Best Practice für Installation Grommunio mit VPN Anbindung.

sinux · 2025-10-07T21:33:21+00:00

Hallo zusammen, die Entscheidung ist gefallen von Kopano auf Grommunio (Business also stable dann) zu migrieren. Dazu habe ich ein paar Fragen. Ich habe ein...

sinux

WalterH ja die interne Domain wird auch richtig aufgelöst und ich dachte die externe IP braucht es nicht da ich meinen Dienst draußen (also Forwarding 443) nicht anbieten will. An meinen privaten Beispiel der GMX Domain, was sollte denn da stehen? Im ersten Punkt Reach... habe ich ja die IP von Innen und außen drin stehen. Warum der das beim autodiscover nicht macht erschließt sich mir nicht. Die Domain hab ich autodiscover.gmx.de und auch via _auto... also SRV eingetragen. Die Strecke wäre, grommmunio Server > OpenWRT Router > Fritzbox > Internet... Das kann doch nicht so schwer sein aber für mich anscheinend schon.

WalterH

Wenn der Outlook z.B. die Mailadresse user@domain.at bedienen soll, muss autodiscover.domain.at auflösbar sein, für Outlook und auch grommunio.

sinux

WalterH das ist so eingerichtet im DNS und via nslookup kommt die interne IP vom grommunio Server.
auf dem Outlook Clienten und auf dem Grommunio Server.

PiotrPan

sinux Kannst du mal zeigen was du da wie auflöst?

Das Autodiscover Testtool zeigt seht gut die DNS / Query Kaskade die man selbst mit nslookup/dig nachführen müsste.

WalterH

Dann sollte der Outlook auch die Mailbox am Server finden.

sinux

Danke PiotrPan, ich werde hier (Arbeit) mal neu installieren. Vielleicht übersehe ich etwas. nslookup ist alles sauber und ich bekomme immer die gromm Server IP aufgelöst.... es sollte ja auch ohne Internet also in einer reinen internen Installation funktionieren das sich der Server und ein Client über die DNS Auflösung finden und connecten. Wie gesagt nslookup löst sauber auf...
So nochmal alles von vorn installiert und eingerichtet aber keine Besserung obwohl nslookup alle dafür benötigten Domains sauber auflöst und mir die IP vom Server zurück gibt. Gibt es vielleicht Dienste wie apparmor die dazwischen hauen und in der Dokumentation nicht erwähnt werden?

PiotrPan

Apparmor meine ich sollte aus.... ich habe damals, nachdem nicht alle Prozesse sauber starteten trotz Folgen der Anleitung direkt auf die SLES Appliance gesetzt.... SLES ist zwar nicht meins, war in Summe aber einfacher.
Ist zwar eine "seltsame" Art dein Problem zu lösen, ist vom Einrichtungsaufwand aber ein überschaubarer Weg.

Parallel wäre dennoch eine Idee mal mit tcpdump -s 0 -A port 53 oder so zu schauen was der DNS Health Check eigentlich tut. Dann siehst du ggf. auch welches Lookup zwar in deinem Test funkitoniert aber nicht aus Sicht deines Servers.

sinux

der für den DNS Test verwendete DNS Server 1.1.1.1. ist in Australien und ich habe Ländersperren in meiner FW drin.
Kann man den Prüf DNS irgendwo ändern?
Jetzt sieht der DNS Health schon aus wie meiner zu Hause.

crpb

sinux Kann man den Prüf DNS irgendwo ändern?

ja kann man

https://community.grommunio.com/d/1845-manual-installation-vs-appliance/13

PiotrPan

Gut ich habe ne outbound NAT Regel das 53/udp bzw tcp auf meinen internen resolver bzw pihole gehen 😃

Ansonsten wäre es schon ein Bug Ticket wert, wenn grommunio nicht den OS resolver bemüht.

Was seht denn in der reaolv.conf bzw vergleichbarem je nachdem wie du in deinem Linux DNS Revolver konfiguriert hast?

Müsstest du im Zweifel auch mit dig +trace finden

WalterH

PiotrPan Ansonsten wäre es schon ein Bug Ticket wert, wenn grommunio nicht den OS resolver bemüht.

Das ist das Standardverhalten von den meisten MTAs.

sinux

PiotrPan mein nächster Gateway (dnsmasq) steht da drin der nimmt DNS an und gibt an einen Win DNS (AD) und der an eine UTM 9 weiter und die dann DNS an ISP.

PiotrPan

WalterH aus Neugier hast du dazu eine Quelle? Für zumindest postfix und exim konnte ich dazu nichts ob und warum sie gerade cloudflares 1.1.1.1 hardcoded nutzen sollten.

sinux

WalterH könnte ich das denn ändern? Wüsste nicht wo.

sinux

crpb das hatte ich vor ein paar Tagen schon mal gefunden ABER da da die dns.yaml nicht war hatte ich gedacht das dies vielleicht eine andere Distro betrifft. Ich hab ja SuSe genommen obwohl ich Debian favorisiere.

sinux

PiotrPan wollte auch gerade fragen ob ich das dann im Postfix hinterlegen muss.

WalterH

PiotrPan Z. B.: Novell Groupwise die GWIA arbeitet so.

crpb

sinux

aja, das musste schon selbst anlegen

root@grom-deb:/etc/grommunio-admin-api/conf.d# grep '' /etc/grommunio-admin-api/conf.d/00-clear-dns.yaml /etc/grommunio-admin-api/conf.d/dns.yaml
/etc/grommunio-admin-api/conf.d/00-clear-dns.yaml:dns:
/etc/grommunio-admin-api/conf.d/00-clear-dns.yaml:  externalResolvers: {}
/etc/grommunio-admin-api/conf.d/dns.yaml:dns:
/etc/grommunio-admin-api/conf.d/dns.yaml:  externalResolvers:
/etc/grommunio-admin-api/conf.d/dns.yaml:    - 1.2.3.4
/etc/grommunio-admin-api/conf.d/dns.yaml:    - 5.6.7.8
root@grom-deb:/etc/grommunio-admin-api/conf.d# grommunio-admin config dump dns
disabled: false
dudIP: 172.16.254.254
externalResolvers:
- 1.2.3.4
- 5.6.7.8

PiotrPan

sinux naja der Doku aus dem anderen Post nach ja. Was passiert denn wenn du die conf anlegst?

Ansonsten würde ich das wie gesagt in der fw im packetlog oder lokal am Server via tcpdump prüfen wohin das resolve geht.
Und wenn du (noch 😉 ) eine UTM hast würde ich da zur Not DNS von allen Hosts die nicht extern resolven sollen umbiegen auf deinen DNS. Letzteres mache ich weniger wegen grommunio sondern allgemein da ich die resolves kontrollieren und filtern will.

sinux

Danke euch allen erstmal für die Informationen!!! Ich habe mir jetzt gedacht ob ich einen DNS Server nur für den gromm Server aufsetze. Welchen könntet ihr da empfehlen? Bind, DNSmasq? Novell habe ich seit 4.0 Zeiten nicht mehr angefasst und als reinen DNS Server schon mal gar nicht. Oder müsste ich nur versuchen in meinem ersten DNS Server der gromm bedient alles was nach draußen will umzubiegen? Wie müsste ich das anstellen, die Domains die er extern weiterleitet dann wie abfangen? Und dann würde doch der DNS Health nicht mit grün die DNS Abfragen anzeigen. Wie gesagt ich will die externe Mail Domain intern auf Gromm haben.

PiotrPan

Ich würde erstmal versuchen, dass du herausfindest ob grommunio 1.1.1.1 nimmt bzw das umbiegen.

DNS Override für lookups Von innen brauchst du ja zwangsweise damit dei auf den Server zeigen.
Ich dachte das hast du in place oder wie wäre sonst der Plan?
Wenn dem so ist würde ich an der FW eine NAT Regel machen die outbound DNS von allen Hosts außer seinem DNS Server selbst auf deinen DNS umbiegt. Ist die Frage was du dazu zur Verfügung hast. Die UTM kann das Problemlos.

Unabhängig davon würde ich vermuten ein grünes Icon bei health löst aber nicht dein Problem am Client sondern ist ja nur eine Selbstdiagnose aus Sicht des grommunio Servers.

sinux

PiotrPan Den 1.1.1.1 nimmt ja nur der Test von grommunio DNS Health Check, im resolv.conf steht der erste Gateway drin. Ganz normal. DNS Ovveride hab ich ja gemacht. Also zusätzliche DNS Namen beim Gromm Host in der UTM eingetragen. In Place freilich so ist der Plan. Ich probier mal weiter.

« Previous Page Next Page »