IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 21.04.2018, 00:11

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 19 Beiträge ]  Gehe zu Seite 1 2 Nächste
Autor Nachricht
BeitragVerfasst: 24.12.2017, 21:10 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
Hallo allerseits,
weiß nicht ob ich hier nun richtig bin, wenn nicht bitte verschieben, vielen Dank für Euer Verständnis.
Also folgendes Problem:
nach Umstellung auf IP Anschluss(zwangsweise) funktionierte erstmal nichts mehr. Heute funktioniert alles, bis auf den Webserver wieder dank FritzBox 7390(günstige Neuanschaffung, vorher:
2x Fritzbox 7170
1 DSL/ISDN/Inet IP .0.1 (RED)
2 wlan und Switch Wohnzimmer Netz .1.2 (GREEN)
1x Fritzbox7050 wlan AP (BLUE)
1x Switch Orange
IPCOP miniitx 4x NIC RED-IP .0.2/GREEN-IP .1.1/BLUE-IP .2.1/ORANGE-IP .3.1
Bis Hier hat alles einwandfrei funktioniert, mit NTBA und Splitter.
Konfiguration aktuell
ipcop DELL 2650 6x NIC
eth0 RED- IP .0.2 > wan Fritzbox7390 IP .0.1
eth1 GREEN-IP .1.1 > switch
eth2 Blue-IP .2.1 > FritzBox7050(Wlan-AP)-IP .2.2
eth3 ORANGE- .3.1 > FritzBox7170(DMZ/switch)-IP .3.2 > Port 2 Fritzbox7390 IP .0.1 Portfreigabe exposed Host .3.2

Webserver/emailrelay IP 192.168.3.180 Dyndns auf Selfhost besteht schon lange, darüber lief der Server Jahre.
ipcop eth3 .3.1 > FritzBox7170(DMZ/switch) Port 2-IP .3.2 Freigaben hier http:80 u. https:443 > webserver

Es ist unmöglich diesen Webserver öffentlich zu machen, vielleicht könnt Ihr mir Helfen, habe diese Beschreibung extra so kurz wie möglich gehalten.
Wie kann ich hier ein Bild meines Netzwerkes einfügen?
Hier das Netzwerk wie es aufgebaut ist:
https://lajuxf93m0urj5ig.myfritz.net:40536/nas/filelink.lua?id=c34af0b536d896d4


Nach oben
   
BeitragVerfasst: 25.12.2017, 19:48 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Nimm die zweite Fritzbox raus und hänge den Server direkt an Orange.
Ich verstehe nicht, was die zweite Fritzbox dort soll? Und warum sie eine Anbindung an die erste Fritzbox hat. Was möchtest du damit erreichen?

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 26.12.2017, 10:25 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
erst einmal Danke für Deine Antwort.
FritzB 2 dient zum einen(Hauptsache als getrennter switch(Orange),
ipcop Port 2 IP 192.168.3.1, Port 3 der Webserver IP 192.168.3.180
Verbindung wan Port 1 an FB7390, weil ansonsten Freigaben auf .3.0/24 nicht möglich sind.

Folgendes habe ich bereits geändert. Freigabe an FB-switch gelöscht und ipcop (RED) IP .0.2 als "exposed Host", der Aufruf Webserver über Selfhostadresse funktioniert so.
Werde die Verbindung Port 1- Wan an FB7390 nun entfernen, und dann den Stand berichten.
Hier also aktuell(Bilder sagen mehr wie Worte:
https://lajuxf93m0urj5ig.myfritz.net:40536/nas/filelink.lua?id=df9dbb9889e572c6


Nach oben
   
BeitragVerfasst: 26.12.2017, 12:43 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Wer macht denn die Einwahl? Hängen die Telefone an der ersten Fritzbox?
Ich würde die erste FB als Modem einrichten (Bridge o.ä.), die Einwahl kann der IPCop machen (VLAN-Tag auf 7 stellen!). Dann werden alle Routingregeln nur im IPCop eingerichtet, dadurch schliesst du einiges an Konfigurationsfehlerquellen aus und du hast kein doppeltes NAT.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 26.12.2017, 15:13 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
Hallo RadioCarbon,
"Wer macht denn die Einwahl?" das macht die Fritzbox7390, die ISDN-TK Anlage (FritzX USB) hängt am ISDN S0(7390) wegen IP- Telefonie.
"die erste FB als Modem einrichten (Bridge o.ä.)" Kann ich im Moment noch nicht machen wegen TK-Anlage etc und mangels ausreichend Informationen zur FB7390, muss ich mich erst "schlau" machen, wobei ich da nicht abgeneigt wäre.
Wichtig im Moment der Webserver und die Einrichtung Mail- Relay für den Mailserver im Netz/IP .1.82, alles andere funktioniert(e) bis zum entfernen der Kabel-Verbindung FB7170 > FB7390 einwandfrei nach vielen Wochen Qualen mit Speedport-Router.
Nach entfernen Kabel-Verbindung kommt nun:
ipcop Proxy
Verbindung zu 93.225.11.xxx Fehlgeschlagen.
Das System antwortete: (113) No route to host

ipcop IP .3.1 und webserver hängen an einer switch (FB7170 ohne weitere Funktion)


Nach oben
   
BeitragVerfasst: 26.12.2017, 22:28 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Du musst dich entscheiden, ob du deinen Server als "exposed Host" an der FB7390 oder in der DMZ des IPCop betreiben möchtest.
So wie die Ausgangskonfiguration nach deinem VDSL-Umbau war, sollte man es nicht machen. Da handelt man sich nur Ärger mit ein.

Wie rufst du von wo den Server auf? Sind die Routen korrekt eingetragen worden?

Gute Planung vorab ist hilfreich. Einfacher Aufbau ist besser als kompliziert.

Vorschlag: Hole dir ein reines VDSL-Modem (ich habe hier ein DrayTek Vigor 130 an 100-er VDSL-IP), die FB7390 legst du wahlweise nach Grün oder Orange für deine IP-Telefonie. Der IPCop übernimmt die Einwahl. Richte beim IPcop die entsprechenden Regeln für deinen Server bei Orange ein.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 27.12.2017, 12:35 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
Ok, Du hast sicher Recht.
"ob du deinen Server als "exposed Host" an der FB7390 oder in der DMZ des IPCop betreiben"- Ja, diese Entscheidung ist klar.
als "Exposed Host" ist deshalb der ipcop IP 192.168.0.2 (RED) an der FB7390(DSL/INET/ISDN-TK)- WAN eingerichtet, sonst keine weiteren Freigaben oder Verbindungen außer ISDN S0-TK Anlage.
Die FB7170 dient ausschließlich als "getrennter Switch" für DMZ(Orange), INET als Client über IP 192.168.3.2- GW 192.168.3.1 ipcop, Port 2 = ipcop 192.168.3.1 und Port 3 = Webserver, keine anderen Funktionen/Verbindungen.
Die FB7390 war vorher nicht vorhanden (ISDN/DSL16000- SPLITTER/NTBA), wurde gekauft wegen unbrauchbaren SPEEDPORT Router der nun, da leider Miete, im Whz. das WLan Netz versorgt (wo für zuvor eine weitere FB7170 vorhanden war/ist) (IP 192.168.1.2- DHCP = ipcop Grün)
Das folgende Bild zeigt die aktuelle Konfiguration(jNETMAP- Grün= online - rot =offline).
https://lajuxf93m0urj5ig.myfritz.net:40536/nas/filelink.lua?id=960caf05f1857e20


Nach oben
   
BeitragVerfasst: 27.12.2017, 15:58 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Jetzt funktioniert es?
Wenn nicht, fehlen nur noch Regeln beim IPCop. Jedenfalls vermute ich das nachdem ich mir die Beschreibung des "exposed Host" bei Fritz! durchgelesen habe.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 27.12.2017, 16:21 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
"Jetzt funktioniert es? " Jain, mal Ja mal nein, weiß nicht woran es liegt.
Regeln im cop sind angelegt, siehe:
https://lajuxf93m0urj5ig.myfritz.net:40536/nas/filelink.lua?id=df9dbb9889e572c6 unten im Bild Firewallregeln im cop.
Mail-Realy habe ich nach folgender Anleitung begonnen:
http://ipcop.gutzeit.ch/pdf/web_mail_dmz.pdf funktioniert aber noch nicht, Regeln sind im cop eingerichtet unter Orange > Grün.


Nach oben
   
BeitragVerfasst: 27.12.2017, 18:28 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Die ersten beiden Regeln (Orange->Grün) brauchst du nicht bzw. solltest du nicht einrichten. So könntest du auch gleich den Server in Grün betreiben, deine Regeln hebeln die Sicherheitsvorkehrungen im IPCop aus.
Begründung:
Port 25 wird immer vom Client zum Server aufgebaut. Da die Clients sich in Grün befinden, haben sie auch Zugriff auf Orange. Für Clients die in Blau sind und Zugriff darauf haben sollen, muss eine VPN her.
Port 53 wird aus gutem Grund nicht in Orange vom IPCop bereit gestellt. Entweder man betreibt einen eigenen DNS in der DMZ oder benutzt einen externen Dienst. Der Einfachheit wegen, stelle auf deinem Server als DNS 8.8.8.8 (Google) ein und du brauchst die Weiterleitung für DNS nicht.

Die smtp-Regel (Any->Orange) benötigt man nur, wenn externe Mailserver Zugriff auf deinen Mailserver bekommen sollen. Gefährlich, wenn du eine schwache Mailkonfiguration hast. Das merkt man meist erst, wenn der Server zur Spamschleuder geworden ist.
Ich würde vorschlagen, du machst den Port 25 wieder zu. Zum Abholen der Mails kann man gut Fetchmail benutzen, der die dann lokal an deinen Mailserver (Sendmail, Postfix?) zustellt. Ausserdem würde ich (habe ich) Fetchmail so konfigurieren, dass nur über tls/ssh Mails vom externen Server geholt werden.

http und https (selbst signiertes Zertifikat? oder gekauftes öffentliches Zertifikat?) sind sinnvoll.
ssh wäre eventuell auch eine Option um möglicherweise Wartungen von Aussen durchzuführen. Okay via VPN wäre das besser gelöst.

Hoffe ein paar Denkanstösse gegeben zu haben.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 27.12.2017, 19:09 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
Jo, Danke Dir.
" Zum Abholen der Mails kann man gut Fetchmail benutzen, der die dann lokal an deinen Mailserver (Sendmail, Postfix?) zustellt. " Hab ich genauso (IP 1.82- UCS Mail/DC Backup).
"Die ersten beiden Regeln (Orange->Grün)" werde ich gleich so tun!
"Port 25" hatte ich meines wissens schon deaktiviert?

Nur wie realisiere ich jetzt das der Web/Mailserver zwar abholt und sendet aber gespeichert wird ausschließlich auf dem Mailserver IP .1.82 (Dovecot/Postfix/Fetchmail) bis jetzt holt/verteilt und sendet dieser, denn der Web/Mailserver(soll nur Mailrelay sein) steht ja im DMZ. (siehe eckkis Anleitung http://ipcop.gutzeit.ch/pdf/web_mail_dmz.pdf )


Nach oben
   
BeitragVerfasst: 27.12.2017, 20:23 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Entweder du verabschiedest dich vom Mailserver in Orange oder du übernimmst die Konfiguration aus Grün und entfernst dort den Mailserver.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 28.12.2017, 10:33 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
Hört sich beides nicht so gut an. Meine Frage ist nun(Zitat aus Ecki´s Anleitung Seite 4 letzter Abs.:
" Der Mailserver in der DMZ wird als reines Mailrelay konfiguriert, evtl. erweitert mit SPAM- und
Virenfilter. Das heisst, alle Mails für die eigene Domain werden angenommen und direkt an den internen Mailserver weitergeleitet.
!!! Es werden keine Mails in der DMZ gespeichert!!!
Dadurch wird sichergestellt, dass sich in der DMZ niemals wichtige interne Daten befinden. Ebenso ist kein direkter Zugriff vom Internet auf das LAN möglich, da nun das Mailrelay in der DMZ dazwischen liegt.
"
Dafür waren ja die ersten beiden Freigaben im cop (Orange <> Grün) ist das so unter Vers. 2.1.9 nicht mehr möglich? Zumindest halte ich das für eine sichere Lösung.
Nach Ecki´s Anleitung hatte ich mir das so vorgestellt!
https://lajuxf93m0urj5ig.myfritz.net:40536/nas/filelink.lua?id=0d23501e902d30fe


Nach oben
   
BeitragVerfasst: 28.12.2017, 15:00 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Ich verstehe was du meinst,
Möchtest du das Relay nur für ankommende Mails benutzen? Wenn ja, dann sollte es reichen den Postfix als solchen einzurichten (Anleizungen dazu gibts genug im Netz) und die Portfreigabe Orange->Grün, welche ich weiter oben bemängelt habe, wieder einzurichten.

Soll das Relay auch für ausgehende Mails fungieren, hoffe ich, dass du einen Mailprovider hast, der auch von dynamischen IPs Mails entgegen nimmt und diese nicht zurückweist (das wäre noch okay, da bekommst du mit das es nicht geht) oder einfach als Spam markiert und weiter reicht bzw. aussortiert (dann wißt du nicht ob es ankommt),

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 28.12.2017, 15:34 
Offline
Apprentice
Themenstarter
Apprentice
Benutzeravatar

Registriert: 04.10.2015
Beiträge: 10
Deine zweite Option ist die gewünschte,
z.Zt. macht das der Server IP .1.82 (mit Horde Groupware) der soll auch weiter alles von IP .3.180 erhalten und über diesen senden, so das auf den Clients möglichst smtp und pop3/imap nicht geändert werden müssen also IP .1.82 weiter bleiben.
Welche dynamische IP meinst Du? Bei mir haben alle Clients/Server feste Zuordnung außer die WLan- Geräte die zwar über ipcop DHCP Grün/Blau ihre IP erhalten aber diese auch wieder fest zugeordnet sind, also immer gleichbleibend.
" ...einen Mailprovider hast, der auch von dynamischen IPs Mails entgegen nimmt... " Das müsste ich halt probieren, bis DATO funktioniert der Empfang und Versand so einwandfrei (Dovecot/Postfix/fetchmail) über yahoomail z.Zt.


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 19 Beiträge ]  Gehe zu Seite 1 2 Nächste

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de