Best Practice für Installation Grommunio mit VPN Anbindung.

sinux

Hallo zusammen, die Entscheidung ist gefallen von Kopano auf Grommunio (Business also stable dann) zu migrieren.
Dazu habe ich ein paar Fragen.
Ich habe eine externer E Mail Domain draußen die ich einfach über fetchmail abhole und drinnen über Kopano via Webclient und Android über VPN an GMail verteile. SMTP geht über Relayhost raus zum selben Mail Provider.
Wie würdet ihr nun vorgehen um das mit Grommunio abzubilden.
Was benötigt wird ist im LAN, Webclient und (kommt neu dazu) Outlook Anbindung, extern via VPN anbinden.
Ich hätte den externen E Mail Domainnamen genommen und drinnen also Grommunio Host und E Mail Domäne angelegt. DNS und Zertifikate dementsprechend hinterlegt. Müssen nun die VPN Clienten von draußen über den DNS nach innen zum auflösen des Grommunio Servers gelenkt werden oder reicht da die IP in Gmail zu hinterlegen?
Also im lokalen LAN gromm.test.de Server angelegt und in dem dann nochmal die Mail Domain test.de eingetragen. Oder sollte ich für den Grommunio Server lieber ne subdomain z.B. a.test.de nehmen.
Also Host gromm.a.test.de und die Mail Domain dann test.de anlegen?
Was wäre der beste Weg dafür? Danke für eure Hinweise samt Geduld!

sinux

WalterH

sinux Outlook Anbindung, extern via VPN anbinden.

Wenn der VPN die Namensauflösung richtig durchreicht, wird der Autodiscover Eintrag auch aufgelöst und Outlook findet den Server. Das funktioniert bei Exchange und auch bei grommunio. Sollte somit kein Problem sein.

PiotrPan

Kannst du das ggf. mal als Bild malen, was genau du vor hast?

wenn ich das richtig verstehe hast du eine externe maildomain mit einem externen mailserver und holst für diese domain / mailbox die mails in grommunio ab.
Dazu legst du domain und mailbox in grommunio ab und fertig. habe ich bei mir auch so, wobei ich auf meinem externen mailserver mit postfix transport statt mit fetchmail arbeite. deutlich weniger gefummel.

was ich nicht verstehe, wenn o.g. stimmt: "über Kopano via Webclient und Android über VPN an GMail verteile"
D.h. die Mails landen vom extenren Postfach dann bei gmail? Wenn ja, wozu brauchst du nun Kopano/Grommunio?

Wegen VPN, d.h. du willst den grommunio host auf 443/tcp nicht exponieren, sondern client wählt sich per VPN ein und dann greift Outlook/Webbrowser auf Grommunio zu?
Nachvollziehbar, klingt für mich aber arg umständlich. Spätestens mit dem Handy müsstest du dauern VPN aktiv haben was mpE akku und co kostet, nur damit mail erreichbar.
Ferner ist VPN mit Split Tunnel nicht im Sinne des Erfinders, wenn auch möglich. Somit routest du den gesamten Handy-Traffic durchs VPN was dich dann Upstream kostet (wo auch immer dein grommunio server steht).

Bzgl. DNS, an Zertifikate für Audotdiscover denken. Dein Lookup für die relevanten DNS Einträge muss dann natürlich auf die internen IPs zeigen, nicht auf deine Public IP wo dein Grommunio Host steht.

Ansonsten falls es dir hilft, mein Setup ist - rootserver mit maildomain im Netz. Zu hause läuft die Grommunio VM mit 443/tcp nach außen erreichbar und 25/tcp für den mailtransport von meinem rootserver zu grommunio.
dazu liegen im grommunio die domains und die postfächer dafür angelegt.
Der Hostname selbst ist ein ganz anderer, weil auch nicht entscheidend.
Per relay geht der Mailversand über den rootserver nach außen, mit postfix regel je nach sourcemailbox (weil nicht alle die gleiche domain haben) über unterschiedliche ausgangskonten.

Aus meiner Sicht war der trickreichste Teil autodiscover und DNS. Da brauchte ich dann ein SAN Zertifikat was ne ecke mehr kostet (daher nervig und nein ich war schlicht zu faul XXX) um für mehrere Domains audiscover auf meine Public IP zu hause zeigen zu lassen.
Im externen DNS sind die Autodiscover Einträge entsprechend anelegt, analog dazu im internen DNS bzw. ein override der IP für den DNS Namen des grommunio servers, damit er die interne IP und nicht die externe anspricht.

damit habe ich dann intern mail auf handy / outlook, extern genauso. VPN nutze ich nur um von außen administrativ an grommunio ranzukommen.

sinux

Herzlichen dank für deine Ausführungen PiotrPan!

Ja ich weiß mein setup ist umständlich aber ich will es eben sicher haben (habe ich frühe auch mit Drexchange schon so in der Firma gehandhabt). Meine externe Mail Domain will ich innen mit grommunio abbilden und egal ob drinnen (LAN) oder draußen (eben VPN) soll alles von "innen " darauf zu greifen. Ich möchte kein 443 draußen forwarden auch nicht wenn es in einer DMZ stehen sollte. Die externe Mail Domain soll nur von innen bedienen. Mir ist es klar das der DNS und die Zertifikate auch die IP's dann von innen haben sollen. Mache ich immer via xca, ne eigene CA anlegen mit den Server DNS und IP Zertifikaten. Mein Testsystem hier zu Hause habe ich ja auch so laufen (gmx) aber ohne VPN und Outlook.
Also E-Mail Server via Grommunio soll Webclient, Android GMail (VPN) und Outlook innen und ggf via VPN von außen bedienen. Der Server selber macht den Abruf via fetchmail pop3 und Versand via Relayhost.
Auf Arbeit scheitert z.Z. schon die DNS Health Anfrage obwohl ich alles äquivalent wie zu Haus gemacht habe. Weißt du rein zufällig wo dieser Test "hinloggt"? Ich habe da via journalctl -f nix brauchbares finden können.
Hier zu Hause musste ich auch die gmx Domain zu inneren machen da ich über die Fritz.box sync Probleme hatte, da wollte der Kalender und die Mail ewig nicht synchronisieren. Also gmx in Mail Domain gemacht aber Server war mail.fritz.box. Da wollte das autodiscover schon nicht weil ja die Domain nicht zur E Mail Adresse gepasst hatte. Bei dir scheint das ja kein Problem gewesen zu sein. Also Danke nochmals wäre toll wenn ich erhellt werden könnte.
Setup Arbeit z.Z. so

grommserver mail.domain.de (im internen Netz, Hostname) autoconfig, autodiscover, (SRV) zeigt alles via DNS auf die interne IP und wierd auch sauber via ping oder nslookup zurück gegeben. Aber beim DNS Health Check scheitert es schon an Reachability wird nicht grün sondern endet im Gateway Timeout. Gut mein Security Umfeld ist gut gesichert hab auch 3 Gateways dazwischen aber Port 53 darf raus. (Mit Kopano funktioniert es ja). Auf Admin und normales WEB von Grommunio Server komme ich ja und kann auch einrichten usw. geht. Den DNS Post von WalterH habe ich mir angesehen aber klappt einfach nicht.

WalterH

sinux habe ich frühe auch mit Drexchange schon

Da sollte Autodiscover eigentlich bekannt sein.

PiotrPan

was ist denn "dns health" genau - also was testet es, hast du die reqeuests und die antworten?

Gateway-Timeout spricht ja dafür das bestimmte Pakete nicht durchkommen. Hast du mal mit tpcdump geschaut?

"Mein Security Umfeld" und "3 Gateway" ist was konkret? Firewall/iptables/ACLs oder "nur" Router/NAT? Sind ja alles stolperfallen an denen Pakete hängen bleiben können.

Den DNS Post von Walter kenne ich nicht, hast du einen Link?

sinux

PiotrPan !
Im grommunio Admin Interface unter Domäne kann ich doch den test "fahren" lassen.

Hier der Link von WalterH

https://community.grommunio.com/d/753-why-the-hostname-is-so-important-for-grommunio

Und den habe ich jetzt gerade gefunden und sichte den mal.

PiotrPan

WalterH aber das kann man ja auch in der konsole und parallel via tcpdump etc. mitprüfen.

Ist DNS Health check das debugging tool welches outlook mitliefert bzw. das dedizierte ding für autodiscover? Sagt mir so als stehender Begriff nichts.

sinux

WalterH Danke das habe ich gehofft!

WalterH

So sollte das aussehen wenn alles OK ist:

sinux

Ja da bin ich noch weit entfernt 😉

ich sichte heute Abend mal den Link noch dazu

https://community.grommunio.com/d/929-admin-ui-dns-checks

PiotrPan

Ich kann mal einen Screenshot von meinem machen.
Da ist ja ich alles grün und es geht. K.a. was reachability genau testet.
Da ich aber so ziemlich alles weg geblockt habe außer 25 bidir zum relay und 443 von außen würde mich das nicht wundern.

Reachability fur das was ich brauche würde ich eher via tcpdump und co debuggen 🙂

sinux

Das ist meine GMX intern privat, Web, Android geht,

Outlook teste ich gerade, kommt aber immer nach einer bestimmten Zeit

WalterH

sinux Autodiscover funktioniert nicht beide Icons sind orange sollten aber grün sein.

PiotrPan

Ist das tray icon vin Outlook vorhanden? Mit einem Rechtsklick drauf solltest du im Menü das Connection Test Tool aufrufen können ggf hilft das.

Das Problem besteht auch, wenn du ein neues Profil für Outlook anlegst?

sinux

WalterH ja die interne Domain wird auch richtig aufgelöst und ich dachte die externe IP braucht es nicht da ich meinen Dienst draußen (also Forwarding 443) nicht anbieten will. An meinen privaten Beispiel der GMX Domain, was sollte denn da stehen? Im ersten Punkt Reach... habe ich ja die IP von Innen und außen drin stehen. Warum der das beim autodiscover nicht macht erschließt sich mir nicht. Die Domain hab ich autodiscover.gmx.de und auch via _auto... also SRV eingetragen. Die Strecke wäre, grommmunio Server > OpenWRT Router > Fritzbox > Internet... Das kann doch nicht so schwer sein aber für mich anscheinend schon.

WalterH

Wenn der Outlook z.B. die Mailadresse user@domain.at bedienen soll, muss autodiscover.domain.at auflösbar sein, für Outlook und auch grommunio.

sinux

WalterH das ist so eingerichtet im DNS und via nslookup kommt die interne IP vom grommunio Server.
auf dem Outlook Clienten und auf dem Grommunio Server.

PiotrPan

sinux Kannst du mal zeigen was du da wie auflöst?

Das Autodiscover Testtool zeigt seht gut die DNS / Query Kaskade die man selbst mit nslookup/dig nachführen müsste.

WalterH

Dann sollte der Outlook auch die Mailbox am Server finden.