Moin Andre, Andre Tann schrieb:
Servus Boris,
Boris, Mittwoch 17 Februar 2010:
ich befürchte, dass das eher eine Problematik des Nameservice ist als eine des Routing.
Ich denke, mit dem Nameservice kann man das Routingproblem umgehen, aber primär ist es schon ein Problem der Firewall.
Führ' Deine Anforderung nochmal ein bisschen aus. Wofür brauchst Du diesen Weg? Was für ein Router?
Also, die Sache ist so, daß wir in unserer DMZ einen Mailserver stehen haben.
Da gehört er ja auch hin. Einige Mitarbeiter haben Notebooks, die mal drinnen und mal
draußen in der weiten Welt sind.
Ziemlich typisch. Womit ich gesagt haben will, dass Du kein exotisches Problem hast.
Wenn jetzt die inneren Clients auf den Mailserver wollen und dafür eine DNS-Abfrage machen, die die externe IP zurückliefert,
Das ist ja auch Käse. Der DNS für die LAN-Clients wird von Deinem Router (dieser Sonicwall, die ich nicht kenne) geliefert. Warum sollte der die WAN-IP zurückliefern? Der liefert die DMZ-IP und dorthin hat die Firewall für das LAN die entsprechenden Ports geöffnet. dann kommen sie
aus dem LAN nicht auf den in der DMZ stehenden Server, weil die Firewall (eine Sonicwall TZ 170) nicht peilt, wohin sie mit den Paketen soll.
Das wäre ja auch 'außenrum', also irgendwie ein Umweg....
Wenn ich nun vom DNS die interne IP zurückliefern lasse, dann kommt logischerweise die weite Welt nicht mehr auf den Mailserver.
Wieso das denn nicht? Die weite Welt bekommt von irgendeinem DNS (nicht Deine Box, sondern z.B. ein dyndns-Dienst) die WAN-IP. Zugriffe auf die Mail-spezifieschen Ports werden von dem Router in die DMZ auf Deinen Server geforwarded.
Ergo habe ich mir gedacht, daß ich für draußen das DNS so einstelle, daß ganz normal die externe IP zurückgeliefert wird.
Für außen stellst Du auf dem DNS Deiner Box gar nichts ein.
Und für drinnen setze ich einen DNS auf, der für dieselbe Anfrage eine andere Adresse zurückliefert, nämlich die DMZ-IP.
Das ist richtig.
Das wird zwar wahrscheinlich funktionieren, aber ich finde es eben nicht schön, weil für ein und denselben Hostnamen zwei unterschiedliche Ergebnisse geliefert werden, je nachdem welchen Server man befragt.
Das ist ganz normal. Wenn ich mit meinem Laptop in meinem LAN bin, bekomme ich für mail.cation.de eine 192.168.x.y aus der DMZ. Befinde ich mich auf hoher See, gibt es meine feste (WAN-)IP, die mir mein ISP verkauft hat und der er ebenfalls den Namen mail.cation.de zugewiesen hat. By the way: Für Mailserver ist es auch wichtig, dass die weite Welt weiß, dass sich unter der IP der entsprechende Name verbirgt, d.h. eine umgekehrte Namensauflösung. Grüße, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org