NAS - Mail/DNS/VPN server via PPPoE

Apparatuur
1

Beste mede-tweakers!

Ik stel deze vraag op het forum omdat ik denk dat de oplossing van pas zal komen voor meerdere (toekomstige) Tweakers die een Synology NAS via deze opstelling willen gebruiken. Omdat ik nieuwe gebruiker ben kan ik maar beperkt afbeeldingen en links toevoegen, kan dus minder foto’s tonen. Ik heb een (mail)server opgezet die kennelijk niet gevonden kan worden door andere (mail)servers. Mijn opstelling is als volgt:

1. Mijn modem/router constructie
Ik heb eerst de WiFi en alle ethernetkabels uit mijn FritzBox gehaald. Daarna heb ik de PPPoE functie van de Fritz-Box inschakelt. Dit heb ik gedaan via Account information > Internet Connection > blauwe link “Change connection Settings” onderaan.

Screen Shot 2020-02-06 at 18.47.41
Screen Shot 2020-02-06 at 18.47.411039×425 52.7 KB

Daarna heb ik mijn TP-link router opgestart. Tussen de Fritz-Box en de TP-link heb ik een ethernetkabel getrokken. Het enige apparaat dat dus direct verbonden kan zijn met de Fritz-Box is de TP-link router. De Synology NAS met de daarop draaiende (vpn/dns/mailserver) is uitsluitend verbonden met de TP-link router via een ethernetkabel

Vervolgens heb ik een statisch ip-adres aangevraagd bij Tweak zodat ik vindbaar ben voor anderen op het internet. Dit statisch IP-adres heb ik ingevuld in de A- MX- record, Tweak heeft het statisch IP-adres gekoppeld aan een door mij opgegeven mail.mijndomeinnaam.nl . In de TP-link router heb ik de volgende poorten opengegooid: 1194, 25,465, 587.

Het probleem
Er zijn twee problemen waar ik niet uitkom en hulp voor vraag:

  1. De eerste betreft de uitgaande mail. Mail die ik verstuur komt aan bij de ontvanger, maar altijd in de junk-mail. Ik verwachtte dat dit zou verdwijnen na aanmaak van het PTR-record door tweak, maar tevergeefs.

  2. Het belangrijkste probleem betreft binnenkomende mail. Het lukt anderen niet om mij een mail te sturen. Als derden mij een mail proberen te sturen dan krijgen ze een “relay error” terug.

Goed om te weten

  • Het is mij onbekend hoe ik kan zien of de Fritzbox net als mijn TP-link denkt als DHCP-server werkzaam te zijn.
  • De bridgefunctie van de Fritz-box is kennelijk niet te gebruiken.
  • Wat betreft mailverkeer sta ik niet op een blacklist.
  • Mijn TP-link router herkent na auto-detecteren nog steeds een dynamisch-ip. Volgens mijn TP-link router werk ik in tegenstelling met de FritzBox nog met een dynamisch-ip.
  • De Fritz-box wijst (nog) niet een vast ip-adres toe aan de TP-link router.
  • Er is geen resolutie ingesteld op de DNS-server (die draait op de NAS).

Klik hier voor een getekend schematisch overzicht van het (mail)netwerk

2

Hoi Dann1s

Ik ben niet bekend met PPPoe, maar dit is ook zo op te lossen.
Het kan best zijn dat tweak geen PPP gebruikt, volgens mij krijg je namelijk een directe ethernet connectie aangeleverd maar dan over de glasvezel.
Het probleem hier is dat je achter 2x NAT lijkt te zitten, wat er voor zorgt dat anderen je synology niet kunnen bereiken van het internet.
Het beste is om of:

  • de tp-link te gebruiken als switch/access point, dit doe je door de dhcp server op de router uit te zetten in de instellingen en de internetkabel, die nu in WAN zit waarschijnlijk, in een LAN poort te stoppen, dan kan je de port forwarding en andere router instellingen doen op de fritzbox.
  • een mediaconverter te kopen om de fiber om te zetten naar utp, en die vervolgens in de tp-link stoppen. De tp-link zou dan een IP moeten regelen van tweak en dan kan je deze gebruiken om je netwerk op te bouwen.

Mail is irritant, maar de kans is dat je automatisch geflagged word als spam omdat je mail van een consumenten netwerk komt, waar de meeste spam vanaf wordt verzonden. Dit valt waarschijnlijk op te lossen door jezelf toe te voegen aan de meeste mail platformen, maar dit is volgens mij aardig wat werk.

3

Wat wil je met PPPoE bereiken? Dit gebruikt tweak helemaal niet.

Verder kan je idd geen bridge functie gebruiken met Fritz. Fritz zal dus altijd je publieke IP van Tweak krijgen en je TPlink krijgt een intern IP in het LAN van de fritz. Het enige wat je kan doen, als je echt je fritz ervoor wil houden, is in de fritz een exposed host aanmaken richting je TP.

Verder qua mail: PTR is allang niet meer voldoende om bij de hotmails en gmails in 2020 nog in de inbox terecht te komen. Je moet op zn minst ook nog een SPF in de authoritative DNS voor je domein instellen, het liefst ook nog met DKIM werken en natuurlijk in een IP blok zitten dat administratief in orde is.

4

Dat klinkt logisch inderdaad Grafzicht, ik heb nu twee verkeersregelaars tegelijkertijd. Oorspronkelijk heb ik PPPoE gebruikt omdat dit de enige optie was om de TP-link werkend te krijgen in mijn netwerk. Dit was nog voordat ik de NAS kocht. De TP-link wil ik gebruiken omdat ik een stabielere verbinding ervaar wanneer ik werk met meerdere verbonden apparaten (10+). Waarschijnlijk door de MU-MIMO feature van de TP-link router. Ik wou daarom de TP-link blijven gebruiken.

@grafzicht Optie 1 heb ik geprobeerd, maar als access point is de TP-link router redelijk nutteloos. Dus ik ga de mediaconverter kopen. Voor nu zal ik noodgedwongen alles aansluiten op de Fritzbox.

@eversteegt Deze optie werkt, alleen het zorgt ervoor dat de NAS onbeveiligd benaderd kan worden via het internet. Denk dat een mediaconverter de beste optie is.

5

@Dann1s Waarom zou je NAS onbeveiligd benaderbaar worden?

Tenzij ik je originele vraag verkeerd begrijp, ben je op zoek naar een manier om je TP-Link als router te kunnen blijven gebruiken, terwijl de Fritz!box ertussen blijft (waarschijnlijk voor je telefonie en TV ).

Als ijj, naast een eventuele TV-box en je DECT telefoons, niets anders aan je Fritz!box hebt hangen dan de WAN zijde van je TP-link, en exposed host/dmz doorgeeft aan je TP-link, waarom zou je NAS dan onbeveiligd toegankelijk zijn. De NAS hangt toch gewoon nog veilig ‘achter’ je TP-link in diens LAN?

In feite doe je op deze manier niet veel anders dan wanneer je een losse mediaconverter zou aansluiten op de vezel en daarna naar de WAN van je TP-link. In dit geval stuurt de exposed host álles door naar je TP-link. En daar stel je gewoon weer de gewenste port forwards in voor de specifieke diensten die jij van buitenaf bereikbaar wilt hebben.

1 like
6

Reply geüpdatet om 21:50 na nieuwe info

De Fritzbox gaf de melding dat bij het inschakelen van de functie de verbinding onbeveiligd raakt, vandaar.

Ik heb inmiddels alle stappen opnieuw doorlopen, en kom er maar niet achter waarom de mail server onbereikbaar blijft. Ik heb op mijn interne DNS-server alle records (a, mx, spf, ns) correct ingevuld. Ik heb via de beheerder van mijn domeinnaam (Strato) eveneens alle records (A, MX, TXT) correct ingevuld. Volgens mij moeten deze stappen toch afdoende zijn:

  • Poorten 143, 993, 110, 995, 25, 465, 587, 53 onder het interne ip van de NAS extern bereikbaar gemaakt in Fritzbox. Zijn allen bereikbaar volgens Open poortcheck tool
  • In lokale DNS de records verwerkt. A-record verwijst naar mijn extern statisch ip, de MX naar mijn mail.domeinnaam.nl.
  • In externe DNS de records verwerkt. Tweak heeft een PTR-record gemaakt naar mail.domeinnaam.nl. In Strato verwijst de A-record eveneens naar mijn extern statisch ip, de MX naar mail.domeinnaam.nl en heeft de TXT-record de waarde ““v=spf1 mx a ptr ip4:mijn statisch extern ip/32 ~all””.
  • In de mailserver heb ik een resolutie geactiveerd met twee forwardingsip’s van public DNS resolver AdGuard DNS
  • Het IP staat op geen enkele blacklist

En toch, ontvang ik helemaal niks. Ik krijg via de website van MXtoolbox de volgende errors terug:

Screen Shot 2020-02-10 at 21.03.16
Screen Shot 2020-02-10 at 21.03.161001×415 25 KB

7

Update
Ik krijg ook deze terugkoppeling, de SPF-record verwijst naar mijn extern statisch ip.

Screen Shot 2020-02-10 at 21.41.44
Screen Shot 2020-02-10 at 21.41.441037×664 54 KB

8

De Fritz!box geeft die melding bij het instellen van Exposed Host natuurlijk als waarschuwing, want het is precies wat het doet: Het ‘hele binnenkomende internet’ doorsturen naar het betreffende apparaat. Echter, ik ga er even van uit dat als je zelf weet dat je het naar de WAN van je TP-lInk stuurt, je dan ook wel kan bedenken dat dat júist de bedoeling is en dus niet onveilig ;). Je bent, neem ik aan, immers niet exposed host aan het aanzetten richting een direc taangesloten NAS, toch?

Echter snap ik nog steeds niet hoe je het nu precies hebt aangesloten: Je gebruikt je TP-link nu als route,r maar je stelt poorten voor de maildiensten in op je Fritzbox? Als je exposed host doet, dan hoef je op de Fritz uiteraard niets meer te forwarden, maar juist wel op je TP-link. Of heb je nu nog alles aan de Fritz!box hangen dus zonder TP-link ertussen?

Verder wat betreft mail: Ik zou eerst zorgen dat je de topologie voor je eigen netwerk goed voor ogen hebt (en dus de forwards). Kijk of je tcp poorten zelf ook van buitenaf (dus niet ‘reflected’ vanuit je eigen LAN maar echt vanaf extern) bereikbaar zijn / er ook echt dingen op luisteren.

Verder wat betreft je MXtoolbox: Ik zie “dns record not found” en “not a record”. Volgens mij zit er dus ook in je DNS nog iets niet goed. Overigens, ik draai zelf geen eigen mailserver thuis, maar wel eentje (met name voor uitgaande mail vanaf wat wordpress sites) op een VPS. Qua SPF voor mijn domein heb ik gewoon gewerkt op basis van A records van hosts die vanuit mijn domeinnaam mails mogen versturen. Ik zie bij jou dat dat ook nog niet goed voor elkaar is, spf not authenticated.

Het feit dat mail niet bij jou binnen komt (lees: niet in jouw server) heeft verder ook weinig met SPF te maken, dat geldt vooral voor mail die vanuit jouw server verstuurd wordt.

De root cause van al je problemen lijkt dus dat je DNS niet voor elkaar is. Het zou mij niet verbazen als blijkt dat de SPF op dit moment faalt omdat de validator jouw IP pakt, daar een reverse op doet, ziet dat dat uit komt op mail.domeinnaam.nl maar vervolgens daar in DNS geen kaas van kan maken .Maar dat is een aanname van mij, ik weet niet helemaal precies of SPF in geval van specificatie op ip adres echt alleen het ip adres checkt, of ook PTR en matching A record.

Maar goed, doordat je eigenlijk 2 issues door elkaar heen behandelt kan het probleem achter het niet binnen komen van mail dus zowel door iets missends in je DNS als in je netwerk topologie / forwarding zitten.

9

Dankjewel @eversteegt, het lag inderdaad aan de DNS-instellingen bij strato. Op 1 of andere manier werd op domeinnaam.nl de mail.domeinnaam.nl geraadpleegd en andersom. Na de wijziging heb ik de mailserver aan de praat gekregen! Ik kan nu ontvangen en zenden zonder dat het automatisch bij iemand in de Junk-mail komt.

De reden dat ik voorzichtig ben met Exposed host is omdat je daarmee volgens mij de Fritzbox (via de optie Exposed Host) een soort DMZ ( gedemilitariseerde zone) maakt. Nu weet ik dat een DMZ ietsje anders is, maar ik heb nog steeds het idee dat zodra de Fritzbox dan gehacked wordt, iemand volledige toegang weet te verkrijgen tot mijn interne netwerk. En dus al mijn files en apparaten kan benaderen. Is dat in tegenstelling tot de DMZ niet zo bij exposed host?

Heb mijn netwerk helemaal uit elkaar gehaald en stap voor stap opnieuw opgebouwd om bepaalde oorzaken uit te sluiten. Alles is nu direct op de Fritzbox aangesloten, de TP-link is ertussen uitgehaald. Ik wil nog steeds de TP-link ertussen plaatsen.

Weet je zeker dat je via exposed host geen veiligheidsrisico creeert? Als het net zo veilig is dan gebruik ik liever die functie dan dat ik een converter aanschaf.

10

Mooi dat de mail nu werkt.

Wat betreft exposed host: Ik kan natuurlijk vanaf hier niet zien hoe jij alles aansluit, dus 100% zeker weten kan niet. Maar zie het zo:

Als jij je hele interne netwerk opbouwt aan de LAN-zijde van je TP-link router en die router dan met z’n WAN zijde op een mediaconverter, kabelmodem of bridge functie achter een andere router aansluit (als de Fritz!box dat had ondersteund), dan hangt jouw TP-link aan het “grote boze internet” en moet zijn software zorgen voor een betrouwbare scheiding tussen z’n LAN en WAN.

Als jij je TP-link nou met z’n WAN aan de Fritz!box hangt en verder hangt er helemaal niets aan het LAN Van de Fritz!box, behalve die TP-link met exposed host erheen en eventueel wat TV-kastjes (die je zo ook mooi uit je eigen netwerk weert, mocht je ook TV afnemen), en je zorgt er dus ook voor dat er op geen enkele manier een koppeling ontstaat tussen de LAN-zijde van de Fritz!box en de LAN-zijde van de TP-link, dan zie ik niet in hoe er ooit iets ge-hacked zou kunnen worden.

Zelfs als iemand in de Fritz!box weet te komen en dus op het LAN van de Fritz!box, dan komt ie nog steeds de WAN van jouw TP-link tegen. Wat mij betreft een non-issue dus.

Alle maildiensten die jij intern draait en waarheen je expres poorten open prikt vormen een tig keer zo hoog beveiligingsrisico. Ook acht ik de veiligheid van Fritz!boxen hoger dan die van TP-link routers, maar dat is een onderbuikgevoel :slight_smile:

11

Zeker! Dat is al 1 probleem opgelost :upside_down_face:. Misschien helpt het om mijn idee te tekenen. Dit is hoe ik alle apparaten aan wil sluiten binnen het netwerk. Met exposed host zou dat er zo uitzien:

Screen Shot 2020-02-12 at 01.35.39
Screen Shot 2020-02-12 at 01.35.391050×524 380 KB

Als ik de TP-link opgeef als exposed host dan zet Fritzbox volgens mij alle poorten open voor die TP-link router. Fritzbox schakelt dan zijn eigen firewall uit voor de TP-Link. Dat betekent volgens mij dat alles achter de TP-link extern bereikbaar wordt zonder enige aanvullende beveiliging in de TP-link.

Voor mijn beeld heb je:

  1. het boze internet
  2. de Fritzbox die via de exposed host instelling functioneert als een toegankelijke zone voor zowel het boze internet als mijn interne netwerk. Als je van buiten dus in die zone terecht komt, dan zou je voor mijn gevoel dus ook zo toegang kunnen krijgen tot het interne netwerk. De firewall van de Fritzbox wordt namelijk uitgeschakeld voor de TP-link (exposed host).
  3. mijn interne netwerk

Zie niet 123 wat de boze buitenwereld tegenhoudt via de Fritzbox in mijn interne netwerk te komen omdat de firewall van de Fritzbox indringers niet blokkeert. Om nou voor elk apparaat dat met de TP-link is verbonden afzonderlijk een firewall in te stellen lijkt mij niet zo praktisch. Maar het kan zijn dat ik iets heel simpels niet begrijp :sweat_smile: Dacht altijd ook een WAN beschermd moet worden voor indringers door bijvoorbeeld een firewall.

12

Ik denk dat het probleem nog steeds is dat je je eigen topologie niet goed voor ogen hebt. Wat wil je nou precies? In je tekening geef je ook niet aan, aan welke interfaces je verbindingen hangen.

In mijn eerdere uitleg ben ik uitgegaan van de situatie waarin je je eigen netwerk helemaal door je TP-Link laat regelen (anders was je in de eerste plaats niet met PPPoE e.d. gaan proberen en had je geen mediaconverter overwogen).

Vanuit dát uitgangspunt ben ik er ook van uit gegaan dat je verbinding tussen de Fritz!box en je TP-Link dan dus via de WAN poort van je TP-link gaat.

Citaat Zie niet 123 wat de boze buitenwereld tegenhoudt via de Fritzbox in mijn interne netwerk te komen omdat de firewall van de Fritzbox indringers niet blokkeert. Om nou voor elk apparaat dat met de TP-link is verbonden afzonderlijk een firewall in te stellen lijkt mij niet zo praktisch. Maar het kan zijn dat ik iets heel simpels niet begrijp :sweat_smile: Dacht altijd ook een WAN beschermd moet worden voor indringers door bijvoorbeeld een firewall.

Wat is volgens jou het verschil tussen de WAN poort van je TP-link aan het boze internet hangen via een mediaconverter of via de Exposed host functie van een Fritz!box? Waarom zou jouw TP-link zijn functie als router/firewall wél goed uitvoeren als het grote boze internet op z’n WAN poort binnen komt via een directe ethernetverbinding met het glasvezelnetwerk van Tweak (want dat doe je in feite als je een mediaconverter hebt), maar ineens niet meer als de Fritz!box het via exposed host doorstuurt?

Uiteraard zou het een ander verhaal zijn als je je TP-Link aan het LAN van de Fritz!box hangt via ook een LAN poort van de TP-link. Dan creëer je op layer 2 één groot ethernetsegment. Maar dan heb je meer problemen (dubbele DHCP-server, etc. ). Het kán wel, maar dan moet je je TP-link zo configureren dat die alleen nog maar als een veredeld wireless access point dient. Maar dan heb je ook geen exposed host meer nodig en prik je in de Fritz!box gewoon forwards voor de diensten die extern bereikbaar moeten zijn.

Duidelijker kan ik het helaas niet uitleggen… ( Sorry als dit wat bot over komt ).

13

Ik bewonder je geduld en heldere uitleg. Inderdaad. Makkelijker kan je het niet maken.

1 like
14

Thanks :).

Ook altijd wel een beetje jammer dat je vervolgens niet meer terug hoort van iemand hoe het afgelopen is, voor welke oplossing uiteindelijk is gekozen, etc.

15

Ik vermoed de Fritz!box zonder TP-link. :sweat_smile: :joy: :joy: