Statische IP durch VPN

ProJ5

New Member
Hallo,

ich möchte gerne aus Datenschutzgründen zu Hause einen eigenen Mailserver betreiben. Da ich eine dynamische IP habe (wie die meisten) möchte ich mir per VPN-Tunnel die IP eines vServers zu nutze machen. Ich weiß, dass es auch ein paar kommerzielle Angebote dazu gibt, aber preislich uninteressant und meisten mit nur wenig Traffic.

Vom Konzept her sehr einfach gedacht:

vServer hat 2x IPv4 und 1x IPv6. Es soll ein L2TP über IPSEC-Tunnel genutzt werden, um den vServer mit dem lokalen Server zu verbinden. Der lokale Server bekommt direkt eine öffentliche IPv4 über den L2TP-Tunnel zugewiesen und nutzt dann PPP0 als Default Gateway.

Das klappt auch alles...

Aber auf Seiten des vServer gibt es nun folgende Probleme:

1. Der vServer antwortet bei Broadcastanfragen zur IP nicht, womit die Pakete erst gar nicht beim vServer ankommen. Braucht man hier eine Bridge eth0->ppp0 ???
2. Sämtlicher Traffic für die IP muss auch wirklich durch den Tunnel geleitet werden. Reicht ein echo 1 > /proc/sys/net/ipv4/ip_forward aus in diesem Fall? Masquiert muss ja nichts werden, da der lokale Server mit der öffentlichen IP antworten sollte, oder?
3. Kennt da jemand ein gutes Howto, wie man direkt öffentliche IPs per Tunnel vergeben kann?

Mit lokalen IPs habe ich das ganze schon mit entsprechenden NAT-Regeln zum laufen bekommen... nur den Traffic in das VPN leiten, hat mir nicht gelingen wollen. Aber da habe ich dann auch aufgegeben, weil ich dass mit der öffentilchen IP haben wollte.

Ich hoffe man konnte meine Frage und was ich vor habe verstehen. Also in Grunde mir selbst eine öffentliche IP per VPN zugänglich machen.

Grüße
ProJ5

PS: Und nein, bitte jetzt nicht mit DynDNS ankommen :) Für einen Mailserver braucht man eine feste IP mit rDNS-Eintrag.
 

marce

Well-Known Member
Wieso denn dann den Mailserver nicht direkt auf dem VServer betreiben?

... oder hast Du zu Hause die entsprechende Infrastruktur für red. Netzwerkanbindung, Failover-Hardware, ...?

(zumal ein kleiner VServer meist weniger kostet, als der Strom, den ein ded. PC > RaspPi zu Hause verbrauchen würde)
 

ProJ5

New Member
Hi!

Ich möchte aus Datenschutzgründen und fürs eigene Gewissen die eMails bei mir zu Hause liegen haben. Und ja, ich besitze 2 Internetzugänge und Backup-Konzept. Die Hardware kann ich schnell austauschen (manchmal schneller als ein Billiganbieter) und Strom zieht mein Server sowieso, weil da auch noch andere Dienste laufen.

Es geht hier auch nicht um das Thema wie sinnvoll mein begehren ist, sondern wie man es machen könnte. HowTos findet man im Internet viele zu VPNs, aber wie man den Traffic der externen IP an eine spezielle interne IP weiterleitet kommt da leider nicht vor. Und erst recht nicht die Idee öffentliche IPs zu vergeben, wie es ähnlich ein Provider machen würde.

Grüße
ProJ5
 

Thorashh

Registered User
Moin

Du kannst auf deinem vServer den MTA (Postfix, ...) betreiben.
Der Rest kann ganz Problemlos auf deinem System zu Hause stattfinden.

Den MTA konfigurierst Du quasi, wie einen Backup-mx, der alle Mails dann per VPN an deinen MTA zu Hause weiterreicht.
SPAMFilterung sollte auch auf dem vServer stattfinden.

Ich betreibe ein ähnliches Szenario mit tinc als VPN.
 

ProJ5

New Member
Hallo!

Danke für Deinen Ansatz.
Ja, so könnte ich mein Problem auch lösen. Aber ich denke, dass die Lösung der IP-Weitergabe einfacher ist. Zwei MTA's, die sich Benutzerdatenbanken teilen müssten, wo man bei Problemen zwei Logs durchsuchen muss usw.

Ich hoffe noch, dass jemand mir bei meinem VPN Problem helfen kann. Und Notfalls wäre ich auch mit der kleinen Lösung mit lokalen IPs zufrieden. Ich müsste nur wissen, wie ich den externen Traffic in das VPN geleitet bekomme.

Mit einem

iptables -A PREROUTING -t nat -d xxx.xxx.xxx.xxx -j DNAT --to-destination 192.168.xxx.xxx

hat das Umleiten der Daten in das VPN (ppp+) leider nicht geklappt.
 

vb-server

Registered User
Konfigurier den MTA auf dem vServer einfach als Relay (natürlich mit Auth). Eingehende Mails können direkt nach Hause - ausgehende gehen über den Relay mit einer statischen IP. So könnte man sich das VPN Gebastel sparen.
 
Top