LINUX.ORG.RU
ФорумAdmin

Отсылать почту через VPN не устанавливая маршруты по умолчанию

 , ,


0

1

Имеется VPS и имеется домашний сервер. Хочу настроить почту так, чтобы её обслуживал домашний сервер. Но дома статического IP нет (а возможности установить reverse DNS запись тем более), поэтому хочу в то же время использовать VPS исключительно для того, чтобы был внешний IP. Настроил OpenVPN-туннель, планирую редиректить входящие подключения с VPS на этот туннель, тут вроде проблем не ожидается. Но вот как отправлять почту с домашнего сервера так, чтобы у неё IP был внешнего сервера, а не домашнего сервера, я не пойму. Я думал достаточно будет указать smtp_bind_address = 10.244.15.2 в конфиге постфикса (это локальный IP-адрес домашнего сервера внутри туннеля), но при попытке послать письмо на Gmail в логах пишется ошибка Apr 30 03:18:55 home postfix/smtp[2888]: connect to alt1.gmail-smtp-in.l.google.com[74.125.204.26]:25: Connection timed out, то бишь трюк не сработал. На VPS настроен NAT, если принимать маршруты с VPS, то весь трафик пойдёт через него, но я этого не хочу (на домашнем сервере качаются торренты, для VPS это будет чрезмерная и ненужная нагрузка).

То бишь нужно как-то сделать, чтобы postfix и только он все исходящие подключения делал через OpenVPN-туннель.

★★★★★

Тебе нужен netns
Помню один регистрант писал тут как-то подобие гайда, возможно это был anc или vel, но это неточно

zolden ★★★★★
()
Последнее исправление: zolden (всего исправлений: 1)
Ответ на: комментарий от zolden

А как тут не получится? По идее постфикс будет соединяться на 25 порт, по порту через iptables прописать эту ерунду. Кроме постфикса вроде никто не должен 25-м портом интересоваться.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

Я по http так хожу, может и с smtp так получится. А ещё можно поднять релэй на впс и не заниматься анальной акробатикой.

xfilx ★★
()
Ответ на: комментарий от xfilx

Думаю, должно получиться, спасибо, буду пробовать.

Я тут иду на принцип - давать абсолютный минимум информации о почте VPS-у. Современные серверы почтой обмениваются по зашифрованным протоколам и я хочу, чтобы шифрование было от одного конца до моего дома, а VPS через себя гнал исключительно зашифрованный трафик. Активной атаки такой подход не выдержит, но хотя бы пассивно это лучше, чем ничего. Не то, чтобы оно мне реально было надо, но всё же давно хотел так сделать. А так проще, конечно, тупо почту на VPS поднять и голову не морочить.

Legioner ★★★★★
() автор топика
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

это всё фигня, если хочется безопасной почты, то имеет смысл шифровать каждое письмо посредством чего-нибудь типа gpg

xfilx ★★
()
Ответ на: комментарий от Legioner

А как тут не получится?

В целом получиться. Только надо разделить на «кусочки» будет. ip route add добавить с скрипт ovpn параметр up
ip rule и правила iptables с mark можно единоразово при загрузке прописать.

По идее постфикс будет соединяться на 25 порт

Можно и так, а можно и по владельцу если postfix от отдельного пользователя работает, по вашей ссылке это описано.

ЗЫ Ну а насчет dnat snat надеюсь уже разобрались сами.

anc ★★★★★
()
Ответ на: комментарий от Jopich1

1. В скриптах есть недостаток. Например если «убить» opvn или он «внезапно умрет» то правила будут «размножаться».
2. на down flush делать не вижу смысла, я могу ошибаться, но пока все и без него работает много лет.

anc ★★★★★
()

поставь почтовый сервер домой и на VPS и настрой пересылку на твой домашний сервер. Сделай уведомление о недоставке через длительный период. Настрой VPN между VPS и домашним сервером, чтобы почта ходила по туннелю. Настрой TLS-only между серверами. Должно хорошо работать. Для отправки используй сервер на VPS как smart-host с домашнего. В итоге при недолгом отвале домашнего интернета почта всё-еще будет ходить. Я бы еще взял еще 1 VPS у другого хостера для бакап MX.

slapin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin