Hallo Zusammen,

ich habe mir einen Ubuntu-Desktop 9.10 als Server installiert. Auf ihm laufen extern folgende Dienste:

- HTTPS - IMAP

Innerhalb des LAN sollen alle Dienste erlaubt sein (IMAP, HTTP, Squid, etc.)

Jetzt habe ich folgende Probleme:

- ich kann meine Postfächer im LAN auf meinem Server abrufen, brauche aber auf ein Postfach direkten IMAP-Zugriff auf den Anbieter-Server. das funktioniert nicht.

- ich kann von keinem Client aus StarMoney betreiben. Die Programm-Updates werden geholt, aber die Kontodaten nicht.

Ich habe die Firewall schon mit Guarddog versucht einzustellen, hat aber nichts gebracht. Evtl. ist es auch der Proxy Squid, wobei ich aber in den Logs nichts auffälliges finden kann.

Hat da jemand eine Idee bzw. was fehlen denn noch für Angaben?

Schonmal vielen Dank und Gruß dk

Hi,

bringt zwar nichts zur Sache, aber das mit dem Squid solltest du dir sehr gut überlegen, bei uns hat das nur Probleme gemacht.

Alle "Oldschool" HTML geschichten, kriegt der ja prima hin, aber wehe da ist mal was modernes in einer Seite, da kommt der nicht drauf klar. Wir haben es hier jedenfalls nicht geschafft die IBM seite richtig darstellen zu lassen.

Wenn also kein triftiger Grund vorlagt, rate ich dir von Squid ab, die Bandbreite ist heute ja so groß, das Cachen nicht mehr wirklich Sinn macht, wenn es also keine "kreativen" Mitarbeiter gibt, die ein bisschen eingeschränkt werden sollen, lass ihn weg und du hast gefühlt 1.000.000.000.000.000 Probs weniger.

Gruß nopes

bzw. was fehlen denn noch für Angaben?

.. eine Beschreibung, wie squid konfiguriert ist, wäre schon hilfreich ... also bspw. die squid.conf posten (möglichst ohne Kommentarzeilen).

Hi,

bringt zwar nichts zur Sache, aber das mit dem Squid solltest du dir sehr gut überlegen, bei uns hat das nur Probleme gemacht.


Das habe ich auch schon, ich komme aber nicht drum rum.

Daher mal anbei die squid.conf:



http_port 4001
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow all
http_access allow localhost
http_reply_access allow all
icp_access allow all

Ich habe die Konfig ungefähr von meinem vorherigen Server übernommen. da habe ich keine besonderen Einstellungen vornehmen müssen.
Ich war der Meinung, daß der Umstieg von SuSE auf Ubuntu reibungsloser klappt. ;)

Geistesblitz:
kann es sein, daß ich Squid nicht mit SSL-Untersützung installiert habe (sondern nur aus den Repos)?

- ich kann von keinem Client aus StarMoney betreiben. Die Programm-Updates werden geholt, aber die Kontodaten nicht.

Squid ist ein HTTP-Proxy. Fuer die Kontodaten wird aber HBCI benutzt, das geht ueber Port 3000 (TCP).




Alle "Oldschool" HTML geschichten, kriegt der ja prima hin, aber wehe da ist mal was modernes in einer Seite, da kommt der nicht drauf klar.

Bloedsinn


Wir haben es hier jedenfalls nicht geschafft die IBM seite richtig darstellen zu lassen.

Dann habt ihr eure Konfiguration nicht im Griff.

Hallo Eule,

das mit Port 3000 weiß ich.
Da ich aber bei dem SuSE-Server dafür nichts konfigurieren musste, damit es funktioniert, weiß ich nicht so recht, was ich jetzt im Squid unter Ubuntu einstellen muß. :(

Oder ist das alles, was ich zur squid.conf zufügen muß?:


acl Safe_ports port 3000 # HBCI

das mit Port 3000 weiß ich

Squid ist fuer HTTP zustaendig! Er hat mit HBCI nichts zu tun!
Soll der Rechner auch das Gateway ins Internet sein? Dann muss der auch als Router arbeiten und 3000 TCP durchreichen.

Squid ist fuer HTTP zustaendig! Er hat mit HBCI nichts zu tun!

Und mit IMAP genau so wenig!

Na gut, dann liegt es anscheinend nicht am squid.

Ich habe als iptables-GUI den GUARDDOG installiert.

Ich kann von meinem Server aus surfen etc. Aus meinem LAN kann ich aber nur per IMAP die Mails auf meinem Server lesen und habe weder Internet-Zugang per HTTP/s bzw. Thunderbird-Zugriff auf eine externes IMAP-Konto, geschweigedenn mit StarMoney.

Könnt Ihr mir mit Guarddog auch weiterhelfen?
Das HowTo habe ich nach der Installation angewendet, er blockt aber trotzdem den LAN-Verkehr.

Dann erkläre doch mal, wie dein Netz aussieht, was du vor hast etc.

PS: Versuche erst alles ohne Firewall einzurichten, anschließend kann das immer noch erledigt werden.

Gerne:

fritzbox
|
- externe Dienste: imaps, https, ftps
eth0
ubuntu Server, 9.10
eth1
- interne Dienste: imap, http, nfs, Proxy
|
Clients mit Linux bzw. Windows, WLAN-AP

vom internen Netz ins Internet sollte alles erlaubt sein. So war ich es von SuSE gewohnt.
Die Mailclients holen sich die Mails vom internen UbuntuServer und verschicken direkt über den SMTP des Providers. Außer einem Account, der auch direkt per IMAP auf den Provider zugreift.

Das sollte es gewesen sein.

Dann solltest du erstmal nur Routing und Masquarading auf dem Server aktivieren.

Dann solltest du erstmal nur Routing und Masquarading auf dem Server aktivieren.

Hallo mal wieder. Erstmal noch nachträglich ein gutes neues Jahr!

Routing und Masquerading habe ich schon per


sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
und

sudo sysctl -w net.ipv4.ip_forward=1

aktiviert und die Firewall per Guarddog erstmal angehalten.

Ergebnis:

Auf meinen Clients kann ich über den Proxy surfen und per IMAP auf meinen Server zugreifen.

Was von den Clients aus nicht geht:

- SMTP direkt über den Provider
- IMAP-Zugriff auf ein externes Postfach
- StarMoney

Also ist der Effekt fast der Gleiche, nur daß ich mit meinen Clients surfen kann. Der Rest wird immer noch blockiert.

1. mach mal nen ping/traceroute vom Clienten auf eine IP im Internet
2. DNS richtig eingerichtet auf den Clients?

1. mach mal nen ping/traceroute vom Clienten auf eine IP im Internet
geht beides zb vom winclient


2. DNS richtig eingerichtet auf den Clients?
meinen lokalen server

"ping google.de" auf einem Clienten geht also auch?

"ping google.de" auf einem Clienten geht also auch?

ja, einwandfrei

telnet mailserver.im.internet.de 25
?

telnet mailserver.im.internet.de 25
?

vom server aus


telnet imap.1blu.de 25
Trying 89.202.0.69...
Trying 89.202.0.67...
Trying 89.202.0.68...
telnet: Unable to connect to remote host: Connection refused


vom client aus


es konnte keine verbindung mit dem hergestellt werden, auf dem port 25

Kann ja auch nicht klappen, wenn bei imap.1blu.de nichts auf Port 25 lauscht.

Für IMAP dann Port 110 nehmen:
telnet imap.1blu.de 110

Für IMAP dann Port 110 nehmen:
telnet imap.1blu.de 110

logisch ich hatte mal wieder 2 Gedanken, aber nur einen aufgeschrieben.
Ich habe beide Ports probiert, da ja SMTP auch nicht rausgeht (natürlich auf den SMTP und nicht auf den IMAP-Server) ;)

bei beiden das gleiche Ergebnis

bei beiden das gleiche Ergebnis

Wir würden gerne das Ergebnis sehen.

Nur so als Tip: nehmt Dienste die das System auch nach außen anbietet (also bspw. nicht 25) ;)


Scanning 89.202.0.68 [8 ports]
Completed Ping Scan at 11:07, 0.39s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 11:07
Completed Parallel DNS resolution of 1 host. at 11:07, 0.20s elapsed
Initiating SYN Stealth Scan at 11:07
Scanning mf8-2.1blu.de (89.202.0.68) [1000 ports]
Discovered open port 993/tcp on 89.202.0.68
Discovered open port 110/tcp on 89.202.0.68
Discovered open port 995/tcp on 89.202.0.68
Discovered open port 143/tcp on 89.202.0.68
Discovered open port 22/tcp on 89.202.0.68
Discovered open port 3905/tcp on 89.202.0.68
Discovered open port 24/tcp on 89.202.0.68
Completed SYN Stealth Scan at 11:07, 6.02s elapsed (1000 total ports)
Initiating Service scan at 11:07

Wir würden gerne das Ergebnis sehen.

So, nach einigen Netzwerkproblemen habe ich es von einem WinClient nochmal versucht:

telnet imap.1blu.de 143
* OK mf8-2 Cyrus IMAP4 Murder v2.1.18-IPv6-Debian-2.1.18-1+sarge2 server ready

und

telnet smtp.1blu.de 25
220 ms4-1.1blu.de ESMTP Exim 4.50 Tue, 05 Jan 2010 07:37:34 +0100

Dann geht doch alles. Hast du in der Mail-/Bankingsoftware vielleicht was falsches eingetragen?

Dann geht doch alles. Hast du in der Mail-/Bankingsoftware vielleicht was falsches eingetragen?

Nee. Eben nicht. An den Clients nichts geändert. Die haben die gleichen Einstellungen wie vorher. Hab nur den Server neu installiert.

Nee. Eben nicht. An den Clients nichts geändert. Die haben die gleichen Einstellungen wie vorher. Hab nur den Server neu installiert.
und

So, nach einigen Netzwerkproblemen habe ich es von einem WinClient nochmal versucht:
Kannst Du denn prüfen, ob bspw. die Namensauflösung für die nicht (richtig?) erreichbaren Server, bzw. deren domain, funktioniert?
Also bspw.:


nslookup lehmanbrothers.com

Und ist das Zielystem selbst erreichbar? Bspw. mittels traceroute prüfen ...


traceroute banking.lehmanbrothers.com

und

Kannst Du denn prüfen, ob bspw. die Namensauflösung für die nicht (richtig?) erreichbaren Server, bzw. deren domain, funktioniert?
Also bspw.:


nslookup lehmanbrothers.com

Und ist das Zielystem selbst erreichbar? Bspw. mittels traceroute prüfen ...


traceroute banking.lehmanbrothers.com




nslookup lehmanbrothers.com


ergibt





C:\Dokumente und Einstellungen\chris>nslookup bild.de
*** Der Servername für die Adresse 192.168.1.254 konnte nicht gefunden werden:
Non-existent domain
*** Die Standardserver sind nicht verfügbar.
Server: UnKnown
Address: 192.168.1.254

Nicht autorisierte Antwort:
Name: bild.de
Address: 213.61.13.70


C:\Dokumente und Einstellungen\chris>


und




C:\Dokumente und Einstellungen\chris>tracert imap.1blu.de

Routenverfolgung zu imap.1blu.de [89.202.0.69] über maximal 30 Abschnitte:

1 <1 ms * <1 ms 192.168.1.254
2 3 ms * 5 ms 192.168.0.254
3 12 ms * 9 ms XXX
4 13 ms * 14 ms 88.79.10.109
5 10 ms * 9 ms 92.79.212.237
6 18 ms * 17 ms 92.79.213.122
7 18 ms * 22 ms decix-1.ixsolutions.net [80.81.192.234]
8 228 ms 373 ms * 89.202.113.22
9 18 ms * 18 ms mf8-1.1blu.de [89.202.0.69]

Ablaufverfolgung beendet.

C:\Dokumente und Einstellungen\chris>

SMTP geht mittlerweile. ich weiß aber nicht warum. :confused:

Banking und IMAP auf das externe Konto nicht.

SMTP geht mittlerweile. ich weiß aber nicht warum. :confused:

Banking und IMAP auf das externe Konto nicht.
SMTP & imap ging doch, laut deinem posting, bereits gestern ... vgl. http://www.linuxforen.de/forums/showpost.php?p=1738105&postcount=25
Ggf. solltest Du da bspw. mal die Portangaben, resp. Benutzername/Kennwort in deinem Mailprogramm prüfen ... oder prüfen ob das Mailprogramm nicht durch eine auf den PCs installiert FW, oder AV-Software (bspw. Mcafee), geblockt wird.

Versuche doch auch einmal den Banking-Server per nslookup & traceroute zu erreichen ... das machst doch sicherlich nicht bei Bild.de, oder? ;)
Und zwar vom Linuxsystem und auch vom Windows-PC aus.