mudla2010
Goto Top

Debian 8: Services (mail, web,.) sind Serverintern nicht mehr erreichbar

Hallo!

Ich habe einen Server basierend auf Proxmox 4.2 unter Debian 8 und darin mehrere VM's für verschiedenen Aufgaben (mailserver, webserver, TS usw). Mein Problem bezieht sich im folgenden auf alle Services, auch wenn ich nur vom Mailserver schreibe.

Der Router hat als DMZ die IP des 1. NIC eingestellt, das gesamte interne Netzwerk (mehrere PCs, WLAN, alle VMs) sind an NIC2 angeschlossen. Als DNS verwende ich dnsmasq, die Namensauflösung funktioniert ohne Probleme.

Wenn ich von aussen über meine Domain auf meine Mails zugreife (mail.xxx.com, port 143), klappt alles wunderbar. Bis vor kurzem war das auch intern (Handy über WLAN, PC, ...) der Fall.
Seit kurzem jedoch kann ich intern nicht mehr auf mail.xxx.com:143 zugreifen, sondern nur mehr auf 192.168.1.3:143.

Die Firewall ist so aufgebaut, dass alles gewollte akzeptiert und zum jeweiligen VM geroutet wird, der Rest wird verworfen.

An den Firewallregeln wurde nichts geändert in den letzten Monaten, am DNS auch nicht.

Kann mir bitte jemand einen Tipp zu meinem Problem geben (natürlich erwarte ich keine Komplettlösung, ein Schubs in die richtige Richtung ist schon Gold wert ;) )?

Dank im Voraus
Mudla

Content-ID: 308920

Url: https://administrator.de/contentid/308920

Ausgedruckt am: 25.11.2024 um 20:11 Uhr

Chonta
Chonta 04.07.2016 um 16:48:57 Uhr
Goto Top
Hallo,

geht eine Verbindung über die öffentliche IP und telnet auf z.B. den Mailserver per Port 25?
Ist der Besuch der Serverdiesnte über Handy und LTE/GX möglich?
Ist ein Pink auf die öffentliche IP möglich?
Ist der Router schon neu gestartet worden?
Was sagt das Log vom Router?
Hat der Server auch IPTABLES Regeln?
Wurde ein Update auf dem Proxmox eingespielt das ggf. die Netzwerkgeschichten durcheinander gebracht hat?

Gruß

Chonta
Mudla2010
Mudla2010 04.07.2016 um 17:02:26 Uhr
Goto Top
Hallo Chonta,


Zitat von @Chonta:

Hallo,

geht eine Verbindung über die öffentliche IP und telnet auf z.B. den Mailserver per Port 25?
von intern nicht, von extern schon

Ist der Besuch der Serverdiesnte über Handy und LTE/GX möglich?
ja

Ist ein Pink auf die öffentliche IP möglich?
ja

Ist der Router schon neu gestartet worden?
ja
Was sagt das Log vom Router?
hat kein log (komisch aber wahr)

Hat der Server auch IPTABLES Regeln?
ja, zB:
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT

Wurde ein Update auf dem Proxmox eingespielt das ggf. die Netzwerkgeschichten durcheinander gebracht hat?
Updates wurden eingespielt, aber ich habe keine Ahnung, wo ich noch suchen sollte face-sad


Gruß

Chonta
Mudla
Chonta
Chonta 04.07.2016 aktualisiert um 17:14:58 Uhr
Goto Top
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT

Sind die Regeln auf dem Proxmox?
Sind die VM nicht im normalen Netz sondern in einem VM Netz in das der Proxmox dann routen muss?
Die IP die Du angegeben hast (interne) was das die vom mailserver oder vom Proxmox?

Mein Favorit wäre der Proxmoxserver als Ursache, da der Router einen Ping erlaubt und der Router neu gestartet wurde.
Geht eine ssh Portweiterleitung auf den Proxmoxserver (einen der anderen Server) über die öffentliche IP?

Das der Router was weg hat kann sein, aber Proxmox ist warscheinlicher.

Updates wurden eingespielt, aber ich habe keine Ahnung, wo ich noch suchen sollte
Nach den Updates die eingespielt wurden und bekannten Problemen

Gruß

Chonta
Mudla2010
Mudla2010 04.07.2016 aktualisiert um 18:36:31 Uhr
Goto Top
Zitat von @Chonta:

iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER
iptables -A FORWARD -p tcp -d $MAILSERVER --dport 25 -j ACCEPT

Sind die Regeln auf dem Proxmox?
Ob die Regeln im Proxmox-Interface erstellt wurden? Nein

Sind die VM nicht im normalen Netz sondern in einem VM Netz in das der Proxmox dann routen muss?
siehe Anhang: /etc/network/interfaces
Die IP die Du angegeben hast (interne) was das die vom mailserver oder vom Proxmox?
pve: 192.168.1.2
mailserver: 192.168.1.3

Mein Favorit wäre der Proxmoxserver als Ursache, da der Router einen Ping erlaubt und der Router neu gestartet wurde.
Geht eine ssh Portweiterleitung auf den Proxmoxserver (einen der anderen Server) über die öffentliche IP?

Das der Router was weg hat kann sein, aber Proxmox ist warscheinlicher.


Gruß

Chonta

route -n:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 vmbr0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr1

/etc/network/interfaces:
# network interface settings
auto lo
iface lo inet loopback

iface eth0 inet manual

iface eth1 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.0.2
        netmask 255.255.255.0
        gateway 192.168.0.1
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0

auto vmbr1
iface vmbr1 inet static
        address 192.168.1.2
        netmask 255.255.255.0
        gateway 192.168.0.2
        bridge_ports eth1
        bridge_stp off
        bridge_fd 0 
xoxyss
xoxyss 04.07.2016 um 18:59:55 Uhr
Goto Top
Also wenn der Zugriff per Domain von extern funktioniert aber von intern nicht würde ich Probleme mit Proxmox erstmal ausschließen. Gibts ne Fehlermeldung wenn du intern den Zugriff probierst? Was sagt das Syslog vom Mailhost? Kannst du intern von einem Client die Maildomain anpingen? Hast du extern einen anderen Nameserver oder nutzt du dafür auch deinen eigenen DNS?
Mudla2010
Mudla2010 04.07.2016 um 21:26:29 Uhr
Goto Top
Am Mailserver krieg ich keine Fehlermeldung, da die Verbindung dahin ja nicht aufgebaut wird.

Wenn ich vom pve "telnet mailserver 25" mache, klappt das wunderbar, wenn ich aber "telnet xxx.com 25" mache, klappt das nicht mehr (Meldung: Trying xxx.xxx.xxx.xxx ..., dann abbruch).

Dnsmasq ist nur vom internen Netz erreichbar.

Ich werd einfach nicht sclau aus der Sache face-sad
xoxyss
xoxyss 04.07.2016 aktualisiert um 22:28:20 Uhr
Goto Top
Meldung: Trying xxx.xxx.xxx.xxx ..., dann abbruch
Was genau bedeuten die xxx ist das die korrekte IP deines Mailservers? In diesem Fall scheint ja erstmal die Namensauflösung an sich korrekt zu sein. Poste doch mal die Ausgabe eines Ping Befehls also: ping mail.xxx.com du schreibst auch was von Webserver, sind da deine gehisteten seiten per Domainame erreichbar?

Sollte der Hostname korrekt aufgelöst sein muss im Syslog deines Mailservers irgendwas ankommen. Entweder ben Fehler der Firewall oder was anderes, der Server ist ja schließlich per IP korrekt erreichbar wenn ich das richtig verstanden habe.
Mudla2010
Mudla2010 05.07.2016 um 00:38:07 Uhr
Goto Top
ping von intern:

PING xxx.com (111.222.333.444) 56(84) bytes of data.
64 bytes from xxx.com (111.222.333.444): icmp_seq=1 ttl=63 time=0.558 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=2 ttl=63 time=0.426 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=3 ttl=63 time=0.356 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=4 ttl=63 time=0.364 ms
64 bytes from xxx.com (111.222.333.444): icmp_seq=5 ttl=63 time=0.370 ms
^C
--- xxx.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 0.356/0.414/0.558/0.079 ms


Die gehostete Seite ist von aussen erreichbar über xxx.com, von intern nur über IP (192.168.1.4) oder DNS-Name (webserver), wie auch alle anderen Services.

Wenn ich "telnet xxx.com 25" mache, versucht er immer, mit der öffentlichen IP zu verbinden, was ja richtig ist, nur wird die Verbindung nicht nach innen weitergeleitet, warum auch immer. Von "aussen" funktioniert es prima, nur von innen nicht.
xoxyss
xoxyss 05.07.2016 um 06:46:32 Uhr
Goto Top
Okay also deine öffentliche IP wird korrekt aufgelöst... Hast du eine statische IP oder eine dynamische IP?

Also ich weiß aktuell auch nicht so richtig weiter... Der Zugriff zum Beispiel per LTE funktioniert. Das bedeutet, der Server an sich ist richtig konfiguriert. Dein Router leitet intern die Anfrage auch richtig weiter. Wenn du aus deinem LAN eine Anfrage startest geht diese zum externen DNS dieser löst deine öffentliche IP richtig auf aber dein Router scheint die Anfrage abzulehnen was für mich keinen Sinn macht...

Was hast du fürn Router davor?
Mudla2010
Mudla2010 05.07.2016 um 07:06:18 Uhr
Goto Top
Guten Morgen!

Ich hab eine statische IP.

Router ist ein "Genexis Tundra", Glasfaseranschluss.

Leider ist für mich das alles auch sehr komisch.