Fejlsøgning af netværk

[NickyThomassen]

For ikke så længe siden rykkede jeg min e-mail og hjemmeside hjem, og opsagde min VPS på nettet. Ved samme lejlighed "opgraderede" jeg til en fast IP hos min udbyder, og fik dem til at sætte et PTR-record i rDNS, så jeg kan sende e-mails herhjemmefra. Opsætningen virker næsten, men inden jeg kontakter udbyderen med det sidste problem, kunne jeg godt tænke mig at have nogle flere informationer.

Almindelig hjemmeside for http://aptget.dk på port 80 samt krypteret hjemmeside for https://mail.aptget.dk på port 443 virker.

Modtagelse af e-mails fra nettet på port 25 (med og uden kryptering) for aptget.dk virker.

Adgang til IMAPS også for aptget.dk på port 993 virker.

Krypteret adgang til submission (relay) af e-mails også for aptget.dk på port 587 virker ikke. Jeg har spejlet porten med iptables til port 10587, men den virker heller ikke. Hvis man prøver at forbinde med en SMTP-klient (Claws Mail i det her tilfælde), løber forbindelsen på tid. Det samme sker med telnet. Jeg har prøvet fra GleSYS' net i Sverige, og Fullrates net her i DK.

Jeg har også prøvet med traceroute, men programmet bliver blokeret af "94-101-208-122.cr1.taas.gc-net.eu" lige meget hvilken service / port der forsøges med.

Jeg er ikke helt sikker på hvad jeg spørger om, da jeg ikke kender ret meget til netværk. Det er min plan at kontakte udbyderen om problemet, men der er i hvert fald 2 ting ville jeg gerne vide mere om inden da:

1. Jeg gætter på "gc-net.eu" har en firewall i brug, eller måske er en firewall, og at det er den som dropper forbindelsen. Jeg forstår så ikke hvordan den kun kan blokere telnets forsøg på at nå submission, når telnet kan nå resten af de services' jeg har herhjemme. Er der forskel på telnets requests alt efter den service den forsøger at forbinde til?

2. Når traceraoute ikke virker, ved jeg ikke hvordan man bedst fortsætter fejlsøgning. Nogen forslag?

[AJenbo]

1: nej
2: start med at forbinde over den korteste vej (localhost), der efter maskinens ip, og så den eksterne ip, men stadig fra maskinen selv.

[NickyThomassen]

Takker for svaret.

telnet virker med submission fra localhost, 192.168.20.1 (LAN IP - eth1) og 192.168.40.2 (ISP LAN IP - eth0).

Fra 92.243.255.38 (WAN IP) virker det ikke

Kode: Vælg alt

mig@server:~$ telnet 92.243.255.38 587
Trying 92.243.255.38...
telnet: Unable to connect to remote host: Connection refused
mig@server:~$ telnet 92.243.255.38 10587
Trying 92.243.255.38...
telnet: Unable to connect to remote host: Connection refused

En traceroute giver kun én linie

Kode: Vælg alt

mig@server:~$ traceroute 92.243.255.38
traceroute to 92.243.255.38 (92.243.255.38), 30 hops max, 587 byte packets
 1  aptget.aptget.dk (92.243.255.38)  1.272 ms  1.967 ms  2.515 ms

En opsætningsfejl fra min side virker nærliggende, men ifølge netstat lytter Postfix på 587 på begge kort

Kode: Vælg alt

mig@server:~$ netstat -an | grep 587
tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN 

[lath]

Takker for svaret.

telnet virker med submission fra localhost, 192.168.20.1 (LAN IP - eth1) og 192.168.40.2 (ISP LAN IP - eth0).

Fra 92.243.255.38 (WAN IP) virker det ikke

Måske du mangler at lave en NAT regel i din router for WAN_IP:587 <-> LAN_server_IP:10587 / LAN_server_IP:587 ?

/Lars

[NickyThomassen]

Problemet er løst, da det har vist sig at være udbyderen som ikke havde sat deres router i bridge mode (som jeg troede), men bare havde lavet lidt port forwarding. De havde så glemt at viderestille 587, så det var routeren der blokerede forbindelsen.

Tak for hjælpen.

[AJenbo]

DMZ?

[NickyThomassen]

Mjaeh, jeg prøvede faktisk at sætte DMZ til serverens eksterne IP, men mistede forbindelsen til routeren, så jeg måtte nulstille den... Derefter satte jeg bare forwarding op.

[NickyThomassen]

DMZ?

Fik endelig læst op på DMZ, og grunden til at det ikke virker, er at min opsætning er sådan her

Kode: Vælg alt

ISP <--> ISP_ROUTER <--> SERVER <--> LAN

Serveren fungerer dermed også som router for de maskiner der er på LAN. De 2 netkort udnytter jeg ved, at jeg binder forskellige tjenester til forskellige netkort, så fx SSH og DNS kun lytter på det interne kort, imens SMTP og HTTP(S) lytter på begge kort.

Som standard kan en computer placeret i en DMZ ikke oprette forbindelse til WAN, så med SERVER placeret i DMZ af ISP_ROUTER, kan computere på LAN ikke oprette forbindelse til nettet.

Men jeg takker for forslaget. Hvis jeg en dag skal sætte flere servere op, vil jeg helt sikkert bygge en DMZ.