Alt-n World client achter Linux router, https werkt niet - Linux en overige clients

dinsdag 22 april 2003 10:45

Acties:

Verwijderd

Topicstarter

Wij hebben hier een ADSL internet verbinding. Hiervoor staat een door de provider geconfigureerde Cisco ADSL router. Aan die router hang een Debian machine die het internet via Ipchains regelt.

Dit ziet er zo uit:

Lan ------ Interne netwerk interface debian machine ----- Externe interface Debian machine ------- Cisco ADSL Router

Op het Lan draaien wij Mdaemon als Mailserver. Dit gaat via een bsmtp account.

Alle inkomende mail wordt doorgestuurd naar die mailserver. Dit werkt perfect. Mdaemon heeft ook een webmail server: Worldclient. Als ik vanaf het lan https://192.168.0.5 intik krijg ik het inlog scherm van Mdaemon voor mijn neus.

Als ik thuis met mijn tmfweb inbel en ik type https://[internet ip adres] dan gebeurt er een tijdje niks en daarna krijg ik kan de pagina niet vinden.

netstat -n geeft:

Actieve verbindingen
Proto Lokaal adres Extern adres Status
TCP 195.18.75.104:2148 213.197.198.121:443 SYN_SENT

Als ik via ssh (want dat werkt wel perfect) inlog op de Debian machine en het commando ipchains -L -M geef krijg ik:

IP masquerading entries
prot expire source destination ports
TCP 599:43.83 192.168.0.5 hmm-dca-ap03-d09-038.dial.freesurf.nl https(443) -> 2148

De relevante firewall regel zijn:

# Configuratie E-mail SMTP
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d $ANYWHERE 25 -j ACCEPT

$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $ANYWHERE 25 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT

$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p tcp \
-s $ANYWHERE $UNPRIVPORTS \
-d $IPADDR 25 -j ACCEPT

$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $IPADDR 25 \
-d $ANYWHERE $UNPRIVPORTS -j ACCEPT

# Binnenkomende E-mail doorsturen naar Lan MDaemon server
LAN_MAIL_SERVER="192.168.0.5"
$IPMASQADM portfw -a -P tcp -L $IPADDR 25 -R $LAN_MAIL_SERVER 25

# Toegang tot SSL websites (Poort 443)
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d $ANYWHERE 443 -j ACCEPT

$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $ANYWHERE 443 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT

# Inkomende toegang voor Worldclient toestaan
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p tcp \
-s $ANYWHERE $UNPRIVPORTS \
-d $IPADDR 443 -j ACCEPT

$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $IPADDR 433 \
-d $ANYWHERE $UNPRIVPORTS -j ACCEPT

# SSL doorsturen naar Mdaemon worldclient
WORLDCLIENT_SERVER="192.168.0.5"
$IPMASQADM portfw -a -P tcp -L $IPADDR 443 -R $WORLDCLIENT_SERVER 443

Het lijkt dat het antwoord van de worldclient server niet goed bij mij terug komt. Ik weet dat Linux 2.2 (ik draai 2.2.25) limitatie's heeft met portforwarden, maar inkomende smtp verbindingen werken wel goed en ssh connecties naar de Linux router werken ook goed.

Moet ik nog iets extra's doen om dit goed te laten functioneren.
De provider heeft poort 443, 22, 25 voor ons open gezet op de Cisco Router.

woensdag 23 april 2003 21:17

Acties:

Verwijderd

Topicstarter

Ik geeft hem een schopje

woensdag 23 april 2003 21:51

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move NT > NOS @req.

Tijd voor een nieuwe sig..

donderdag 24 april 2003 09:59

Acties:

ge-flopt

ik zit even te kijken, maar volgens mij draait die worldclient server alleen op de interne adres: WORLDCLIENT_SERVER="192.168.0.5" en niet extern. Kijk eens of je dat kunt aanpassen, als je ook extern je mail wilt lezen.

[ Voor 5% gewijzigd door ge-flopt op 24-04-2003 10:01 . Reden: poort != adres ]

donderdag 24 april 2003 10:41

Acties:

Verwijderd

Topicstarter

ge-flopt schreef op 24 April 2003 @ 09:59:
ik zit even te kijken, maar volgens mij draait die worldclient server alleen op de interne adres: WORLDCLIENT_SERVER="192.168.0.5" en niet extern. Kijk eens of je dat kunt aanpassen, als je ook extern je mail wilt lezen.

Ik snap niet helemaal wat je bedoelt. Bedoel je dat ik worldclient zo moet configureren dat hij ook luisterd naar andere adressen als 192.168.0.XXX?

donderdag 24 april 2003 11:36

Acties:

ge-flopt

Het ziet er naar uit dat je world client server alleen luisterd naar verkeer dat op adres 192.168.0.5 binnen komt. de 192.168.*.* reeks is alleen voor intern verkeer bedoelt.

Wat je kunt doen is het volgende: creeer in de adsl router een port forwarding regel, naar de server, dit is volgens mij wel simpel te doen. Mocht de mail server nog in het lan zitten, dan dien je ook op de debian server weer een port forwarding regel in te stellen.

Als je dan via een externe verbinding een connect maakt, gaat hij via de router, naar je debian server, naar je mail server.
Mocht de debian server de mail server zijn, hoef je natuurlijk geen port forwarding in te stellen op de debian box, maar alleen op de cisco doos.

[ Voor 1% gewijzigd door ge-flopt op 24-04-2003 11:37 . Reden: wat maken enters toch heel wat duidelijk :D ]

donderdag 24 april 2003 12:00

Acties:

Verwijderd

Topicstarter

Ik heb op dit moment twee optie's

1 De oplossing die jij aandraagt. Het enige punt wat ik dan niet begrijp is waarom gaat inkomend smtp verkeer wel goed.

2 Oplossing 2 is een optie die in worldclient zit: Bind WorldClient's web server to these IP's only Separate multiple values with commas. Leave blank to bind to Mdaemon's IP list. Ik vraag me dan alleen af. Welk ip moet ik daar invullen.

De documentatie zegt het volgende:
If you wish to restrict the WorldClient server to only certain IP addresses then specify those addresses here separated by commas. If you leave this field blank then WorldClient will monitor all IP Addresses that you have designated for your Primary and Secondary Domains.

Ik ga even proberen daar het Internet Ip adres en het lokale adres in te vullen.

donderdag 24 april 2003 12:31

Acties:

ge-flopt

1. inkomend is simpel: De server haalt zelf de mail van een externe server af: van intern naar extern is ok, maar zomaar van extern naar intern, dien je eea te configureren.

2. let wel dat als je debian box de mail server is, je aan port forwarding moet doen. je dient dus in de router te zeggen: als verkeer op poort 443 (is even uit mijn hoofd de https poort) dan moet je naar de interne server (192.168.0.5 in jou geval) dan hoef je ook geen ip adres in die configuratie van world client aan te passen.

[ Voor 32% gewijzigd door ge-flopt op 24-04-2003 12:33 ]

donderdag 24 april 2003 13:42

Acties:

Verwijderd

Topicstarter

ge-flopt schreef op 24 April 2003 @ 12:31:
1. inkomend is simpel: De server haalt zelf de mail van een externe server af: van intern naar extern is ok, maar zomaar van extern naar intern, dien je eea te configureren.

2. let wel dat als je debian box de mail server is, je aan port forwarding moet doen. je dient dus in de router te zeggen: als verkeer op poort 443 (is even uit mijn hoofd de https poort) dan moet je naar de interne server (192.168.0.5 in jou geval) dan hoef je ook geen ip adres in die configuratie van world client aan te passen.

Het zit zo de provider heeft de Cisco router geconfigureerd. Dat is standaard, wij hebben geen wachtwoord en login gegevens. Dat heeft de provider voor ons gedaan. Wat wij krijgen zijn de TCP/IP en DNS gegevens. Je zet de Cisco Router op de achterkant op PC i.p.v. hub en ik hebt een Debian machine met twee netwerkkaarten geinstalleerd. De interne netwerkkaart heeft als adres 192.168.0.2 en op de externe netwerkkaart configureer ik de gegevens van de provider. De router laat standaard bij het bsmtp account inkomende smtp verbindingen binnen en https en ssh hebben we aangevraagd.

De Mailserver is Mdaemon en die draait op een Windows 2000 professional machine op het interne netwerk op 192.168.0.5. De Debian machine geeft alleen internet toegang.

donderdag 24 april 2003 14:16

Acties:

alt-92

ye olde farte

Staat MDaemon alleen te luisteren naar 192.168.0.5 of op alle adressen?
(GUI > setup > primary domain > Domain/isp > domain ip > vinkje bij bind listening sockets to this ip only )

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 24 april 2003 14:51

Acties:

Verwijderd

Topicstarter

BackSlash32 schreef op 24 april 2003 @ 14:16:
Staat MDaemon alleen te luisteren naar 192.168.0.5 of op alle adressen?
(GUI > setup > primary domain > Domain/isp > domain ip > vinkje bij bind listening sockets to this ip only )

Staat niet aangevinkt.

donderdag 24 april 2003 16:09

Acties:

alt-92

ye olde farte

Wat zegt MDaemon's WorldClient logscreen ivm de sessies?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 29 april 2003 15:18

Acties:

Verwijderd

Topicstarter

Ik heb gekeken in de log's in in de active screens er is niks over mislukte connectie's te vinden.

Ik heb zitten denken wat is er nu wezenlijk anders aan een smtp verbinding forwarden is of aan een https verbinding forwarden?

[ Voor 5% gewijzigd door Verwijderd op 29-04-2003 15:18 ]

dinsdag 29 april 2003 16:29

Acties:

ge-flopt

Neem eens contact op met de leverancie/aansluiter van de routeer. Laat hen een extra regel aanmaken die op een poort zit (443 voor https) en laat hen die forwarden naar het interne ip adres. Kijk eens wat er dan gebeurd.

dinsdag 29 april 2003 16:35

Acties:

DJSmiley

Ik zelf doe het "via" apache...

- Ik draai al www server, dus poort 80 is in gebruik door Apache.
- Ik wil mdaemon niet op poort 3000...

De oplossing voor mij:

vhost gemaakt voor webmail.domeinnaam.com

Deze vhost dmv mod_proxy laten doorsturen naar 192.168.lan-ip:3000 (waar mdaemon draait)

Werkt voor mij perfect, en meteen mooi hostnaampje erbij. Uiteraard moet dat ook via httpS kunnen.

En als je worldclient nu eens normaal laat werken, dus ff zonder SSL? Dan zou 1 portmapping (poort 3000) voldoende moeten zijn

dinsdag 29 april 2003 16:44

Acties:

vandijk

ligt het aan mij of mis je een output filter voor https ?.. 1k zie 2 regels voor inkomend smtp, 2 voor uitgaand, 2 voor ssh en maar 1 voor Https

Canon cameras en lenzen. Elinchrom flitsers, Lowepro en Pelican tassen/koffers. Polestar 2

dinsdag 29 april 2003 16:47

Acties:

Verwijderd

Topicstarter

Ik moet er ook nog bijvertellen dat we het ook via isdn met dezelfde ipchains configuratie hebben geprobeerd. En dat had ook geen effect. isdn connectie online. https sessie starten, geen verbinding. Wel smtp. Alhoewel ik alle opties bekijk denk ik niet dat het aan de Router ligt.

dinsdag 29 april 2003 21:12

Acties:

Verwijderd

Topicstarter

Ik zou graag van iemand die al ervaring heeft met het debuggen van zulke firewall problemen horen wat een goede manier is om erachter te komen waar nu het probleem vandaan komt.

Ik heb alle regels al 3 keer grondig nagelopen. Ik heb de ipchains --check optie gebruikt om afzonderlijke pakketen tegen de firewall te testen. Maar die zegt dat alle pakketten die moeten worden doorgelaten ook worden geaccepteerd.

Ik wil gewoon weten waar het klem loopt.

Ik heb het programma nmap even bekeken. Ik heb dit programma nog nooit eerder gebruikt. Is dit een goede tool hiervoor?

zaterdag 3 mei 2003 11:20

Acties:

Verwijderd

Topicstarter

Ik heb contact gezocht met de Mensen van Alt-n en heb wat config's en logs van Mdaemon opgestuurd. En ze zeggen dat het een firewall probleem moet zijn. Aangezien het lokaal wel werkt.

Nu de firewall nog maar eens nalopen. Ik zat met af te vragen. Kan ipmasqadm wel meerdere poorten forwarden naar hetzelfde ip op een Lan. Er is ook nog redir maar die wordt afgeraden.

Misschien moet ik toch eens voorzichtig gaan kijken naar iptables. Maar als het gewoon mogelijk moet zijn wat ik wil heeft dat ook geen zin. Eerst het probleem oplossen.