Hetzner Server hinter OPNSense nicht auf Port 25 erreichbar (Proxmox LXC)

CoMo

Commander
Registriert
Dez. 2015
Beiträge
2.937
Hallo,

folgendes Setup:

Mein Proxmox Server läuft bei Hetzner auf Blech. Darauf eine OPNSense VM, die den gesamen Traffic abbekommt:

Code:
DNAT       tcp  --  anywhere             anywhere             multiport dports  !<mein-ssh-port>,8006 to:10.0.0.1
DNAT       udp  --  anywhere             anywhere             to:10.0.0.1

Eine entsprechende Bridge auf dem Proxmox und an der OPNSense kümmert sich drum, dass der Traffic weitergeleitet wird.

Ich arbeite also auf der OPNSense mit Port Forwardings (IPv4) und Traffic Rules (IPv6). Die Default Policy ist Drop.

Alles landet auf meinem Reverse Proxy (Zoraxy) und dieser macht für die TCP Ports Stream Proxying zum LXC-Container.

Das funktioniert bisher einwandfrei.

Nun möchte ich hier einen Mailserver aufsetzen. Ich benötige also diese Ports:

Code:
25 (smtp)
465 (smtps)
993 (imaps)

Leider schaffe ich es nicht, den Port 25 erreichbar zu machen. Die anderen Ports funktionieren und ich kann meinen Thunderbird verbinden und auch Mails senden. Aber keine von anderen Mailservern auf Port 25 bekommen.


Code:
Host is up (0.0036s latency).
Not shown: 65527 filtered ports
PORT      STATE  SERVICE
25/tcp    closed smtp
465/tcp   open   smtps
993/tcp   open   imaps

Eine Idee, wo ich hier etwas übersehen haben könnte?

Laut Hetzner Support werden keine Ports blockiert.
 
Jepp, Hetzner blockt Port 25. Das kannst du freischalten lassen wenn der Server länger läuft, einfach mal dem Support schreiben.
Hatte diese Odyssee auch schon, wenn der erste Supporter dir da keine zufriedenstellende Antwort gibt nochmal neu anfragen.
 
  • Gefällt mir
Reaktionen: JumpingCat
Masamune2 schrieb:
Jepp, Hetzner blockt Port 25.
Würde mich wundern, wenn Hetzner den Port 25 blockt. Ich habe seit Jahren Server (vServer und dedizierte Server) bei Hetzner und habe es noch nie erlebt, dass dort Port 25 blockiert ist.
 
Interessant wäre auch, in welche Richtung der Port gesperrt sein sollte (wenn es denn so ist). Eingehen oder ausgehend und spannend wäre noch, was sagt "telnet", wenn du versuchst Port 25 anzusprechen?! :)

Gruß, Domi

p.s. Bist du ein ganz neuer Kunde bei Hetzner? Dann würde ich es verstehen, wenn die Port 25 sperren um bei ganz neuen Kunden den E-Mail Spam gering zu halten.
 
Ich habe den Server seit etwa 3 Monaten. Port 25 ausgehend ist kein Problem.

Code:
~# telnet posteo.de 25
Trying 2a05:bc0:1000::168:1...
Connected to posteo.de.
Escape character is '^]'.
220 submission01.posteo.de ESMTP Postfix

Eingehend funktioniert natürlich nicht, da der Port closed ist.

Code:
telnet: Unable to connect to remote host: Connection refused
Ergänzung ()

Hetzner sagt:

Vielen Dank für Ihre Anfrage, es sind von uns keine Ports blockiert. Aktuell sehen wir folgende Ports:

----------->%-----------
Host is up (0.0011s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
80/tcp open http
443/tcp open https
465/tcp open smtps
993/tcp open imaps
------------%<----------

Mit freundlichen Grüßen
 
Hab nochmal nachgeschaut, es ging tatsächlich um ausgehenden Mailverkehr:

Leider ist der gezielte Versand von Spam-Mails ein großes Problem unter Cloud-Anbietern. Um dem bestmöglich entgegenzuwirken, blockieren wir bei Hetzner den ausgehenden Datenverkehr der Ports 25 und 465 standardmäßig auf allen Cloud Servern. Diese Vorsichtsmaßnahme ist unter Cloud-Anbietern weit verbreitet und hilft die missbräuchliche Nutzung der Ports zu verhind

Sobald du den Server einen Monat hast und die erste Rechnung bezahlt wurde kannst du das über den Support aufheben lassen.
Trifft aber auf dein Problem mit dem eingehenden Block tatsächlich nicht zu.
 
Für das "Wording" darf man sich bei allen anderen bedanken. Hier ist das ein Interpretationsspiel sowie Interpretationsspielraum.

Denn egal was für einen Server du besitzt, kann dieser zu deren "Cloud Netzwerk" gehören und fällt dann somit in das Schema F hinein ;)

Aber wie Masamune schon schrieb und zitierte... sie blockieren anfangs, Port 25 und 465 (ausgehend), was auch Sinn macht. Eingehend den Port sperren, macht für mich aktuell wenig Sinn, da du ja dann nicht mal E-Mails empfangen könntest.

Hierbei sei zu erwähnen, dass trifft aber wohl eher auf "Neukunden" zu, nicht auf "Bestandskunden".

Nachtrag1: Aber um dieses "Ping Pong" mal zu unterbrechen... Wenn sie auch Port 25 (eingehend) gesperrt haben, einfach darum bitten, die Firewall zu öffnen (für deinen Server).

Nachtrag2: Mal so nebenbei erwähnt.. Port 25 hast du aber in deiner OPNsense (Firewall: NAT: Port Forward) korrekt hinterlegt und somit in der Firewall den Port auf gemacht?
 
Zuletzt bearbeitet:
Problem gefunden.

CoMo schrieb:
Alles landet auf meinem Reverse Proxy (Zoraxy) und dieser macht für die TCP Ports Stream Proxying zum LXC-Container.

Da war der Hase begraben. Auf dem Zoraxy läuft standardmäßig ein Postfix, vermutlich für so Krempel wie Passwort Reset. Und der lief, Überraschung, auf Port 25 auf localhost 🥳

Code:
tcp       LISTEN     0           100                  127.0.0.1:25                  0.0.0.0:*         users:(("master",pid=305,fd=13))
tcp       LISTEN     0           100                      [::1]:25                     [::]:*         users:(("master",pid=305,fd=14))

Der Stream Proxy lief somit ins Leere.

Postfix disabled und gestoppt, Stream Proxy neu hinzugefügt.

Code:
tcp       LISTEN     0           4096                         *:25                        *:*         users:(("zoraxy",pid=96,fd=18))

Passt, gerade trudeln alle delayed Testmails von gestern ein.

Danke für alle Tipps.
 
  • Gefällt mir
Reaktionen: JumpingCat
Hier kann man sich streiten, aber ich bezweifle dass der Support von Hetzner sich jetzt auf die Suche nach dem Problem des Anwenders macht, wenn die Aussage von denen schon war, dass Ports zu sind (oder eben nicht).

Für die ist das Thema dann erst einmal erledigt.

Primär ging es mir aber bei meiner Aussage darum, dass er sie nicht nochmal anschreiben muss, mit der Bitte den Port 25 frei zu machen ;)
 
Zurück
Oben