1= Fiber+Dyn IP, Provider Router und UniFi UCG Ultra, HA und Synology NAS, Mail
2= DSL+Fix IP, Fritz und UniFi UCG Ultra, HA, Synology NAS u. Exchange
3= DSL+Dyn IP, Fritz und UniFi Express, HA, Synology NAS
Ausgangslage:
Als Pensionär kann ich einige Monate zwischen den Standorten wandern. Die Verbindungen habe ich mit Wireguard über Unifi realisiert. Exchange Server und der teure DSL am Standort1 werden ersetzt, womit ich zukünftig nur dyn-IP Anbindungen habe.
Überlegung:
Eine fixe IP über IPv64.net. Alle 3 Standorte sollen per VPN erreichbar sein. Verschiedene Applikationen, wie: Synology Mail, Home Assistant, Solar Assistant und weitere sollen aus dem Internet erreichbar sein. (DSL Lite Problematik )
Der Wireguard Tunnel zu IPv64.net steht. Portmapping (allerdings noch als Beta?) wird dazu auch angeboten. Per CDN kann ich ebenfalls ein Portmapping realisieren, wobei ich aber zwei Portdurchreichungen (im vorgelagerten lokalen Internetrouter und auf dem Unifi Router) einrichten muss.
Welche Empfehlung Ideen habt Ihr zu meinen Überlegungen?
Standorte Basics: Noch hab ich die fixe IP - so wie angegeben.
Ausgangslage: werden ersetzt, womit ich zukünftig nur dyn-IP Anbindungen habe.
Insgesamt hat sich mein Post schon selbst überholt.
Einen Teil der Antworten hab ich mir schon erarbeitet
Beim Portmapping hatte ich übersehen, dass mir extern zufällige Ports zugewiesen werden, womit ich verschiedene Dienste durchaus nutzen kann. E-Mail kann aber so nicht funktionieren. Irgendwie hab ich nicht weiter nachgedacht. Der MX Eintrag ist immer mit Port 25 verbunden. Der E-Mail Ausgang an PTR Einträge.
Für den E-Mailverkehr, egal womit, brauche ich eine feste IP, oder ein E-Mail Gateway mit fester IP. Eine eigene IP kann ich in IPv64.net dazu buchen - so hab ich es verstanden, oder meine bisherige behalten und den E-Mailverkehr zum versandt über interne SMTP Server auf die öffentliche IP leiten.
Die einfachste Variante ist, dass du einen kleinen VPS bei Netcup, Hetzner, IONOS usw dazubuchst, der für Dich die v4 und v6 PTR‘s hält. Da reicht ein 1CPU VPS vollkommen aus.
Dann eine kleine Wireguard VPN-Verbindung vom Mail Server zum VPS. Der VPS wird so konfiguriert, dass der eingehende Mailverkehr per Portweiterleitung oder Destination NAT an die Wireguard v4 und v6 Adresse des Mailservers weitergeleitet wird.
Ausgehender Mailverkehr muss so geroutet sein, dass er vom Mailserver über den Wireguard Tunnel an den VPS geleitet wird (Source NAT).
Damit erschlägst du gleich mehrere Dinge auf einmal:
Du erfüllst die DNS A, AAAA, MX und PTR Regeln für Mailserver über die IP’s des VPS - die sind bei Hostern in der Regel statisch.
Du stehst unter einer Public IP-Range eines großen Hosters für ein- und ausgehenden Mailverkehr - und damit stehst du von vornherein nicht auf vielen Blacklists von Spamlisten und der Mailserver hat per se schon eine höhere Reputation.
Du bist von der täglichen dynamischen IP-Zuweisung des Internetproviders im Heimnetz durch den Wireguard Tunnel unabhängig - das Mailrouting geht durch den Tunnel über den VPS mit seinen Public-IP‘s.
Keine Portforwarding Konfiguration mehr auf Deinem Heimrouter notwendig.
Umgehen des DNS-Rebind Schutzes auf dem Heimrouter, falls der Heimrouter diese Funktion aktiv hat.
Ob du das ganze Konstrukt dann unter einem Cloud Router mit aufhängst, bleibt Dir überlassen - macht es aber meiner Meinung nach unnötig komplex.
Für mich persönlich würde sich die Fehleranfälligkeit bei der Integration in ein IPv64 Cloud Router Setup erhöhen, da dann der VPS und dein Mailserver beide Wireguard Clients darstellen und keine Point-to-Point VPN-Verbindung nur zwischen Mailserver (als Wireguard Client) und VPS (als Wireguard Server) aufgebaut wird.
Weiterhin besteht das Risiko, dass Mails im Nirwana verschwinden könnten, wenn es bei der VPN-Verbindung vom Mailserver zum IPv64 Cloud Router Störungen gibt.
Gäbe es bei einer direkten VPN-Verbindung zwischen VPS und Mailserver ein Problem, würde sofort das DNAT scheitern und der sendende Mailserver erhält die klassische SMTP Time-Out Fehlermeldung.
Basierend auf der Definition des SMTP-Protokolls würde dann der sendende Mailserver die Mail mindestens 24 Stunden weiter an deinen Mailserver versuchen zuzustellen.
Impressionen zum aufgezeigten Designkonzept von Linuxbabe hier.