probleem met mailserver aan router - Netwerken

dinsdag 7 maart 2006 00:32

Acties:

Topicstarter

Beste Tweakers,

Ik zit met het volgende probleem en ben er al het hele weekend zoet mee.
Ik heb 1 router met daaraan 2 netwerken (plus internet).
Zie plaatjeheironder:
Afbeeldingslocatie: http://gverweijen.demon.nl/images/netwerk.gif

Afbeeldingslocatie: http://gverweijen.demon.nl/images/netwerk.gif

nou werkt dit allemaal zoals het hoort op 1 ding na.

Mensen die zich bevinden in 'NETWERK' kunnen niet connecten met 'Mailserver'.
Vanuit internet kan men wel connecten met 'Mailserver'.
Ik heb gekozen voor deze opstelling om met te verplichten mijn externe demeinnaam te gebruiken omt e connecten, ook als men lokaal werkt, dit i.v.m. laptops die regelmatig via internet verbinding maken met 'Mailserver'

Mis ik ergens een detail?

Algemene info:
- OS: Windows 2003 server
- Routering: Winroute firewall 6.1.4b

[ Voor 7% gewijzigd door Greeg op 07-03-2006 00:35 ]

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 00:38

Acties:

DJSmiley

Mailserver gewoon in je normale netwerk hangen met een IP in dezelfde range als "NETWERK" en lokaal een DNS draaien die mail.domein.ext resolved naar 192.168.ip-mailserver ?

Anders een route instellen op je server, nu zal ie waarschijnlijk alle niet-192.168.0.x adressen door de gateway van je ISP trappen.

dinsdag 7 maart 2006 00:41

Acties:

RaZ

Funky Cold Medina

Waarom die mail-server niet in je lan-range hangen?
192.168.0.x/255.255.255.0 <-> 192.168.3.2/255.255.255.0
Als je je IP's via DHCP uitdeeld, kan je prima 192.168.0.1-10 vrijhouden voor servers.
Je kan ook je subnet aanpassen: 255.255.0.0, dan werkt het ook.

Ey!! Macarena \o/

dinsdag 7 maart 2006 00:44

Acties:

Greeg

Topicstarter

Porbleem is dus dat ik deze servers alleen wil benaderen met een extern IP adres om verwarring te voorkomen.
Ook hang ik em in een apart netwerk om veiligheids redenen.
Ik heb me laten informeren dat dit een gebruikelijke constructie is.
Het enige probleem zit m dus in het exern benaderen als je internt zit

[ Voor 9% gewijzigd door Greeg op 07-03-2006 00:46 ]

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 00:48

Acties:

DJSmiley

Greeg schreef op dinsdag 07 maart 2006 @ 00:44:
Porbleem is dus dat ik deze servers alleen wil benaderen met een extern IP adres om verwarring te voorkomen.
Ook hang ik em in een apart netwerk om veiligheids redenen.
Ik heb me laten informeren dat dit een gebruikelijke constructie is.
Het enige probleem zit m dus in het exern benaderen als je internt zit

1. Waarom benaderen via een extern IP adres? Een DNS naam is a. handiger te gebruiken en b. lost t probleem op: resolve dnsnaam lokaal naar t juiste IP.
2. Dat je mailserver in een apart netwerk zit, leuk, maar ik zie eigenlijk het nut er niet van in (niet in jouw situatie iig).

dinsdag 7 maart 2006 00:50

Acties:

RaZ

Funky Cold Medina

Dan heb je voor extern->mailserver een port-forward staan, dat kan je intern natuurlijk ook doen.
Het ip van je router binnen 192.168.0.x laten forwarden naar 192.168.3.2

Ey!! Macarena \o/

dinsdag 7 maart 2006 00:55

Acties:

Greeg

Topicstarter

DJSmiley schreef op dinsdag 07 maart 2006 @ 00:48:
[...]

1. Waarom benaderen via een extern IP adres? Een DNS naam is a. handiger te gebruiken en b. lost t probleem op: resolve dnsnaam lokaal naar t juiste IP.
2. Dat je mailserver in een apart netwerk zit, leuk, maar ik zie eigenlijk het nut er niet van in (niet in jouw situatie iig).

Het netwerk waar Mailserver in zit komen in de toekomst ook andere servers bij.
De netwerken van Mailserver en NETWERK moeten ten alle tijden gescheiden blijven.

RaZ schreef op dinsdag 07 maart 2006 @ 00:50:
Dan heb je voor extern->mailserver een port-forward staan, dat kan je intern natuurlijk ook doen.
Het ip van je router binnen 192.168.0.x laten forwarden naar 192.168.3.2

Ik heb idd een portforward staan van extern naar 192.168.3.2 en die werkt ook.
Is het niet mogelijk om te connecten zonder intern te routeren?
Dit kan toch nooit de bedoeling zijn?

[ Voor 5% gewijzigd door Greeg op 07-03-2006 00:59 ]

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 00:59

Acties:

RaZ

Funky Cold Medina

Greeg schreef op dinsdag 07 maart 2006 @ 00:55:
[..]
Ik heb idd een portforward staan van extern naar 192.168.3.2 en die werkt ook.
Is het niet mogelijk om te connecten zonder intern te routeren?

Dat lijkt me niet, omdat de machines elkaar niet kunnen benaderen.

Wat wel kan, de machine die je DHCP regeld, kan je ook een DNS entry inzetten die je externe hostname een ip geeft van die machine, en dan gewoon alsnog een portforwarding doen.

Maar even los daarvan, ik zou wel eens willen weten waarom servers in je lan niet bereikbaar mogen zijn binnen je lan? Dan heb je er bar weinig aan, of ben ik nu gek ?

Ey!! Macarena \o/

dinsdag 7 maart 2006 01:05

Acties:

Greeg

Topicstarter

Omdat een beveiligingslek op een van de Netwerk clients dan 'vrije doorgang' kan bieden tot de servers die daar dan zouden draaien.
Dat risico kan ik niet nemen in deze situatie.
bovendien wil ik consistent zijn met het mailserver adres.
mensen met een laptop moeten zowel intern als extern hetzelfde domein moeten kunnen gebruiken.
deze mensen zijn simpelweg niet handig genoeg om dit zelf te configureren.

Dus:

NETWERK <--> Mailserver : Deny
INTERNET <--> Mailserver: Accept
NETWERK <--> INTERNET: Accept

[ Voor 13% gewijzigd door Greeg op 07-03-2006 01:07 ]

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 01:12

Acties:

RaZ

Funky Cold Medina

Hoe beveilig je trouwens je mail-server dat je geen open-relay bent?
Aangezien de mensen dus extern moeten kunnen mailen naar externe adressen. Zo krijgen spam-boeren op je mail-server wel de vrije loop he. En dan kan je straks helemaal niet meer mailen, omdat je provider je poorten dichtzet.

Ey!! Macarena \o/

dinsdag 7 maart 2006 01:13

Acties:

Greeg

Topicstarter

Omdat ik geen open relay ben.
Mailserver zit achter een router (met een firewall die behoorlijk dicht getimmerd is)
Accounts worden handmatig beheerd.

[ Voor 41% gewijzigd door Greeg op 07-03-2006 01:13 ]

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 01:16

Acties:

RaZ

Funky Cold Medina

Greeg schreef op dinsdag 07 maart 2006 @ 01:13:
Omdat ik geen open relay ben.
Mailserver zit achter een router (met een firewall die behoorlijk dicht getimmerd is)
Accounts worden handmatig beheerd.

Mail ophalen doe je met pop3, username en wachtwoord. Hoe heb jij je mail-server dichtgetimmerd dat er alleen door die 2 laptops mail verstuurd kan worden vanaf het internet?
Als die laptops mail kunnen versturen, kunnen spam-boeren het ook.

Ik vraag dit puur uit intresse omdat ik toen der tijd gewoon simpel weg heb gezegt, als je bedrijfsmatig wil mailen, doe je dat op de zaak. De mail-server was ingesteld dat enkel IP's binnen het lan konden connecten, en de IP van de smtp-servers van de provider voor b-smtp. Tevens mochten alleen externe IP's enkel mail voor interne adressen worden afgeleverd. Mail die niet voor het bedrijf bedoeld was, werd dus niet geaccepteerd.

[ Voor 31% gewijzigd door RaZ op 07-03-2006 01:19 ]

Ey!! Macarena \o/

dinsdag 7 maart 2006 01:21

Acties:

Greeg

Topicstarter

zoals je zegt, een gebruikersnaam en wachtwoord, daarbij komt nog dat de server een intern beveiligings systeem heeft tegen spammers.
Deze mailserver wordt niet alleen bedrijfsmatig gebruikt.

Maar om weer even on-topic te komen.
heeft iemand enig idee waar dit probleem opgelost kan worden.
Ik wil feitelijk mezelf vanaf een intern netwerk extern kunnen doormappen naar een ander intern netwerk.

[ Voor 13% gewijzigd door Greeg op 07-03-2006 01:23 ]

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 01:23

Acties:

RaZ

Funky Cold Medina

Ik heb een mooie simpele oplossing staan voor je:
RaZ in "probleem met mailserver aan router"

[ Voor 7% gewijzigd door RaZ op 07-03-2006 01:24 ]

Ey!! Macarena \o/

dinsdag 7 maart 2006 01:40

Acties:

Greeg

Topicstarter

RaZ schreef op dinsdag 07 maart 2006 @ 00:59:
[...]

Wat wel kan, de machine die je DHCP regeld, kan je ook een DNS entry inzetten die je externe hostname een ip geeft van die machine, en dan gewoon alsnog een portforwarding doen.

Doe ik dit in de hostfile van de router?

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 01:45

Acties:

RaZ

Funky Cold Medina

De DHCP-server geeft IP's uit, met een default gateway, dns-server en subnet-mask.
Als je dus ook zelf een DNS-server draait, zet je daarin
Hier.je.domein.iets -> IP van je router in het 192.168.0.x segment.
Op je router forward je dan gewoon die handel weer naar 192.168.3.2
Er is, of was, een tooltje, SimpleDNS die een DNS-server was op basis van de windows hosts file. Dat progseltje was toen der tijd gratis. Als jij een Windows Server hebt staan, dan kan je dus de mogelijkheid van Windows gebruiken.

Ey!! Macarena \o/

dinsdag 7 maart 2006 01:50

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Greeg, als ik het goed begrijp heb je je interne Clients zo ingested dat hun mail server op hetzelfde IP Adres zit als voor externe Clients. Dus stel je Mailserver heeft extern IP Adres 123.45.67.89, dan hebben externe clients dus IP adres 123.45.67.89 ingestedl staan, en interne clients dus ook 123.45.67.89. en niet 192.168.3.2. Jij wilt dus dat een PC met IP 192.168.0.3 voor mail ophalen naar adres 123.45.67.89 gaat vragen.

Dit zal je niet gaan lukken. Waarom niet: omdat je modem dan een loopback moet hebben. In simpele termen: D modem ziet aan de binnenkant een request voor adres 123.45.67.89, en zou dat normaal gesproken naar buiten sturen. Echter, hij ziet dat hij dit adres zelf is. Duss stuurt hij het niet naar buiten en ook niet naar zichzelf, want daar is 'ie al. Ergo, geen verder routering, packet wordt gedropped.

Oplossing is simpel. Zorg dat je aan de binnenkant een DNS Server hebt staan en stel je Clients in op een DNS Naam (bijv. mailserver.jouwdomain.nl). Dit domain is natuurlijk een aan de buitenkand extern gehost Domain, en wijst naar jouw externe IP Adres. Aan de binnenkant wijst hetzelfde Domain echter naar 192.168.3.2. Vanuit CLient oogpunt lijkt het dus altijd dezelfde hst te zijn, in werkelijkheid wordt er afhankelijk van het LAN segemtn (intern of extern) een ander IP Adres terug gegeven.

Nothing is a problem once you've debugged the code

dinsdag 7 maart 2006 02:04

Acties:

Greeg

Topicstarter

DaRealRenzel, je hebt het helemaal begrepen.

Is deze loopback niet in te stellen in m'n modem(bridge)? (Zyxel 2602R)

De oplossing die jij aandraagt betekend dus dat ik het volgende in de hostfile moet zetten:
192.168.3.2 mijn.domein.naam:poort

of moet ik hier een aparte domein-redirect voor aanvragen?

Is somebody not editing what I'm saying here???

dinsdag 7 maart 2006 02:35

Acties:

Greeg

Topicstarter

Volgens deze website: http://www.zyxel.nl/support/z156.php#loopback

5: NAT loopback

De 'NAT Loopback' functie maakt het mogelijk om interne servers ook vanaf interne machines op het publieke IP-adres bereikbaar te maken. Dit staat standaard "uit".
Probeer de volgende stappen.

1. Zoek toegang tot de router met Telnet
2. Zet NAT Loopback functie aan met het volgende commando in Telnet menu 24.8:ip nat loopback aan, bijvoorbeeld:

Copyright (c) 1994 - 2005 ZyXEL Communications Corp.
ras> ip nat loopback
NAT loopback: off
ras> ip nat loopback on
ras>

Tot zover gedaan, vanaf hier wordt het voor mij vaag gebied. Zijn er mensen die ervaring hebben met dit soort configuraties?

3. Zet de juiste poort door in de NAT/SUA Setup van de router.
4. Registreer optioneel een domein naam voor uw router, bijvoorbeeld bij DynDNS.

[ Voor 14% gewijzigd door Greeg op 07-03-2006 03:12 ]

Is somebody not editing what I'm saying here???

Pagina: 1

Reageer