<div dir="auto"><div><br><div class="gmail_extra"><br><div class="gmail_quote">Am 26.02.2017 3:39 nachm. schrieb "Sven Roederer" <<a href="mailto:freifunk@it-solutions.geroedel.de" target="_blank">freifunk@it-solutions.<wbr>geroedel.de</a>>:<br type="attribution"><blockquote class="m_-2342268628143040328quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Christian,<br>
<br>
ich sehe folgende Möglichkeiten:<br>
- NAT auf dem Freifunk-router: Da der Router ja jeden Host im<br>
Upstream-Netz erreichen kann, kannst du per "iptablesW den SMTP-port des<br>
Mailservers auf einen port (auch port 25) des Routers ummapen. Dadurch<br>
landet dann jeder FF-client bei connect von port 25 des Routers auf dem<br>
Mailserver.<br></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">Wenn das ohne Änderungen an den Clients funktionieren soll, müsste man AFAICT auch noch unschöne Dinge mit dem DNS tun. Welche Folgen das für das Zertifikat des Mailservers hat, kann ich nicht abschätzen.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_-2342268628143040328quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
- als statische Route: dabei musst du nur aufpassen, dass der<br>
Routingeintrag in einer Routingtablee mit niedrigerer Priorität landet,<br>
als die aktuellen Regeln. Sonst greifen die Regeln, die den Zugriff der<br>
FF-Clients auf's upstream-LAN unterbinden.</blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">Mir gefällt diese Umgehung der Policy-Regeln irgendwie nicht. Damit wird die Zusage ungültig, dass es keinen Zugriff auf das private Netz gibt.</div><div dir="auto"><br></div><div dir="auto">Ich würde es vermutlich über ein zusätzliches NAT lösen und den Freifunkrouter in ein privates Netz stecken. Dann machen die Daten zwar einen riesigen Umweg über VPN03, aber die Trennung von Freifunk und lokalem Netz bleibt erhalten. Eventuell macht es für den Mailserver sogar einen Unterschied, ob der Zugriff aus dem lokalen Netz oder von einer weniger vertrauenswürdigen IP-Adresse kommt. Das würde ich nicht ohne Rücksprache mit dem Admin umgehen.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">VG</div><div dir="auto">Harald</div><div dir="auto"></div></div>