[Eisfair] mail & Cert mail-manager Zertifikat anzeigen
Nelson Matias
anires at anires.de
Do Jul 23 00:29:37 CEST 2020
Hallo Kay,
On 22.07.2020 23:14, Kay Martinen wrote:
> Das klingt komplizierter, nach Umweg und für mich nicht machbar. Ich hab
> ja einmal den WAN-Router, das Zwischennetz in dem dieser Server liegt
> und den internen Router der nach außen hin eh NAT macht. Wenn ich aber
> überlege das ich mit einer QuellIP von z.b. 192.168.1.10 die durch NAT
> auf 192.168.2.2 übersetzt wird den EIS unter 192.168.2.100 nicht
> ansprechen sollte, sondern dies evtl. über eine "externe" IP (Welche?
> Die WAN-IP des WAN-Routers?) ansprechen soll dann weiß ich nicht wie ich
> das umsetzen sollte. Ein portforward der das vom Router wieder zurück
> schmettert zum EIS erscheint mir unsinnig und das einzige was ich machen
> kann ist meinem internen DNS die IP des EIS im Zwischennetz übersetzen
> zu lassen (A und Rev) aber ...???
Ich denke dein WAN-Router muss wissen, das dein Mail-Server die
192.168.2.100 hat. Ich gehe davon aus, das du eine eigene Domain (auch
dyndns-Domain) hast. Nennen wir diese "meine.dom".
Dein ISP löst alle DNS-Anfragen für *.meine.dom an deine Internet-IP,
die er dir gegeben hat, also an deinen WAN-Router. Hier greift das
Portforwarding und der leitet die Anfragen an den Eis (nennen wir ihn
mail.meine.dom).
Intern fragen deine Clients deinen DNS nach mail.meine.dom und bekommen
als Antwort jetzt nicht deine WAN-IP sondern die 192.168.2.100. Deine
Clients bauen also direkt die Verbindung auf.
Das Zertifikat muss in dieser Konstellation auf 'mail.meine.dom'
ausgestellt werden. Da ALLE Clients egal ob von außen oder von innen
diesen Namen suchen. Lediglich die IP ist je nach Ursprung eine andere.
Wichtig ist nur, das der WAN-Router nicht bei DNS-Anfragen umgangen
wird. Das passiert schnell, wenn ein internen (Zwischen-)Router direkt
den Provider-DNS als forwarder eingetragen hat.
So ist das bei mir der Fall und das klappt wunderbar. Mein 'WAN-Router'
ist allerdings ein Fli4l, der in diesem Fall sehr einfach zu
konfigurieren ist :)
Mir war dabei wichtig, das die Clients immer verschlüsselt zugreifen
können ohne was an deren Konfiguration zu ändern. Weil erklär mal meiner
Schwiegermutter wie sie ihre Mails lesen soll abhängig von der
Verbindung über WLAN (hier), WLAN (wo anders) und Mobile Daten. Von
meiner Mama fange ich da schon gar nicht an ;)
Gruß Nelson
Mehr Informationen über die Mailingliste Eisfair