Port basierend IP nutzen

[Ser1ous1]

Hallo,

ich habe einen ESX Server mit unteranderem einer Debian 9 VM welche ISPConfig 3 am laufen hat.

Derzeit laufen meine Websites via einem DynDNS dienst auf diesem Server. Jetzt habe ich jedoch einen zweiten Internetzugang via LTE gemietet mit fester IP, womit ich dann auch einen Mail Server betreiben möchte.

Ich möchte das die Webseiten über die Dynamische IP aufgerufen werden und der Mailserver über die Statische IP läuft.

2 getrennte Interfaces sind vorhanden, jedoch keine gute Firewall (zb. Fortinet) wo ich wüsste wie ich das am besten anstelle.

Meine Frage ist jetzt:
Wie kann ich Webseiten, interne Downloads / Upgrades (http/s -> wan, ftp/s -> wan routen)
und
Den Mailserver über die Statische IP sprechen lassen (SMTP/s, IMAP/S)

Geht das womöglich auch nur mit IPTables mit sperren bzw freigeben der Ports für das jeweilige Interface?

 

[rocketworm]

Die jeweilige Applikation an die gewünschte IP-Adresse binden. Dann sind diese nur unter der jeweiligen IP erreichbar.
Bei der dynamischen IP könnte es jedoch mit etwas tricky werden. Ggf. musst du dir nen Script bauen, dass die IP in der Config vom ISPConfig anpasst und diesen einmal neustartet sobald sich die IP Ändert.

Besser wäre es den ISPConfig von extern gar nicht direkt erreichbar zu machen sondern hierfür einen VPN Zugang zu nutzen.

Klingt so als wenn du zu Hause nen Mailserver hosten willst. Der LTE Zugang mit statischer IP wird sicher auch nen bischen Geld kosten. Für das Geld kannst du doch bestimmt schon nen Vserver oder Rootserver samt fester IP-Adressen Mieten.
Z.B.:
https://www.hetzner.de/sb

 

[Ser1ous1]

Das mit der dynamischen IP klappt gut, hab auch ein skript laufen. Der Router nattet Port 443 und 80 weiter, ansonsten ist nichts erreichbar auch nicht ISPConfig.

Mir geht es nur darum, das ich von Intern auf Extern die Dynamische IP Adresse nutze.

Hatte schon einige Root Server und Vserver, hoste aber lieber zuhause.

LTE 20 / 5 Mbit - für Mail
Kabel 300 / 30 Mbit - für Web und Clients

Das reicht.

 

[rocketworm]

Ich habe ne Vermutung, was du vor hast. Ich denke das wird nicht funktionieren. Für eingehenden Traffic ja, für ausgehenden wird das schwierig. Da hierzu immer das Defaultgateway herangezogen wird. Ich wüsste jetzt nicht wie man Applikationsabhängig wieder nach draußen Routen sollte.
Wahrscheinlich geht es nur wenn man jeweils einen Server/vm zu nutzt, welche dann jeweils die gewünschte Defaultroute haben haben.

Kannst du mal darstellen, wie in etwa dein Netz aussehen soll wenn nachher LTE mit im Spiel ist?
Sprich Server + lokale Ipadressen und die DSL/LTE Router...

 

[Ser1ous1]

Hab leider keine Möglichkeit zu zeichnen, aber ja... mit dem Defaultgateway "Problem" triffst du den Nagel auf den Kopf.

Die VM hätte zwei NIC's eingebunden, eine zum Kabel und eine zum LTE Router.

Alle anderen VM's und Clients haben nur die Route zum Kabelmodem.

Clientnetzwerk + Webserver 192.168.1.0/24 gw .1 <-> NAT (HTTP, HTTPS) Kabelmodem
10.10.100.0/24 gw .1 <-> NAT (SMTP, SMTPS, IMAP, IMAPS) LTE Modem

VM nics
192.168.1.100 -> gw .1
10.10.100.100 -> gw .1

 

[rocketworm]

Wenn du ISPConfig und den Mailserver an je eine der IP's der VM NIC's bindest, könnte ich mir vorstellen, dass die Lösung aus diesem Link funktionieren könnte.
https://unix.stackexchange.com/questions/317151/change-default-gateway-for-specific-program
Ich habe mit iptables noch nichts gemacht. Aber auf dem ersten blick sieht es nicht all zu doof aus. Wäre mal nen versuch wert. Solltest aber checken ob dir bei smtp nicht vielleicht dynamische ports bei abgehenden Verbindungen in die Queere kommen.

 

[BlubbsDE]

Und einen Mailserver mit einer LTE IP zu betreiben, das wird auch nichts. Da werden Dich die großen nicht mit spielen lassen.

 

[Ser1ous1]

Und einen Mailserver mit einer LTE IP zu betreiben, das wird auch nichts. Da werden Dich die großen nicht mit spielen lassen.

Doch, hab ich natürlich schon getestet. Mit rDNS SPF und DKIM kein Problem!


*Mir ist grad eine Lösung eingefallen, einfach ne VM mit einer Firewall Distri mit 2 Wan Ports und 1 Lan Port und einfach Policies schalten.

 

[lokon]

Ich wüsste jetzt nicht wie man Applikationsabhängig wieder nach draußen Routen sollte.
Wahrscheinlich geht es nur wenn man jeweils einen Server/vm zu nutzt, welche dann jeweils die gewünschte Defaultroute haben haben.

iptables hat ein "owner" Modul

Außerdem gibt es UID based routing also "per-app routing policies"

Docker & ähnliche App/VM-"Isolierungen" nutzen Network Namespaces

namespaces do not share routing tables or firewall rules

Namespaces auf deutsch im Linux Magazin

 

[snaxilian]

Das kannst du mit PBR (Policy Based Routing) lösen. Damit kannst du je nach genutztem Port deine Anwendungen routen. SMTP und IMAP dann Richtung LTE-Router als Gateway, Rest den normalen Weg.

 

[Ser1ous1]

Konnte gestern keine gute Anleitung finden und hab dann etwas nachgedacht, war dann eigentlich logisch.
1. Hab einen DUAL-WAN Uplink eingerichtet mit der Gewichtung 100 % Kabel / 0 % LTE.
2. Masquerading nach außen auf das DUAL-WAN
3. NAT (HTTP / HTTPS) Any auf vIP von ISPConfig
4. Multipath Route eingerichtet (Internal -> Websurfing -> Any via KABEL)

So konnte ich endlich zwischen Kabel und LTE hin und her switchten.

Gelöst mit der Sophos UTM Home Edition.

*Jetzt wird noch das LTE getestet auf Stabilität 3 Tage lang. Ist momentan ne bastel Lösung hab einen e3373h geflashed damit ich NAT verwenden kann und der Stick steckt auf einem TP-Link 3020. Alles mit DMZ auf die Sophos.