Hallo zusammen,

mit Smartphone greife ich über WLAN als auch dyndns auf das internet Mailsystem per SSL zu. Klappt auch wunderbar wo .....dyndns.org auf dem Smartphone als Mailserver hinterlegt ist.


iptables -t nat -A PREROUTING -p tcp -m state --state ESTABLISHED --dport 443 -j DNAT --to-destination 192.168.99.1:443
iptables -A FORWARD -p tcp -d 192.168.99.1 --dport 443 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp --sport 443 -j MASQUERADE


-i dsl0 kann ich nicht angeben, da sonst meine dyndns über WLAN nicht funkioniert, da von WLAN ja über eth0 das Paket ankommt.

Nun habe ich aber das Problem, dass interne SSL Verbindungen ebenfalls nach 192.168.99.1 geroutet werden. Logisch, da ja alles was auf Ziel 443 auf die interne IP geht.

Wo kann ich da den Feinschliff machen, dass Pakete die an externe SSL IPs gehen, nicht intern geroutet werden ???

Danke.

Ich habe folgendes verstanden:

- Du hast einen Mailserver in deinem Netzwerk mit der IP 192.168.99.1.
- Damit du die E-Mails von unterwegs abrufen kannst gibt es einen dyndns-record zu deine öffentlichen ipv4 Adresse hier gibt es ein Nat auf den Mailserver.
- Intern schaufelst du nun alle ausgehenden Verbindungen auf 443 direkt weiter an deinen Mailserver, damit kannst du natürlich keine Verbindungen auf 443 nach außen aufbauen.

Habe ich dich so richtig verstanden?

Wenn deine Regel nun lautet:
Alle Pakete aus dem internen Netzwerk die Port 443/tcp erreichen wollen, weiterleiten an 192.168.99.1:443.

Dann müsstest die sie wie folgt ändern:
Alle Pakete aus dem internen Netzwerk die dyndns:443/tcp erreichen wollen, weiterleiten an 192.168.99.1:443.

Richtig verstanden, bis auf das ich intern an 443 weiterleite, damit das Smartphone auch im WLAN funktioniert.

Trage ich dyndns.org als Destination ein, gehen externe Verbindungen und ich kann auch von intern auf SSL Seitenzugreifen, aber dann geht intern meine WLAN Abfrage nicht, weil im Smartphone die dyndns drin steht, aber bei WLAN dann nicht weiterleitet wird, warum auch immer.

Letztlich nur ne einfach Sache:
Smartphone ---> Provider --> Firewall --> interner Mailserver
Smartphone --> WLAN --> Firewall --> interner Mailserver
beides soll mit der dyndns laufen, also auch intern, da ich nicht ständig die IP ändern will von extern auf intern.

Hmm, alles etwas komplex zu erklären *grummel*

Moin

Die einfachste Lösung:
Installiere Dir einen DNS-Server (dnsmasq), der intern für deine dyndns-Domain die 192.168.99.1 liefert.

Thorashh

*gmpf*

stimmt, so kann man es auch machen, zumale schon ein DNS-Server drauf läuft.

Super, danke Thorashh für die Lösung und danke an Kernel-Error für die Mühe ;-)

Da bin ich immer etwas anders. Ich suche ungern einen Workaround sondern löse vorzugsweise das eigentliche Problem.

:-D

Moin Kernel-Error

Wie so oft liegt das im Auge des Betrachters. ;)

Der Fehler liegt hier in der fehlerhaften Konfiguration des DNS-Servers. Das Problem mit iptables zu umgehen ist ein Workaround.
Die korrekte Konfiguration des DNS-Server ist die Lösung für das Problem.

Thorashh