Koozali.org: home of the SME Server
Other Languages => Italiano => Topic started by: hikekar on June 05, 2015, 04:28:30 PM
-
Salve a tutti, sto testando il mio primo server.. sembra tutto ok ..(da profano)
ma non riesco a "vedere" la posta dall'esterno..
SME è configurato solo come server, cè un pfsense come firewall sul quale ho provato varie regole e NAT.. ma nulla, da fuori non vedo SME e SOGO
dimentico qualcosa da impostare su SME perche sia raggiungibile..
Sul mio firewall ho nattato nello stesso modo in cui avevo nattato per raggiungere un exchange server..
avete suggerimenti ?
grazie!
-
si, dicci cosa hai nattato e come sono settati i servizi su SME..
ci sono vari servizi che in modalità "server only" non rispondono a indirizzi ip esterni alla lan
-
dunque, provo a descrivere il tutto, a memoria perche ora non ce l'ho sotto mano:
il server SME ha ip lan interno fisso tipo 192.168.0.50 configurato appunto come "server only" con gateway 192.168.0.1
- non attivo DHCP
- attivato Fetchmail
- attivato SOGO
e nient' altro (a memoria).. diciamo che non ho fatto molto oltre l'installazione standard a parte sogo, un paio di utenti... e bon
la posta è esterna su aruba, fetchmail in pop3 la recupera e la distribuisce agli utenti ..
all'interno della LAN funziona tutto perfettamente; chiamate tipo:
https://192.168.0.50/horde
https://192.168.0.50/SOGo
https://192.168.0.50/server-manager
funzionano tutte
cè poi un PFSENSE (192.168.0.1)
qui ho semplicemente impostato un NAT dal ip interno 192.168.0.50 di SME su un ip statico tipo 94.68.182.25 sulla porta 443
ripeto da profano .. "copiando" il nat che avevo già funzionante con exchange, che funziona!.. pensavo bastasse
appena mi è possibile proverò tramite dynamic dns su pfsense, ma non credo cambi nulla
grazie dei suggerimenti!
-
Se la regola di NAT su PfSense è impostata correttamente è un "problema" di SME, nel senso che probabilmente non accetta connessioni da IP esterni alla LAN.
Puoi provare a settare una VPN gestita da PfSense, farti quindi assegnare un IP sulla stessa classe della LAN e vedere se così funziona.
-
Se la regola di NAT su PfSense è impostata correttamente è un "problema" di SME, nel senso che probabilmente non accetta connessioni da IP esterni alla LAN.
Puoi provare a settare una VPN gestita da PfSense, farti quindi assegnare un IP sulla stessa classe della LAN e vedere se così funziona.
perdonami, ma è inutile.
se in lan funziona e il nat è corretto (se se è lo stesso nat concettualmente come quello verso exponge non ho dubbi), è un "problema" in termini di accesso al servizio
un
netstat -napt
con i controlli già richiesti e una occhiata ai log sono gli strumenti richiesti e necessari per debuggare il problema
-
Appena posso guardo i log e provo il comando.. ma vi dico anche che lo scopo finale è pure accedervi con telefono e thunderbird, quindi imap,caldav, ecc cosa che internamente funziona perfettamente... Quindi la vpn almeno per il telefono mi sa che diventa complicato...
Non mi dispiacerebbe anche che un thunderbird su un portatile configurato su un certo indirizzo server di posta funzionasse senza cambiarlo sia da interno lan che da fuori su internet..
Ma mettere SME in modalita' server & gataway aiuterebbe ?
-
Ma mettere SME in modalita' server & gataway aiuterebbe ?
Se la seconda scheda di rete potesse avere un IP pubblico (magari fisso) aiuterebbe molto... :)
-
ciao a tutti,
preferirei lasciare il lavoro di gateway solo a pfsense, mi pare strano che uno SME serveronly non sia raggiungibile da "fuori"... strano che nessuno abbia una situazione simile..
nei log non riesco a trovare qualcosa che aiuti.. ma quale log in particolare dovrei guardare? dovrei trovare dei tentativi di accesso falliti?
se puo servire: se provo a chiamare solo l'indirizzo (es: https://94.50.180.95/), non seguito da SOGo o server-manager , mi dice "in fase di allestimento" cioè la stessa cosa che dice se lo faccio da interno lan..
segue il risultato del comando netstat ... GRAZIE !
[root@sme-01 ~]# netstat -napt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:20000 0.0.0.0:* LISTEN 3006/sogod
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 2596/tcpsvd
tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN 2727/lpd
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 2672/tcpsvd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 2476/slapd
tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 3244/smbd
tcp 0 0 192.168.1.200:139 0.0.0.0:* LISTEN 3244/smbd
tcp 0 0 0.0.0.0:8843 0.0.0.0:* LISTEN 3098/httpd
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 2620/memcached
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 2657/tcpsvd
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 2584/tcpsvd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 3098/httpd
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 3028/perl
tcp 0 0 127.0.0.1:980 0.0.0.0:* LISTEN 3076/httpd-admin
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 2895/tcpsvd
tcp 0 0 127.0.0.2:53 0.0.0.0:* LISTEN 2611/dnscache
tcp 0 0 192.168.1.200:53 0.0.0.0:* LISTEN 2549/dnscache
tcp 0 0 192.168.1.200:22 0.0.0.0:* LISTEN 3052/sshd
tcp 0 0 127.0.0.1:3128 0.0.0.0:* LISTEN 3210/squid
tcp 0 0 192.168.1.200:3128 0.0.0.0:* LISTEN 3210/squid
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 2926/perl
tcp 0 0 127.0.0.1:26 0.0.0.0:* LISTEN 1635/perl
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 3098/httpd
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 2476/slapd
tcp 1 0 127.0.0.1:57160 127.0.0.1:980 CLOSE_WAIT 3367/httpd
tcp 1 0 127.0.0.1:57158 127.0.0.1:980 CLOSE_WAIT 3365/httpd
tcp 1 0 127.0.0.1:57159 127.0.0.1:980 CLOSE_WAIT 3365/httpd
tcp 1 0 127.0.0.1:57210 127.0.0.1:980 CLOSE_WAIT 3370/httpd
tcp 1 0 127.0.0.1:57207 127.0.0.1:980 CLOSE_WAIT 3724/httpd
tcp 1 0 127.0.0.1:57246 127.0.0.1:980 CLOSE_WAIT 3722/httpd
tcp 1 0 127.0.0.1:57256 127.0.0.1:980 CLOSE_WAIT 3368/httpd
tcp 1 0 127.0.0.1:57257 127.0.0.1:980 CLOSE_WAIT 3725/httpd
tcp 1 0 127.0.0.1:57260 127.0.0.1:980 CLOSE_WAIT 3724/httpd
tcp 1 0 127.0.0.1:57261 127.0.0.1:980 CLOSE_WAIT 3369/httpd
tcp 1 0 127.0.0.1:57250 127.0.0.1:980 CLOSE_WAIT 3723/httpd
tcp 1 0 127.0.0.1:57251 127.0.0.1:980 CLOSE_WAIT 3726/httpd
tcp 1 0 127.0.0.1:57254 127.0.0.1:980 CLOSE_WAIT 3727/httpd
tcp 1 0 127.0.0.1:57255 127.0.0.1:980 CLOSE_WAIT 3728/httpd
tcp 0 520 192.168.1.200:22 192.168.1.112:4021 ESTABLISHED 4301/sshd
tcp 0 0 127.0.0.1:59826 127.0.0.1:11211 ESTABLISHED 3287/sogod
tcp 0 0 127.0.0.1:59853 127.0.0.1:11211 ESTABLISHED 3288/sogod
tcp 0 0 127.0.0.1:11211 127.0.0.1:59826 ESTABLISHED 2620/memcached
tcp 0 0 127.0.0.1:60591 127.0.0.1:20000 CLOSE_WAIT 3368/httpd
tcp 1 0 127.0.0.1:60593 127.0.0.1:20000 CLOSE_WAIT 3724/httpd
tcp 0 0 127.0.0.1:60596 127.0.0.1:20000 CLOSE_WAIT 3725/httpd
tcp 1 0 127.0.0.1:60622 127.0.0.1:20000 CLOSE_WAIT 3365/httpd
tcp 0 0 127.0.0.1:60624 127.0.0.1:20000 CLOSE_WAIT 3373/httpd
tcp 1 0 127.0.0.1:60631 127.0.0.1:20000 CLOSE_WAIT 3366/httpd
tcp 0 0 127.0.0.1:60634 127.0.0.1:20000 CLOSE_WAIT 3374/httpd
tcp 0 0 127.0.0.1:11211 127.0.0.1:59853 ESTABLISHED 2620/memcached
[root@sme-01 ~]#
-
ciao a tutti,
preferirei lasciare il lavoro di gateway solo a pfsense, mi pare strano che uno SME serveronly non sia raggiungibile da "fuori"... strano che nessuno abbia una situazione simile..
ne ho dozzine e non ho mai avuto problemi.. quindi è per questo che sto cercando di capire
nei log non riesco a trovare qualcosa che aiuti.. ma quale log in particolare dovrei guardare? dovrei trovare dei tentativi di accesso falliti?
no..
segue il risultato del comando netstat
[root@sme-01 ~]# netstat -napt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:20000 0.0.0.0:* LISTEN 3006/sogod
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 2596/tcpsvd
tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN 2727/lpd
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 2672/tcpsvd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 2476/slapd
tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 3244/smbd
tcp 0 0 192.168.1.200:139 0.0.0.0:* LISTEN 3244/smbd
tcp 0 0 0.0.0.0:8843 0.0.0.0:* LISTEN 3098/httpd
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 2620/memcached
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 2657/tcpsvd
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 2584/tcpsvd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 3098/httpd
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 3028/perl
tcp 0 0 127.0.0.1:980 0.0.0.0:* LISTEN 3076/httpd-admin
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 2895/tcpsvd
tcp 0 0 127.0.0.2:53 0.0.0.0:* LISTEN 2611/dnscache
tcp 0 0 192.168.1.200:53 0.0.0.0:* LISTEN 2549/dnscache
tcp 0 0 192.168.1.200:22 0.0.0.0:* LISTEN 3052/sshd
tcp 0 0 127.0.0.1:3128 0.0.0.0:* LISTEN 3210/squid
tcp 0 0 192.168.1.200:3128 0.0.0.0:* LISTEN 3210/squid
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 2926/perl
tcp 0 0 127.0.0.1:26 0.0.0.0:* LISTEN 1635/perl
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 3098/httpd
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 2476/slapd
tcp 1 0 127.0.0.1:57160 127.0.0.1:980 CLOSE_WAIT 3367/httpd
tcp 1 0 127.0.0.1:57158 127.0.0.1:980 CLOSE_WAIT 3365/httpd
tcp 1 0 127.0.0.1:57159 127.0.0.1:980 CLOSE_WAIT 3365/httpd
tcp 1 0 127.0.0.1:57210 127.0.0.1:980 CLOSE_WAIT 3370/httpd
tcp 1 0 127.0.0.1:57207 127.0.0.1:980 CLOSE_WAIT 3724/httpd
tcp 1 0 127.0.0.1:57246 127.0.0.1:980 CLOSE_WAIT 3722/httpd
tcp 1 0 127.0.0.1:57256 127.0.0.1:980 CLOSE_WAIT 3368/httpd
tcp 1 0 127.0.0.1:57257 127.0.0.1:980 CLOSE_WAIT 3725/httpd
tcp 1 0 127.0.0.1:57260 127.0.0.1:980 CLOSE_WAIT 3724/httpd
tcp 1 0 127.0.0.1:57261 127.0.0.1:980 CLOSE_WAIT 3369/httpd
tcp 1 0 127.0.0.1:57250 127.0.0.1:980 CLOSE_WAIT 3723/httpd
tcp 1 0 127.0.0.1:57251 127.0.0.1:980 CLOSE_WAIT 3726/httpd
tcp 1 0 127.0.0.1:57254 127.0.0.1:980 CLOSE_WAIT 3727/httpd
tcp 1 0 127.0.0.1:57255 127.0.0.1:980 CLOSE_WAIT 3728/httpd
tcp 0 520 192.168.1.200:22 192.168.1.112:4021 ESTABLISHED 4301/sshd
tcp 0 0 127.0.0.1:59826 127.0.0.1:11211 ESTABLISHED 3287/sogod
tcp 0 0 127.0.0.1:59853 127.0.0.1:11211 ESTABLISHED 3288/sogod
tcp 0 0 127.0.0.1:11211 127.0.0.1:59826 ESTABLISHED 2620/memcached
tcp 0 0 127.0.0.1:60591 127.0.0.1:20000 CLOSE_WAIT 3368/httpd
tcp 1 0 127.0.0.1:60593 127.0.0.1:20000 CLOSE_WAIT 3724/httpd
tcp 0 0 127.0.0.1:60596 127.0.0.1:20000 CLOSE_WAIT 3725/httpd
tcp 1 0 127.0.0.1:60622 127.0.0.1:20000 CLOSE_WAIT 3365/httpd
tcp 0 0 127.0.0.1:60624 127.0.0.1:20000 CLOSE_WAIT 3373/httpd
tcp 1 0 127.0.0.1:60631 127.0.0.1:20000 CLOSE_WAIT 3366/httpd
tcp 0 0 127.0.0.1:60634 127.0.0.1:20000 CLOSE_WAIT 3374/httpd
tcp 0 0 127.0.0.1:11211 127.0.0.1:59853 ESTABLISHED 2620/memcached
[root@sme-01 ~]#
quel 8843 httpd cos'è?
come ti ho detto, ci sono dei servizi che se vengono interrogati da ip esterni alla lan, non rispondono.
per esempio, io ho su una macchina
[root@faxserver ~]# config show pop3s
pop3s=service
Softlimit=40000000
TCPPort=995
access=private
status=enabled
notare "access=private"
ma
[root@faxserver ~]# netstat -napt | grep 995
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 1697/tcpsvd
guardando qui potrei pensare che sia in ascolto su tutti gli ip.. il che mi farebbe pensare che basti un nat verso la 995.
non è così
config show horde
config show sogod
(elimina tutti i dati "sensibili") ed usa il tag [ code ]
-
quel 8843 httpd cos'è?
priopio non saprei.. guardando sulle impostazioni funzionanti interno lan su un cellulare, per il CalDAV ho impostato l'indirizzo https://192.168.1.200:8843/SOGo... che funziona.. non è quello?
[root@sme-01 ~]# config show horde
horde=service
DbPassword=xxxxx
HttpsOnly=yes
SecretKey=xxxxxx
access=public
imp=installed
status=enabled
[root@sme-01 ~]# config show sogod
sogod=service
ACLsSendEMailNotifications=no
AdminUsers=admin
DbPassword=xxxxxxxxxx
DraftsFolder=Drafts
SentFolder=Sent
TCPPort=20000
status=enabled
[root@sme-01 ~]#
questo server è una cavia che mi trascino a intermittenza in varie prove da un annetto,.. tu dici di averne dozzine funzionanti.. pensi che ripartire con una nuova installazione potrebbe risolvere ?.. anche se in effetti dici che normalmente ci sono dei servizi che se vengono interrogati da ip esterni alla lan, non rispondono..... niente, mi sono risposto da solo..
-
.. ho sbagliato.. non si puo eliminare un post?
-
Cosa avevi combinato ? :)
-
ma no.. ho fatto "quote" al posto di "modifica".. e ho pure fatto salva.. poi ho modificato di nuovo e ho scritto ".. ho sbagliato.. non si puo eliminare un post?"
:(
-
priopio non saprei.. guardando sulle impostazioni funzionanti interno lan su un cellulare, per il CalDAV ho impostato l'indirizzo https://192.168.1.200:8843/SOGo... che funziona.. non è quello?
ecco, hai ragione
versione di SME?
-
ri-eccomi...
ho appena fatto un test..
infrastruttura virtuale sul mio portatile:
A) macchina SME9 in server only con SOGo (ip 192.168.1.2)
B) macchina w2003 nella stessa rete 192.168.1.0 di SME, indirizzo in dhcp
C) macchina m0n0wall (come pfsense) con 2 schede di rete:
- LAN 192.168.1.1 (ip usato come gateway su SME)
- WAN in dhcp sulla mia rete
nella rete "locale" 192.168.1.x non ho problemi a vedere SOGo andando su https://192.168.1.2/sogo
su m0n0wall ho creato una regola di nat inbound della porta 443 verso l'indirizzo interno di SME (e naturalmente creata anche regola di firewall per permettere tale traffico)
conettendomi sull'ip esterno di monowall con
https://wan_ip_address/sogo
vengo portato alla pagina di login di SOGo
non ho ovviamente effettuato altro nat perchè esulava dal test..
quindi, di DEFAULT, SOGo anche in server only risponde agli indirizzi IP esterni
il problema è nel tuo nat
-
ri-eccomi...
ho appena fatto un test..
infrastruttura virtuale sul mio portatile:
A) macchina SME9 in server only con SOGo (ip 192.168.1.2)
B) macchina w2003 nella stessa rete 192.168.1.0 di SME, indirizzo in dhcp
C) macchina m0n0wall (come pfsense) con 2 schede di rete:
- LAN 192.168.1.1 (ip usato come gateway su SME)
- WAN in dhcp sulla mia rete
nella rete "locale" 192.168.1.x non ho problemi a vedere SOGo andando su https://192.168.1.2/sogo
su m0n0wall ho creato una regola di nat inbound della porta 443 verso l'indirizzo interno di SME (e naturalmente creata anche regola di firewall per permettere tale traffico)
conettendomi sull'ip esterno di monowall con
https://wan_ip_address/sogo
vengo portato alla pagina di login di SOGo
non ho ovviamente effettuato altro nat perchè esulava dal test..
quindi, di DEFAULT, SOGo anche in server only risponde agli indirizzi IP esterni
il problema è nel tuo nat
in effetti la situazione è simile, cmq ho SME 8... suggerisci upgrade a prescindere?
il NAT verso ip macchina interno su 443 c'è, e anche la regola.. tale e quale a exchange (che raggiunge)..
comunque ricontrollo bene e faccio un po di prove su pfsense e vedo che succede..
grazieeee !!
-
in effetti la situazione è simile, cmq ho SME 8... suggerisci upgrade a prescindere?
il NAT verso ip macchina interno su 443 c'è, e anche la regola.. tale e quale a exchange (che raggiunge)..
comunque ricontrollo bene e faccio un po di prove su pfsense e vedo che succede..
grazieeee !!
ahem.. le due regole di nat le usi alternativamente, giusto?
in seconda battuta, se puoi, backup -> install di SME9 -> restore.. SME9 oltre ad avere un migliore supporto hw, ha anche un maggiore periodo di supporto
-
ahem.. le due regole di nat le usi alternativamente, giusto?
se intendi quella di exchange e quella di sme, funzionerebbero (in teoria) assieme... ho due nat, su due wan diverse:
1) wan1 (dsl telecom) -> ip statico -> nat -> ip interno lan server exchange
2) wan2 (dsl altro op) -> dynamic dns -> nat -> ip interno lan server SME
non penso vadano in "conflitto"
...
comunque appena riesco provo con un altro pfsense "nuovo" per capire se cambia qualcosa
-
niente, neanche con un pfsense "nuovo"..
ho provato con putty e l'accesso remoto...facendo una regola/NAT sulla porta 22 funziona, putty entra e posso gestire sme..
guardando bene in realtà il browser da errore sul SSL, esempio crome dice Errore 107 (net::ERR_SSL_PROTOCOL_ERROR): Errore protocollo SSL.
forse non è un problema di NAT in se... boo
...
-
contattami offline su skype