Hetzner Firewall treibt mich in den Wahnsinn

[Andy81]

Hallo an alle,

ich habe mir bei Hetzner einen kleinen VPS gegönnt. Die VPN-Verbindung zu Hetzner ist aktiv. Leider bekomme ich es nicht hin, dass der Port 25, 465 und 993 hinter dem VPN erreichbar sind.
Hetzner hat mir jetzt auch "nur" diesen Link geschickt:
https://community.hetzner.com/tutorials/iptables/de

Aktuell schaut iptables so aus:

# Generated by iptables-save v1.8.10 (nf_tables) on Tue Jan 21 13:39:15 2025
*filter
:INPUT ACCEPT [355:27388]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [84:6594]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Jan 21 13:39:15 2025
# Generated by iptables-save v1.8.10 (nf_tables) on Tue Jan 21 13:39:15 2025
*nat
:REROUTING ACCEPT [82:5120]
:INPUT ACCEPT [76:4288]
:OUTPUT ACCEPT [21:1292]
:OSTROUTING ACCEPT [21:1292]
-A POSTROUTING -o wg0 -j MASQUERADE
-A POSTROUTING -o wg0 -j MASQUERADE
COMMIT
# Completed on Tue Jan 21 13:39:15 2025

In der Cloud Firewall habe ich für eingehenden Verkehr Port 25, UDP 51820, 465 und 993 freigegeben.

Kann mir da jemand helfen?

 

[qiller]

dass der Port 25, 465 und 993 hinter dem VPN erreichbar sind.

Laufen die Dienste denn überhaupt auf dem Tunnel-Interface?

 

[Andy81]

Ja laufen, da diese gerade noch über einen anderen VPN aktiv sind.

 

[qiller]

Dann ne andere Frage, sind die Ports denn ohne iptables-Regeln auf dem Tunnel-Interface erreichbar? Also ist denn klar, dass der normale, ungefilterte Zugriff überhaupt sauber funktioniert?

 

[Andy81]

Was ist ungefiltert bei dir? Firewall komplett offen meinst du?

Wenn ich die feste IPv4 von Hetzner aufrufe (mxtoolbox) ist der Port 25 nicht erreichbar, also irgendwo zwischen der festen IP und meinem Router hakt es. Und ja, die Ports sind auf dem Router alle korrekt weitergeleitet, sonst würde die bisherige VPN-Verbindung ja auch nicht funktionieren.

 

[qiller]

Was ist ungefiltert bei dir? Firewall komplett offen meinst du?

genau.

Ach ich glaub jetzt kapier ich erst, was du machen willst: Der VPS bei Hetzner ist praktisch nur Entry-Point und du hast deinen Mailserver bei dir irgendwo laufen. Und die Verbindung vom Mailserver zum VPS machst du per Wireguard-VPN?

 

[Andy81]

Korrekt.

 

[up.whatever]

Hört sich danach an, als wolltest du den vServer als Router mit port forwarding nutzen!?
Dafür müsstest du IP forwarding mit sysctl aktivieren und in iptables nat/prerouting ein dnat einrichten. Und sinnvollerweise auch noch in filter/forward eine Firewall fürs forwarding konfigurieren.

 

[Andy81]

Wäre jemand so nett und würde mir schreiben, welche Zeilen dafür in die iptables reingehören?
IP Forwarding ist bereits aktiviert.

 

[VDC]

-A INPUT -i lo -j ACCEPT

-A INPUT -i wg0 -j ACCEPT

 

[Andy81]

Funktioniert so auch nicht.

# Generated by iptables-save v1.8.10 (nf_tables) on Tue Jan 21 14:31:06 2025
*filter
:INPUT ACCEPT [371:28306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [84:6594]
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i wg0 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o wg0 -j ACCEPT
COMMIT
# Completed on Tue Jan 21 14:31:06 2025
# Generated by iptables-save v1.8.10 (nf_tables) on Tue Jan 21 14:31:06 2025
*nat
REROUTING ACCEPT [168:9678]
:INPUT ACCEPT [162:8846]
:OUTPUT ACCEPT [24:1534]
OSTROUTING ACCEPT [24:1534]
-A POSTROUTING -o wg0 -j MASQUERADE
-A POSTROUTING -o wg0 -j MASQUERADE
COMMIT
# Completed on Tue Jan 21 14:31:06 2025

 

[VDC]

Wie sieht es denn mit Iptables aus aus?

 

[stage]

:INPUT ACCEPT [371:28306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [84:6594]

Die default Rules sind doch eh alle auf ACCEPT. Da hier alles durchgelassen wird, versteh ich nicht ganz was du noch explizit freigeben willst.
Die ganzen Freigaben unten drunter sind total obsolete, da sowieso immer accepted wird.
Das mal zum Grundsätzlichen.

Aber bei deinem Problem kann ich nicht helfen, weil ich überhaupt nicht richtig nachvollziehen kann was du da vor hast.

 

[qiller]

Oha, mal eben aus nem VPS ein VPN-Router machen, da bin ich jetzt auch nicht fit genug drin^^. Mein Bauchgefühl sagt mir erstmal, dass du da höchstens INPUT Regeln auf dem VPS brauchst und selbst die würde ich testweise erstmal wegelassen.

Das was erstmal funktionieren muss, ist das Routing vom VPS zum Mailserver durch den VPN Tunnel. Also funktioniert denn das Anpingen der Server gegenseitig? Also vom Mailserver aus die VPN IP-Adresse des VPS und vom VPS aus die (interne?) IP-Adresse des Mailservers.

 

[Andy81]

WG VPN wird zu Hetzner aufgebaut. Deren IPv4 Adresse steht bei mir in den DNS Einstellungen (A-Eintrag und ein mx-Eintrag mit Hostnamen) und wird als Posteingangsserver verwendet. Verschickt werden Mails über Smarthost. Eigentlich muss der Port 25 an meinen Router durchgereicht werden.

Die feste IP-Adresse kann ich anpingen. Andersrum teste ich das über mxtoolbox. Da ist der interne Mailserver über den Port 25 nicht erreichbar.

 

[VDC]

DNS interessiert nicht, das was qiller möchte ist ein Traceroute.

Und du kannst doch gerne mal alles an Konfiguration und beteiligten Geräten posten, eine Fritzbox oder war es ein Speedport(?) macht z.b. Port 25 dicht.

 

[Andy81]

Es kann nicht am Router oder sonstigem liegen, wenn für den selben Zweck über eine andere VPN-Verbindung alles funktioniert. Dann kann weder eine Weiterleitung, noch ein Gerät die Ursache sein. Wenn hier keiner mehr helfen kann (oder will), ist auch ok.

 

[qiller]

für den selben Zweck über eine andere VPN-Verbindung alles funktioniert.

Sry überlesen, dann steh ich noch mehr aufm Schlauch. Ich hätte jetzt nur noch mehr Fragen für dich, aber vlt kann wer anders mit den Informationen was anfangen.

 

[Andy81]

Oder ich belass es bei der "alten" Verbindung, aber die ist halt etwas teurer... deshalb wäre der Wechsel zu Hetzner angedacht.

Ergänzung (21. Januar 2025)

Sry überlesen, dann steh ich noch mehr aufm Schlauch. Ich hätte jetzt nur noch mehr Fragen für dich, aber vlt kann wer anders mit den Informationen was anfangen.

Welche Infos brauchst du denn noch?

 

[up.whatever]

Wäre jemand so nett und würde mir schreiben, welche Zeilen dafür in die iptables reingehören?
IP Forwarding ist bereits aktiviert.

Sorry, aber wenn du das mit den gegebenen Informationen nicht umgesetzt bekommst, solltest du imho die Finger davon lassen. Es bringt doch nichts, wenn du blind Befehle abtippst, ohne zu verstehen was du da überhaupt machst.