IspCP hinter Router

[Stefan_1982]

Ich habe schon einiges im Englischen Forum gelesen und habe nur
die Probleme wegen DMZ oder Portforward gesehen ich weiß einfach
nicht mehr weiter.

Kann mir bitte jemand Helfen.

Anbei meine Test und wie mein Netzwerk aufgebaut ist, ich probiere jetzt schon einige Tage und komm einfach nicht drauf. (Hab glaube ich einen Knoten im Kopf )

Netzwerktopologie
Bei ISP Registrierte Domain
DNS werden auf 2 externe IP Adressen weitergeleitet
Bei meinem ISP kann man keine manuellen Records erstellen A, MX
… eintragen nur DNS Weiterleitung also muss mein DNS Server funktionieren.

Netgear Router WNR 3500 (Ja ist nicht wirklich ein Router für einen Domain Server)
Extern xxx.xxx.xxx.xxx
Externe IP Weiterleitung 2 Varianten
1) DMZ
2) Port Weiterleitung – HTTP - 80, FTP - 21, SSH -22, DNS - 53, POP 3 110, SMTP 25

/etc/hosts
127.0.0.1 server1.domain.com.local localhost
192.168.1.2 server1.domain.com server1

/etc/resolv.conf
search domain.com
nameserver 127.0.0.1
nameserver 192.168.1.1

IP Konfiguration
Intern 192.168.1.2 → 255.255.255.0 GW 192.168.1.1 DNS 192.168.1.1
IspCP ist mit der IP 192.168.1.2 Installiert


/var/cache/bind/domain.com.db

$TTL 12H
$ORIGIN domain.com.
@ IN SOA ns1.domain.com. postmaster.domain.com
; dmn [domain.com] timestamp entry BEGIN.
2009092500 ; Serial
; dmn [domain.com] timestamp entry END.
8H ; Refresh
30M ; Retry
4W ; Expire
3H ; Minimum TTL
)
IN NS ns1.domain.com.
IN NS ns2.domain.com.
IN MX 10 mail.domain.com.

domain.com. IN A 192.168.1.2
www IN A 127.0.0.1
domain.com. IN TXT "v=spf1 a mx ip4:192.168.1.2 ~a
localhost IN A 127.0.0.1
mail IN A 127.0.0.1
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.2
; CNAME for VHCS compatibility
; CNAME for VHCS compatibility
ns IN CNAME ns1
; CNAME for mail transfer
imap IN CNAME mail
pop IN CNAME mail
pop3 IN CNAME mail
relay IN CNAME mail
smtp IN CNAME mail
; CNAME for web transfer
ftp IN CNAME www
; sub [{SUB_NAME}] entry BEGIN.
; sub [{SUB_NAME}] entry END.

Das ganze habe ich auch schon mit der öffentlichen IP Probiert.

/var/cache/bind/domain.com.db (öffetliche IP)

$TTL 12H
$ORIGIN domain.com.
@ IN SOA ns1.domain.com. postmaster.domain.com
; dmn [domain.com] timestamp entry BEGIN.
2009092500 ; Serial
; dmn [domain.com] timestamp entry END.
8H ; Refresh
30M ; Retry
4W ; Expire
3H ; Minimum TTL
)
IN NS ns1.domain.com.
IN NS ns2.domain.com.
IN MX 10 mail.domain.com.

domain.com. IN A xxx.xxx.xxx.xxx
www IN A 127.0.0.1
domain.com. IN TXT "v=spf1 a mx ip4:xxx.xxx.xxx.xxx ~a
localhost IN A 127.0.0.1
mail IN A 127.0.0.1
ns1 IN A xxx.xxx.xxx.xxx
ns2 IN A xxx.xxx.xxx.xxx
; CNAME for VHCS compatibility
; CNAME for VHCS compatibility
ns IN CNAME ns1
; CNAME for mail transfer
imap IN CNAME mail
pop IN CNAME mail
pop3 IN CNAME mail
relay IN CNAME mail
smtp IN CNAME mail
; CNAME for web transfer
ftp IN CNAME www
; sub [{SUB_NAME}] entry BEGIN.
; sub [{SUB_NAME}] entry END.

Externer Server - Test

ping ns1.domain.com
PING ns1.domain.com (xxx.xxx.xxx.xxx) 56(84) bytes of data.
64 bytes from xxx.xxx.xxx.xxx: icmp_seq=1 ttl=55 time=62.7 ms
64 bytes from xxx.xxx.xxx.xxx: icmp_seq=2 ttl=55 time=41.1 ms
64 bytes from xxx.xxx.xxx.xxx: icmp_seq=2 ttl=55 time=51.3 ms

ping domain.com
ping: unknown host domain.com

ping http://www.domain.com
ping: unknown host http://www.domain.com

nslookup domain.com
;; connection timed out; no servers could be reached

nslookup ns1.domain.com
Server: 213.33.99.70 ← DNS Server der Telekom zeigt auf die richtige IP
Address: 213.33.99.70#53

Non-authoritative answer:
Name: ns1.domain.com
Address: xxx.xxx.xxx.xxx ← Öffentliche IP Adresse von mir Stimmt

dig ns1.domain.at
; <<>> DiG 9.4.2-P1 <<>> ns1.domain.at
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36146
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ns1.domain.at. IN A

;; ANSWER SECTION:
ns1.domain.at. 6137 IN A xxx.xxx.xxx.xxx ← meine öffentliche IP

;; Query time: 17 msec
;; SERVER: 213.33.99.70#53(213.33.99.70)
;; WHEN: Wed Sep 30 21:08:30 2009
;; MSG SIZE rcvd: 45

dig domain.com
; <<>> DiG 9.4.2-P1 <<>> domain.com
;; global options: printcmd
;; connection timed out; no servers could be reached


IspCP Server - Test

server1:~# ping ns1.domain.com
PING ns1.domain.com (192.168.1.2) 56(84) bytes of data.
64 bytes from server1.domain.com (192.168.1.2): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from server1.domain.com (192.168.1.2): icmp_seq=2 ttl=64 time=0.050 ms
64 bytes from server1.domain.com (192.168.1.2): icmp_seq=3 ttl=64 time=0.032 ms

server1:~# ping domain.com
PING domain.com (192.168.1.2) 56(84) bytes of data.
64 bytes from server1.domain.com (192.168.1.2): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from server1.domain.com (192.168.1.2): icmp_seq=2 ttl=64 time=0.033 ms
64 bytes from server1.domain.com (192.168.1.2): icmp_seq=3 ttl=64 time=0.000 ms

server1:~# ping http://www.domain.com
PING http://www.domain.com (127.0.0.1) 56(84) bytes of data.
64 bytes from server1.domain.com.local (127.0.0.1): icmp_seq=1 ttl=64 time=0.022 ms
64 bytes from server1.domain.com.local (127.0.0.1): icmp_seq=2 ttl=64 time=0.075 ms
64 bytes from server1.domain.com.local (127.0.0.1): icmp_seq=3 ttl=64 time=0.088 ms



server1:~# dig ns1.domain.com
; <<>> DiG 9.5.1-P3 <<>> ns1.domain.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33949
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;ns1.domain.com. IN A

;; ANSWER SECTION:
ns1.domain.com. 43200 IN A 192.168.1.2

;; AUTHORITY SECTION:
domain.com. 43200 IN NS ns2.domain.com.
domain.com. 43200 IN NS ns1.domain.com.

;; ADDITIONAL SECTION:
ns2.domain.com. 43200 IN A 192.168.1.2

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Sep 30 20:43:13 2009
;; MSG SIZE rcvd: 93

server1:~# dig domain.com
; <<>> DiG 9.5.1-P3 <<>> domain.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57322
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;domain.com. IN A

;; ANSWER SECTION:
domain.com. 43200 IN A 192.168.1.2

;; AUTHORITY SECTION:
domain.com. 43200 IN NS ns1.domain.com.
domain.com. 43200 IN NS ns2.domain.com.

;; ADDITIONAL SECTION:
ns1.domain.com. 43200 IN A 192.168.1.2
ns2.domain.com. 43200 IN A 192.168.1.2

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Sep 30 20:43:47 2009
;; MSG SIZE rcvd: 109


server1:~# dig http://www.domain.com
; <<>> DiG 9.5.1-P3 <<>> http://www.domain.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8853
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.domain.com. IN A

;; ANSWER SECTION:
http://www.domain.com. 43200 IN A 127.0.0.1

;; AUTHORITY SECTION:
domain.com. 43200 IN NS ns1.domain.com.
domain.com. 43200 IN NS ns2.domain.com.

;; ADDITIONAL SECTION:
ns1.domain.com. 43200 IN A 192.168.1.2
ns2.domain.com. 43200 IN A 192.168.1.2

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Sep 30 20:44:26 2009
;; MSG SIZE rcvd: 113

Ich habe 2 Möglichkeiten das das ganze teilweise bzw. alles auf einem PC funktioniert.

1) bei den DNS Servern meine öffentliche IP Adresse einzugeben.
domain.com → funktioniert
http://www.domain.com → funktioniert nicht
admin.server1.domain.at → funktioniert nicht

2) Manuell in die Datei
C:\windows\system32\drivers\etc\hosts → folgendes Eintrage

xxx.xxx.xxx.xxx domain.at
xxx.xxx.xxx.xxx http://www.domain.at
xxx.xxx.xxx.xxx admin.server1.domain.at

domain.com → funktioniert
http://www.domain.com → funktioniert
admin.server1.domain.at → funktioniert

würde auch mit mail und smtp ... gehen

Wenn ich mich bei der Option 2 nicht irre ist es einfach eine manuell DNS Einstellung für den einen Host, bring aber nur was, dass man noch nicht weitergeleitete Domains testen kann.

Ich hoffe es ist nur eine Kleinigkeit und es kann mir jemand weiterhelfen.

Die einzige Möglichkeit die ich mir vorstelle ist der Router.

-----------------------------------
Nachtrag
Debian Linux Lenny 5.0.3

[Mr.AndersoN]

http://www.isp-control.net/forum/thread-7964.html

[Stefan_1982]

Ja das habe ich selber geschrieben da war meine Domain aber noch nicht mit der DNS Weiterleitung aktiviert.

Ich habs manuell in der hosts Datei eingetragen.
Und das hat auch alles perfekt funktioniert.

---

Das ist die Fehlermeldung von CheckDNS.NET

Error fetching SOA from ns1.domain.com [xxx.xxx.xxx.xxx öffentliche ip], request timed out. Probably DNS server is offline.

[BeNe]

Wenn Du eine DMZ aufbauen kannst, dann würde ich ispCP mit der Öffentlichen IP in der DMZ auch installieren. ispCP hinter einem NAT Router ist keine gute Idee.
Schon alle die Hardware ist ja ein Grenzgänger.

Greez BeNe

[Stefan_1982]

Hallo BeNe

Ich habe dies probiert und komme auf das gleiche ergebnis bzw. geht gar nichts.
Aber ich habe jetzt den blöden router abgeschlossen bin direkt auf meinen PC.
(Muss dazusagen is auf Windowsrechner mit Virtualbox Testumgebung) mit Netzwerkbrücke.

Und nichtmal jetzt geht es.

Habe jetzt aml nen PortScan probiert

DNS 53 / TCP Offen
53 / UDP Offen|Geschlossen (Gefiltert)

Jetzt kenn ich mich nichtmehr aus.
Das letzte was mir bleibt ist einen PC aufzusetzten und probieren.
Ich bin hinter einen Kabelmodem.
Gib es die möglichkeit dass der Provider etwas sperren?

[BeNe]

Quote:Gib es die möglichkeit dass der Provider etwas sperren?

Ja, könnte sein.
Aber wie gesagt - ispCP hinter einem NAT-Router auf einer DSL-Leitung in einer Virtualbox zu betreiben macht aus meiner Sicht wenig sinn, aber Ok!

Bei der Netzwerkbrücke, hast Du da auch nochmals NAT aktiv ?
Wenn Du es richtig machen willst, baue eine DMZ mit IPCop, pfSense, M0n0Wall oder was auch immer und installiere ispCP auf einem eigenen Rechner mit der (statischen) öffentlichen IP. Sonst eine zweite Netzwerkkarte in deinen Rechner und diese dann expliziet in die DMZ hängen. Darauf dann die VM laufen lassen.

Greez BeNe

[Stefan_1982]

Gestern habe ich es so aufgebaut.

Windows XP -> Virtualbox -> Debian Lenny 5.0.3 -> IsPCP (mit öffentlicher ip Installier)

Netzwerkbrücke bei Virtualbox ausgewählt
Sozusagen beide Systeme greifen direkt auf die Netzwerkkarte zu ohne NAT ...

Test ohne den Router!!!
Kabel Modem direkt an PC -> Öffentliche IP Adresse -> Debian
Windows Rechner nur ne Interne.

/etc/Hosts
server1.domain.at (FQDN)
Darf hoffentlich der gleiche sein wie die domain vom client?
Da ich ja Inhaber des Servers Reseller und Client bin.
Es kommen später noch andere Domains drauf aber nur meine ist mit die DNS zu meinem DNS weitergeleitet.

DB update gemacht
Reseller angelegt
Client angelegt
domain.com (natürlich meine Domain)
DNS test Durchgeführt und wieder no respons no SOA record found.

Sollte doch alles stimmen oder?

Ich wollte wenn alles in betrieb geht IPCop hernehmen.
Aber da brauch ich ja noch nicht anfangen wenn das eine noch nicht geht.

[FidiBus]

bei mir läuft ispcp auf nem ollen pentium 3 mit 384mb ram und lenny und dyn-dns domains
und auf einer nslu2(eine art nas) mit nem 266mhz arm processor einer normalen domain und mehrere dyn-dns domains

beide laufen ohne probleme hinter einem cisco 1811 router

[Stefan_1982]

Ich glaub ich muss das ganze aufgeben
Oder weis jemand wie man das ganze testen kann ob dns vom kabelmodem gefiltert wird?

Ich habe jetzt nene PC aufgesetzt hab ihn direkt ans Kabelmodem gehängt und wieder das gleiche.

Error fetching SOA from ns1.xxx.xx [xx], request timed out. Probably DNS server is offline.

---

Offene Ports sollte ja dann acuh passen nehme ich an.

xxx:21 --> Open
xxx:23 --> Closed
xxx:25 --> Open
xxx:53 --> Open
xxx:79 --> Closed
xxx:80 --> Open
xxx:110 --> Open
xxx:135 --> Closed
xxx:139 --> Closed
xxx:143 --> Open
xxx:161 --> Closed
xxx:162 --> Closed
xxx:389 --> Closed
xxx:443 --> Closed
xxx:445 --> Closed
xxx:548 --> Closed
xxx:1433 --> Closed
xxx:1723 --> Closed
xxx:2000 --> Closed
xxx:3389 --> Closed
xxx:5631 --> Closed
xxx:5632 --> Closed
xxx:5900 --> Closed
xxx:8080 --> Closed

---

so 1nen Versuch noch ich probiers mal mit opensuse und der neuesten svn

[ZooL]

hi,
wenn ich mal fragen darf, was hat das ganze mit ispcp zu tun?
ich werde diesen thread mal ins Plauderecke subforum schieben..

mfg