URL Forwarding met alternatieve poorten werkt niet meer

Vraag

vrijdag 30 september 2016 00:59

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ok, begin bij het begin.
Binnenkort start ik mijn eigen organisatie, een evenementenbureau samen met mijn verloofde.
In het verleden heb ik al eens gewerkt met domeinnamen, web- en mailservers dus zaken zoals port forwarding, mx, C-Name, A-records, nameservers,... Dat soort termen zijn geen chinees voor mij.

Dus, ik heb mijn eigen domeinnaam"surfgate.be" en probeer die (opnieuw) te draaien op mijn server die (voorlopig) gebruik maakt van Win 10 Entreprise Edition.
1. Ik gebruik hiervoor IIS (Internet Information Services). Ook heb ik een SSL Klasse 1 certificaat (maar dat is voor later).
2. Voor de mailserver gebruik ik Kerio Connect 8.4 (en nog iets) met een licentie voor 100 gebruikers.
3. De FTP server draait op poort 2121 met FTP-U Serv.
4. Voor aangepaste DNS, MX en URL forwarding maak ik gebruik van "dnsexit.com".
5. De 4 Nameservers van "dnsexit.com" zijn gedelegeerd aan "Trans-ip.com" waar ik mijn domeinnaam heb gekocht.
6. Voor privé gebruik heb ik ook de mediaserver Plex op diezelfde server geïnstalleerd en draait op poort 32400.

- Ik gebruik als ISP Telenet Fiber 100 (ik weet het: inbound poorten tot 1024 zijn geblokkeerd).
- Server: Omgebouwd Dell systeem met 2 Intel PCI Express netwerkkaarten (1000 Gigabit/s), Intel I7 Core @ 3,2 GHz, 16 GB DDR3 1600MHZ RAM, 4x SATA WD Red NAS drives 4TB, 1x Samsung SSD Drive 520GB.

PROBLEEM

Alles is opgezet, alles ZOU correct geïnstalleerd en geconfigureerd moeten zijn maar dan beginnen de (héél bizarre) problemen.
Mijn poorten heb ik in de Telenet modem geforwarded, ik heb om het safe te 'spelen' als volgt gedaan:

IP Poort van Poort tot TCP/UDP Actief

192.168.0.1 8000 8100 beide ja

192.168.0.192 8000 8100 beide ja

192.168.0.1 2120 2122 beide ja

192.168.0.192 2120 2122 beide ja

192.168.0.1 32399 32401 beide ja

192.168.0.192 32399 32401 beide ja

192.168.0.192 is het IP die de router heeft gegeven aan de server. Poorten 8000 tot 8100 worden door de webdiensten gebruikt (zowel web als webmail en administratie), poort 2121 voor de FTP server en poort 32400 voor Plex.

Bij DNSEXIT.com staat dit als volgt ingesteld:

Afbeeldingslocatie: http://users.telenet.be/x-design/dnsexit-dnsconfig.jpg

Afbeeldingslocatie: http://users.telenet.be/x-design/dnsexit-dnsconfig.jpg

Dit is de URL forwarding:

Afbeeldingslocatie: http://users.telenet.be/x-design/dnsexit-urlforwarding.jpg

EN NU HET PROBLEEM

Dit is een screenshot gemaakt op een laptop vanaf afstand met TeamViewer (remote control), dus de client:

Afbeeldingslocatie: http://users.telenet.be/x-design/pingsurfgateclient.jpg

Afbeeldingslocatie: http://users.telenet.be/x-design/pingsurfgateclient.jpg

Zoals je ziet, ik ping vanop afstand naar mijn domein. Alles lijkt correct.

Dit is een screenshot op de server, zelfde ping commando:

Afbeeldingslocatie: http://users.telenet.be/x-design/pingsurfgateserver.jpg

Afbeeldingslocatie: http://users.telenet.be/x-design/pingsurfgateserver.jpg

Zoals je ziet, een time-out op de eigen server.
Ik snap dit totaal niet, ik heb al DMZ geprobeerd, alle firewalls uitgezet, hogere poorten (10000 en hoger) geprobeerd,... NIETS werkt en ik snap het langs geen kanten!

Zelfs met een verse installatie en een Winsock reset, blijft het probleem.

Wat kan ik hieraan doen????

Ik ben ten einde raad!

Alvast bedankt en stuur dit zoveel mogelijk door naar anderen die hopelijk het antwoord wel weten of verder kunnen helpen. Nogmaals bedankt.

UPDATE
Nu ligt de mailserver ook plat!

Afbeeldingslocatie: http://users.telenet.be/x-design/mailtest.jpg

[ Voor 1% gewijzigd door Verwijderd op 30-09-2016 01:44 . Reden: 2de probleem ]

Alle reacties

vrijdag 30 september 2016 01:07

Acties:

+2 Henk 'm!

johnkeates

Eh, je setup klopt naar mijn idee voor geen meter, maar laten we even focussen op je probleem: je gebruikt een HTTP redirect o.i.d. wat betekent dat je dus niet tegen je eigen server kan/moet praten, maar tegen de proxy die die redirects doet. Daarnaast kan je vanaf je server niet naar je eigen WAN connecten als je geen loopback-NAT doet.

vrijdag 30 september 2016 01:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Langs geen meter? Enkele dagen geleden werkte deze set-up nog perfect en konden vrienden in Lagos en NYC een filmpje en mails bekijken.

vrijdag 30 september 2016 02:21

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

De loopback NAT denk ik gevonden te hebben via dit artikel. Zal ik morgen eens uittesten:
http://www.nakedcleaner.c...sys-reverse-nat-loopback/

Nu, waarom is mijn set-up niet correct? Ik wil simpelweg een mail en webserver draaien wat vroeger geen problemen gaf doordat ik niet met routers sukkelde. Bij de vorige modems van Telenet kreeg je tot 4 publieke IP adressen, nu eentje die maar héél erg beperkt geconfigureerd kan worden. Daarnaast hangt er een Linksys EA6900 router aan (zie het geposte artikel) maar om het zo simpel mogelijk te houden, heb ik die eruit gegooid.
Moet ik die er terug tussen steken en ook portforwarding gebruiken?
Moet ik DMZ gebruiken? Zo ja, op welke router/toestel?
Zijn mijn URL forwardings verkeerd en/of DNS instellingen verkeerd?
Is de portforwarding op de Telenet modem verkeerd?

Indien allemaal ja, wat is de juiste configuratie dan?
De mailserver draait op de inkomende STMP server van "dnsexit.com" op poort 8001. Voor de uitgaande gebruik ik de relay: smtp.google.com met poort 567 voor TLS en mijn e-mail adres en wachtwoord voor Gmail.
Andere poorten die de mailserver gebruiken: 8010 voor webmail, 8011 voor HTTPS webmail (vandaar het SSL certificaat) en 8110 voor POP3.

De webserver (IIS) werkt op poort 8080.
Plex op poort 32400
FTP op poort 2121

vrijdag 30 september 2016 02:25

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Je probleem is, zoals johnkeates al zegt, dat je een HTTP redirect hebt ingesteld bij je DNS registrar. Je moet gewoon A-records instellen zodat de domeinnaam direct verwijst naar jouw server.

Op deze huidige manier is dat niet het geval: het domein verwijst naar een server van je registrar, en die server doet een 301-redirect of reverse proxy naar die target URL oid.

[ Voor 49% gewijzigd door Compizfox op 30-09-2016 02:32 ]

Gewoon een heel grote verzameling snoertjes

vrijdag 30 september 2016 02:38

Acties:

0 Henk 'm!

True

Dislecticus

offtopic:
Waarom TeamViewer en geen Windows RDP? Als jij je TeamViewer als background proces hebt draaien er bij kan door inloggen kunnen anderen dat misschien ook, ik zou het op mijn webserver niet willen hebben draaien: nieuws: Gebruikers klagen over diefstal via TeamViewer-software

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

vrijdag 30 september 2016 02:50

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ja, ok, maar als ik een nieuwe host aanmaak, bv. test.surfgate.be --> dynamisch adres -->mijn publiek IP dan kan ik geen poort erbij zetten (141.134.190.130:8090 is not valid IP). Daarom gebruik ik die redirects.
(dynamisch adres wordt telkens geüpdated d.m.v. een client prog)
En dat verklaart nog altijd niet waarom mijn e-mail server op poort 8001 niet (meer) bereikbaar is. Hij heeft nochtans gewerkt met deze settings.
Vroeger maakte ik gebruik van DynDNS maar die ondersteunen geen e-mail redirection meer.

Zou het niet kunnen dat een ventje van Telenet in Mechelen enkele functies van mijn publiek IP die waarschijnlijk gekoppeld is aan het MAC adres van de NIC uitgesloten heeft?
Dan zit er niks anders op dan de modem uit te trekken en enkele uurtjes te wachten tot ik een ander publiek IP krijg.

vrijdag 30 september 2016 02:57

Acties:

0 Henk 'm!

GlowMouse

Heb je recent de poorten gewijzigd? Want je webserver draait nu op poort 18080.

Compizfox schreef op vrijdag 30 september 2016 @ 02:25:
Je probleem is, zoals johnkeates al zegt, dat je een HTTP redirect hebt ingesteld bij je DNS registrar. Je moet gewoon A-records instellen zodat de domeinnaam direct verwijst naar jouw server.

Op deze huidige manier is dat niet het geval: het domein verwijst naar een server van je registrar, en die server doet een 301-redirect of reverse proxy naar die target URL oid.

Deze set-up is nodig omdat hij poort 80 niet kan gebruiken. Zou hij de A-records zo instellen dat ze naar zijn server wijzen, werkt http://domeinnaam niet.

vrijdag 30 september 2016 03:04

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Verwijderd schreef op vrijdag 30 september 2016 @ 02:50:
Ja, ok, maar als ik een nieuwe host aanmaak, bv. test.surfgate.be --> dynamisch adres -->mijn publiek IP dan kan ik geen poort erbij zetten (141.134.190.130:8090 is not valid IP). Daarom gebruik ik die redirects.
(dynamisch adres wordt telkens geüpdated d.m.v. een client prog)
En dat verklaart nog altijd niet waarom mijn e-mail server op poort 8001 niet (meer) bereikbaar is. Hij heeft nochtans gewerkt met deze settings.
Vroeger maakte ik gebruik van DynDNS maar die ondersteunen geen e-mail redirection meer.

GlowMouse schreef op vrijdag 30 september 2016 @ 02:57:
Heb je recent de poorten gewijzigd? Want je webserver draait nu op poort 18080.

[...]

Deze set-up is nodig omdat hij poort 80 niet kan gebruiken. Zou hij de A-records zo instellen dat ze naar zijn server wijzen, werkt http://domeinnaam niet.

@TS: Je poort 80 staat (incoming) dicht? Wat een naaistreek. Mogen ze dat zomaar? Jullie hebben in België toch ook netneutraliteit?

Ik zie dat ik het probleem niet helemaal goed heb begrepen, als het eerst wel heeft gewerkt.

Allereerst: die redirect die je gebruikt werkt niet op IP-level (laag 3) maar op HTTP-level (laag 7). Als je pingt naar je domein, ben je dus naar een server van je domain registrar aan het pingen (die op 141.134.190.130), niet naar je eigen server.

Als je die server van de domain registrar al niet kunt bereiken, gaat er al iets fout met de internettoegang op jouw server. Heb je getest of je andere websites wel kunt bereiken?

EDIT: Nevermind, ik zie dat surfgate.be zelf wel direct naar jouw server verwijst (141.134.190.130 is dus van jou).

[ Voor 3% gewijzigd door Compizfox op 30-09-2016 03:05 ]

Gewoon een heel grote verzameling snoertjes

vrijdag 30 september 2016 03:53

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ja, dat is inderdaad kl*te. Alle inbound poorten tot 1024 zijn gesloten. Waarom ze dit doen heeft een onnozele reden: ze willen namelijk niet dat je je eigen servers draait omdat bandbreedte veel geld kost, toch hier.
Dus vandaar al die omwegen die ik moet doen.

vrijdag 30 september 2016 04:19

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik denk dat er al een aantal zaken ondertussen opgelost zijn. Van buitenaf kan op mijn webserver http://www.surfgate.be en http://surfgate.be. Ook http://webmail.surfgate.be zou moeten werken.

Nu nog die mailserver en Plex. Van beide toepassingen zijn de poorten gesloten. Nagekeken met een aantal port checkers, zeggen allemaal hetzelfde:
Port 8001 = closed (inkomende SMTP)
Port 32400 = closed (Plex)

Firewalls zijn offline, nu komt de domste vraag van dit jaar: HOE ZET IK DIE OPEN?

vrijdag 30 september 2016 09:17

Acties:

0 Henk 'm!

Jan-man

Ik kan je er niet direct mee helpen maar blur aub je domeinen en ip adressen! Je geeft aan dat je FireWall nu uitstaat oftewel je zegt welkom tegen allen scriptkids/hackers en gooit alle gegevens in hun handen!

vrijdag 30 september 2016 09:21

Acties:

+2 Henk 'm!

laurens0619

Heb je al overwogen om je web/mail hosted af te nemen? Anno 2016 is dat tegenwoordig zo goedkoop dat het niet opweegt tegen de stroomkosten en het gedoe wat je thuis hebt.

vergeet ook niet dat niet iederee een website op een afwijkende poort kan bezoeken. Kans dus dat een aantal potentiele bezoekers niet je website kan openen straks.

Voor 0,85 per maand heb je al hosting

CISSP! Drop your encryption keys!

vrijdag 30 september 2016 09:39

Acties:

+2 Henk 'm!

LEDfan

Telenet blokkeert bijna geen poorten meer onder 1024. Is al sinds 2014, dus gebruik gewoon poort 80 en 443. Zie nieuws: Telenet heft blokkade poorten onder 1024 op en https://www2.telenet.be/n...oorten-blokkeert-telenet/

vrijdag 30 september 2016 09:49

Acties:

0 Henk 'm!

hackerhater

laurens0619 schreef op vrijdag 30 september 2016 @ 09:21:
Heb je al overwogen om je web/mail hosted af te nemen? Anno 2016 is dat tegenwoordig zo goedkoop dat het niet opweegt tegen de stroomkosten en het gedoe wat je thuis hebt.

vergeet ook niet dat niet iederee een website op een afwijkende poort kan bezoeken. Kans dus dat een aantal potentiele bezoekers niet je website kan openen straks.

Voor 0,85 per maand heb je al hosting

Inderdaad waarom host je dit zelf en neem je niet gewoon hosting af?
Ik weet niet op welke taal je website draait?

Modbreak:Dat is dus niet de bedoeling..

[ Voor 20% gewijzigd door Equator op 30-09-2016 11:18 ]

vrijdag 30 september 2016 09:54

Acties:

+5 Henk 'm!

Craven

Doe jezelf een plezier en neem alles wat je zakelijk gebruikt af bij een hoster, gebruik office365 of verzin wat leuks. No offense, maar je hebt de klok horen luiden maar je weet niet waar de klepel hangt. M.a.w. je snapt de basis maar als er wat mis gaat dan heb je een probleem. Als er nou iets gebeurt waardoor je mailserver straks down is, jij weet niet waardoor het komt en je moet hier weer een topic openen om het te fixen. Dan ben je dus je mails van een aantal dagen kwijt zo niet langer. Zelfde geld voor je website, als die er een paar dagen uit ligt staat dat behoorlijk onprofessioneel, mis je business.

Als je dan gaat kijken naar het security aspect heb je helemaal een probleem. Want daarbij kom je er niet af met wat basiskennis. Kerio Connect zit inmiddels ook al op versie 9.1.1. Is er een reden dat je op 8.4 zit? En is er een reden dat je een 100 user license hebt? Dat is namelijk niet goedkoop samen met de achterstand in updates doet het mij vermoeden dat je niet op een legale versie draait. M.a.w. je mist een berg security patches.

Je hebt nu dus je machine direct aan het internet gehangen op allerlei poorten, hebt geen verstand van security, draait zowel privé als zakelijk gerelateerde zaken op de machine. Dit zijn nog maar een paar van de aspecten en risico's. Ik zou het risico te groot vinden om dit allemaal thuis te draaien. Helemaal als je kijkt naar wat dit gaat kosten als je het ergens host.

vrijdag 30 september 2016 09:59

Acties:

0 Henk 'm!

RedShift

Als ik probeer te verbinden met mail.surfgate.be:8001 dan krijg ik connection refused. Een aantal zaken dat je dus moet checken:
1) Draait de SMTP server op de doelserver wel?
2) Is de Windows firewall op de doelserver correct geconfigureerd?

Als die twee stappen doorlopen zijn, dan moet je minstens vanuit je intern netwerk met je SMTP server kunnen verbinden via de interne IP adressen. Als dat niet werkt heeft het geen zin om verder te gaan, eerst moet dit probleem opgelost worden. Als dit wel werkt:

3) Werd portforwarding correct ingesteld op de router? Heb je al een andere router geprobeerd, er is misschien een bug met de forwarding? Heb dat helaas al tegengekomen...
4) Is de firewall op de router correct ingesteld?

Om zelf te testen kan je een online portscan ala http://www.t1shopper.com/tools/port-scan/, https://pentest-tools.com...-port-scanner-online-nmap, etc... gebruiken.

vrijdag 30 september 2016 10:03

Acties:

0 Henk 'm!

mcDavid

Als je een serieuze organisatie wilt runnen, ga je de website toch sowieso niet thuis achter een consumentenlijntje hosten? Ik zou gewoon ergens een shared-hosting of VPS abonnementje afnemen. Is waarschijnlijk nog goedkoper ook, zeker als je er zo'n bakbeest van een PC 24/7 voor moet laten draaien.

[ Voor 21% gewijzigd door mcDavid op 30-09-2016 10:05 ]

vrijdag 30 september 2016 10:12

Acties:

+1 Henk 'm!

HollowGamer

mcDavid schreef op vrijdag 30 september 2016 @ 10:03:
Als je een serieuze organisatie wilt runnen, ga je de website toch sowieso niet thuis achter een consumentenlijntje hosten? Ik zou gewoon ergens een shared-hosting of VPS abonnementje afnemen.

In principe zou het kunnen, het is toch een fiber abo?
Als je expertise hebt en het actief kan onderhouden, snap ik het probleem niet. Mijn NAS staat toch al het hele jaar aan, en kan tegenwoordig ook prima een webserver draaien, zelfs een rPi (of iets dergelijks) kan dat. Voor iets kleins zou dat dus prima kunnen.

Zakelijk is natuurlijk anders, je hebt geen enkele garantie, kan uptime niet garanderen. Met een shared hosting en een domein ben je tegenwoordig maar een paar euro per maand kwijt. Weet niet hoe het precies zit, maar omdat je kosten maakt, kan je dit eventueel ook terugvragen.

vrijdag 30 september 2016 10:20

Acties:

0 Henk 'm!

HollowGamer

hackerhater schreef op vrijdag 30 september 2016 @ 10:15:
[...]

Zit het hem inderdaad. Zakelijk, geen SLA + geen kennis is een recept voor problemen.
Als ik al kijk hoeveel kennis wij nodig hebben om onze 6 servers in de lucht te houden en aanvallers af te weren..............

Helemaal met je eens hoor.

Maar zou graag mijn huidig abo inruilen voor meer upload.

Sowieso snap ik niet dat er nog altijd gebruik wordt gemaakt van plain FTP anno 2016.

In dit geval lijkt me dit advies ook het beste, met een VPS heb je immers ook alle vrijheid.

vrijdag 30 september 2016 10:36

Acties:

0 Henk 'm!

xleeuwx

developer Tweakers Elect

Voordat er nog meer dingen hier verkeert gezegd worden.

1. HTTP redirection is geen DNS verwijzing
- Als je dan pingt naar het domein dan ga je naar het A record van dit domein, niet naar de HTTP redirect
2. pingen doe je op een IP adres niet op een poort
- IP: x.x.x.x -> 192.168.1.1
- Poort: x.x.x.x:{poort} -> 192.168.1.1:443
3. Een DNS wijziging kan tot 24 uur duren (JA vandaag de dag nog steeds)

Verder is je Setup inderdaad niet goed. Een poort die binnen komt op je Externe IP kan maar 1x achter een NAT worden geforward. En dus kan je niet poort 8000 naar zowel 192.168.0.1 als naar 192.168.0.192 sturen.

code:

192.168.0.1 8000 8100 beide ja
192.168.0.192 8000 8100 beide ja
192.168.0.1 2120 2122 beide ja
192.168.0.192 2120 2122 beide ja

Daarnaast vraag ik me serieus af waarom je niet een server hangt in een DC als je ook het geld hebt om Kerio Connect te kopen met 100 Licenties (tenzij deze niet helemaal gekocht is, then i rest my case).
Dan is zoals hierboven genoemd misschien toch een VPS beter

Verder zou ik zoiets overlaten aan Windows Server inplaats van Win 10 Entreprise Edition. Niet omdat Win 10 het niet aan kan maar eerder omdat hij hier niet voor geconfigureerd is en er hele vreemde problemen naar boven kunnen komen zoals random reboots.

Verder een poort checken op afstand kan je het gemakkelijkste doen doormiddel van Telnet, zeker met SMTP die praat namelijk ook nog terug.

Maar waar ik me het meest zorgen om maak is niet alles hierboven maar meer de kans dat je potentieel een SPAM Relay wordt. Als dit al moeilijk is om goed in te stellen dan sta je over een paar weken boven aan de Blacklist van de anti spam organistaties

. (been there done that

)

[ Voor 3% gewijzigd door xleeuwx op 30-09-2016 11:03 ]

vrijdag 30 september 2016 10:58

Acties:

0 Henk 'm!

mcDavid

HollowGamer schreef op vrijdag 30 september 2016 @ 10:12:
[...]

In principe zou het kunnen, het is toch een fiber abo?
Als je expertise hebt en het actief kan onderhouden, snap ik het probleem niet. Mijn NAS staat toch al het hele jaar aan, en kan tegenwoordig ook prima een webserver draaien, zelfs een rPi (of iets dergelijks) kan dat. Voor iets kleins zou dat dus prima kunnen.

Zakelijk is natuurlijk anders, je hebt geen enkele garantie, kan uptime niet garanderen. Met een shared hosting en een domein ben je tegenwoordig maar een paar euro per maand kwijt. Weet niet hoe het precies zit, maar omdat je kosten maakt, kan je dit eventueel ook terugvragen.

Dat fiber abo is het grootste probleem niet. Maar wat gebeurt er als je provider een keer onderhoud heeft? Of je energieleverancier? Of als een grapjurk je gaat DDoS'en? Waarschijnlijk is dat niet eens nodig, een beetje slashdot-effect legt je router waarschijnlijk al plat, tenzij je daar ook dure commerciële apparatuur voor aanschaft.
Je gaat gewoon nooit de uptime en stabiliteit halen die je met een hosted oplossing haalt. En (getuige dit topic) het is gewoon onnodig lastig.

vrijdag 30 september 2016 11:07

Acties:

+1 Henk 'm!

HollowGamer

mcDavid schreef op vrijdag 30 september 2016 @ 10:58:
[...]

Dat fiber abo is het grootste probleem niet. Maar wat gebeurt er als je provider een keer onderhoud heeft? Of je energieleverancier? Of als een grapjurk je gaat DDoS'en? Waarschijnlijk is dat niet eens nodig, een beetje slashdot-effect legt je router waarschijnlijk al plat, tenzij je daar ook dure commerciële apparatuur voor aanschaft.
Je gaat gewoon nooit de uptime en stabiliteit halen die je met een hosted oplossing haalt. En (getuige dit topic) het is gewoon onnodig lastig.

Ben het helemaal met je eens hoor.

Veel beter huur je ergens een VPS voor zakelijke toepassingen.

Wel ongelofelijk jammer, het lijkt erop dat TS al flink wat heeft geïnvesteerd (zie o.a. aan abo, hardware & licenties).

hackerhater schreef op vrijdag 30 september 2016 @ 11:04:
[...]
Wat ik melde is ons normale aanbod Geen speciale actie.

Was een kleine grap van mijn kant.

De website lijkt nog niet helemaal af? Maar goed dat wordt erg off-topic.

[ Voor 14% gewijzigd door HollowGamer op 30-09-2016 11:10 ]

vrijdag 30 september 2016 11:22

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

Modbreak:We gaan het nu ontopic houden. Ik ga wat posts verwijderen om het topic wat schoner te maken

Goed, dat is gedaan. Laten we het houden met het oplossen van de de problemen van de topicstarter. Dat er betere oplossingen zijn is duidelijk, maar dat is ondertussen voldoende benoemd..

Oh, en tenslotte heb ik de titel even aangepast naar een duidelijkere variant.

[ Voor 57% gewijzigd door Equator op 30-09-2016 11:28 ]

vrijdag 30 september 2016 13:18

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ja, ik weet dat ik de basis bezit, daarom volg ik ook avondcursussen voor een 2-jarige opleiding in netwerkbeheer. Dat zijn 2 avonden per week. Maar bon, daarmee is het probleem nog niet opgelost.

Ik heb mijn configuratie niet 'geblured' omdat ik mss wat naïef ben, maar ik vertrouw op jullie expertise om deze gegevens niet te misbruiken.

Ja, ik weet ook dat ik beter af ben met een externe hosting maar ik wil nu eenmaal 100% vrijheid en het is zeer goeie leerstof voor mijn avondopleiding. Al doende leert men toch nietwaar?

Een goeie tip, die heb ik al gekregen via jullie (waarvoor mijn dank), is om de portforwarding op de telenetmodem zo simpel mogelijk te houden en ook zal ik eens testen of die poorten van telenet inderdaad vrijgegeven zijn. Moest dat het geval zijn, dan denk ik dat het vrij makkelijk op te lossen is.

De portforwarding van de telenetmodem heb ik zo ingesteld omdat ik gebruik maak van 2 NIC's (allebei Intel serverkaarten) en ik dacht dat, als er eentje uitvalt, die andere kon overnemen.

Als alles werkt, ga ik me dan focussen op de beveiliging. Ook ga ik zeker, zoals hier al gezegd geweest is, mijn mailserver beter moeten beveiligen tegen spammers, ok, er zijn externe policies aanwezig, maar die zijn niet voldoende. Ik heb ergens iets gelezen over SPF records (ook wel TXT records).

Maar eerst de problemen oplossen!
Nu, mijn middagdutje doen, ik kom oud (35 jr

)

vrijdag 30 september 2016 13:24

Acties:

0 Henk 'm!

hackerhater

Onthoud :
Netwerk beheer is compleet een andere tak van sport dan server beheer!

Ik heb mijn configuratie niet 'geblured' omdat ik mss wat naïef ben, maar ik vertrouw op jullie expertise om deze gegevens niet te misbruiken.

Euhm dit topic is openbaar. Je gegevens zijn zo via Google te vinden!
Of blur het of zet het minimaal tussen [ membersonly=title ] en [ /membersonly ] (zonder spaties)
Dan moet je minimaal ingelogd zijn om het te kunnen zien

Aanvulling :
Ik weet niet of je ook van plan email te gaan versturen vanaf die server?
De kans is namelijk heel groot dat poort 25 uitgaand dicht staat op een consumentenlijn.
En zelfs als dat niet het geval is, is de kans ongeveer 100% dat de mail als spam wordt gezien.

[ Voor 98% gewijzigd door hackerhater op 30-09-2016 14:15 ]

vrijdag 30 september 2016 14:54

Acties:

+1 Henk 'm!

maikel124

Verwijderd schreef op vrijdag 30 september 2016 @ 13:18:
Ja, ik weet dat ik de basis bezit, daarom volg ik ook avondcursussen voor een 2-jarige opleiding in netwerkbeheer. Dat zijn 2 avonden per week. Maar bon, daarmee is het probleem nog niet opgelost.

...

Ja, ik weet ook dat ik beter af ben met een externe hosting maar ik wil nu eenmaal 100% vrijheid en het is zeer goeie leerstof voor mijn avondopleiding. Al doende leert men toch nietwaar?

Je gaat een evenementenbureau oprichten met je vrouw, volgt een avondcursus netwerkbeheer en wilt zelf de server beheren. Hoewel ik de samenhang hierbij niet kan zien zou ik je sowieso adviseren om je zakelijke website + mail te hosten bij een professionele hoster (geen gezeik met security, setups, etc) en daarnaast lekker thuis te spelen met je server voor hobby. Als het dan fout gaat, dan heb je in ieder geval geen zakelijke/financiele consequenties omdat je bedrijfsvoering in het geding komt.

TL;DR: mail + hosting onderbrengen bij professionele hoster en eigen server gebruiken voor hobby-sites (achter firewall)

vrijdag 30 september 2016 15:07

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ok, had ik geweten dat Telenet de meeste poorten opengezet heeft, had dit mij enorme hoofdpijn kunnen besparen!!!
Het resultaat van de mailserver vindt je onderaan en de webserver draait netjes op de standaardpoort 80!!

Volgende uitdaging: beveiliging! Allemaal bedankt!

***** Check the Domain's Mail Exchanger assignments *****
>> nslookup -type=mx surfgate.be OK - MX assignment is fine

***** Check our Mail settings *****
check smtp1 OK
check smtp2 OK
check smtp3 OK
check smtp4 OK

***** Inspect your mail server from our SMTP servers*****

*Check mail.surfgate.be:26 on smtp1
>> telnet mail.surfgate.be 26
<- 220 surfgate.be Kerio Connect 8.3.4 patch 1 ESMTP ready
-> helo surfgate.be
<- 250 surfgate.be
-> mail from:<test@test.com>
<- 250 2.1.0 Sender
<test@test.com> ok
-> rcpt to:<hannes@surfgate.be>
<- 250 2.1.5 Recipient <hannes@surfgate.be> ok
-> data
<- 354 Enter mail, end with CRLF.CRLF
-> Subject: test -> Test by DNS Exit. ->
.
<- 250 2.0.0 57ee5e90-00000000 Message accepted for delivery OK
- mail.surfgate.be:26 settings is OK for surfgate.be emails

*Check mail.surfgate.be:26 on smtp2
>> telnet mail.surfgate.be 26
<- 220 surfgate.be Kerio Connect 8.3.4 patch 1 ESMTP ready
-> helo surfgate.be
<- 250 surfgate.be
-> mail from:<test@test.com>
<- 250 2.1.0 Sender <test@test.com> ok
-> rcpt to:<hannes@surfgate.be>
<- 250 2.1.5 Recipient <hannes@surfgate.be> ok
-> data
<- 354 Enter mail, end with CRLF.CRLF
-> Subject: test
-> Test by DNS Exit.
-> .
<- 250 2.0.0 57ee5e92-00000001 Message accepted for delivery OK
- mail.surfgate.be:26 settings is OK for surfgate.be emails

*Check mail.surfgate.be:26 on smtp3
>> telnet mail.surfgate.be 26
<- 220 surfgate.be Kerio Connect 8.3.4 patch 1 ESMTP ready
-> helo surfgate.be
<- 250 surfgate.be
-> mail from:<test@test.com>
<- 250 2.1.0 Sender <test@test.com> ok
-> rcpt to:<hannes@surfgate.be>
<- 250 2.1.5 Recipient <hannes@surfgate.be> ok
-> data <- 354 Enter mail, end with CRLF.CRLF
-> Subject: test -> Test by DNS Exit.
-> .
<- 250 2.0.0 57ee5e95-00000002 Message accepted for delivery OK
- mail.surfgate.be:26 settings is OK for surfgate.be emails

*Check mail.surfgate.be:26 on smtp4
>> telnet mail.surfgate.be 26
<- 220 surfgate.be Kerio Connect 8.3.4 patch 1 ESMTP ready
-> helo surfgate.be
<- 250 surfgate.be
-> mail from:<test@test.com> <- 250 2.1.0 Sender <test@test.com> ok
-> rcpt to:<hannes@surfgate.be> <- 250 2.1.5 Recipient <hannes@surfgate.be> ok
-> data <- 354 Enter mail, end with CRLF.CRLF
-> Subject: test
-> Test by DNS Exit.
-> .
<- 250 2.0.0 57ee5e97-00000003 Message accepted for delivery OK
- mail.surfgate.be:26 settings is OK for surfgate.be emails

vrijdag 30 september 2016 15:11

Acties:

0 Henk 'm!

hackerhater

En uitgaande mail?
werkt dat?

vrijdag 30 september 2016 15:26

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ja, die werkt, ik gebruik een relay stmp.
Die server is maar om op te oefenen, heeft (nog) niets met het uiteindelijke project te maken. en ikzelf ga niet altijd de servers beheren, daarvoor heb ik een team.
Wat uiteindelijk de bedoeling is, daarvan zal ik een klein stukje van de sluier oplichten:
Kalenders, Bookings, Aanvraag materiaal, services, info en online helpdesk. Online prospectie, streaming services, beheer op afstand van dMX controllers, online videoconferencing, private cloud.

Hiervoor zijn we in onderhandeling met Dell om bijhorende servers en services aan te kopen.

Het belangrijkste deel hou ik voor mij, mijn verloofde die de prospectie in het buitenland doet (zit nu in de States) en mijn teamleden.

vrijdag 30 september 2016 20:19

Acties:

+1 Henk 'm!

Compizfox

Bait for wenchmarks

@TS: Mooi dat het werkt!

Jan-man schreef op vrijdag 30 september 2016 @ 09:17:
Ik kan je er niet direct mee helpen maar blur aub je domeinen en ip adressen! Je geeft aan dat je FireWall nu uitstaat oftewel je zegt welkom tegen allen scriptkids/hackers en gooit alle gegevens in hun handen!

Wat een onzin. Hij host een website. Dan is de domeinnaam (en het IP-adres erachter) toch per definitie publiek? Zoe werkt dat nou eenmaal; een IP-adres is geen geheim.

mcDavid schreef op vrijdag 30 september 2016 @ 10:03:
Als je een serieuze organisatie wilt runnen, ga je de website toch sowieso niet thuis achter een consumentenlijntje hosten? Ik zou gewoon ergens een shared-hosting of VPS abonnementje afnemen. Is waarschijnlijk nog goedkoper ook, zeker als je er zo'n bakbeest van een PC 24/7 voor moet laten draaien.

Ik ga hierin mee met archie2012: als je de kennis hebt kan dat prima. Ik heb toch een server thuis (o.a. als NAS), waarom dan niet meteen een mailserver en webserver er bij-op?

In een zakelijke, business-critical situatie is het natuurlijk wel een ander geval.

[ Voor 43% gewijzigd door Compizfox op 30-09-2016 20:27 ]

Gewoon een heel grote verzameling snoertjes

vrijdag 30 september 2016 20:26

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Mannekes, geen ruzie maken! Ik heb het al wazig gemaakt.
En ja, ik was weer veel te enthausiast bezig. Less is more zeggen ze wel eens. Heb een heleboel zaken van "dnsExit.com" gesmeten en in plaats daarvan IIS wat verder ingesteld. Alles loopt vrij goed tot nu toe.

Straks mijn SSL certificaat installeren van GeoTrust. En dan is (voorlopig) alles in orde. Firewalls staan ook terug op.

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties