss.
Leider ist für mich das alles auch sehr komisch.
