Hallo zusammen, ich habe mein Kuh gemäß [Anleitung](https://docs.mailcow.email/de/maintenance/migration/#__tabbed_2_1) migriert. Soweit hat das auch geklappt und ich kann sie auch starten. Allerdings erhalte ich beim Updaten über das Script ./update.sh folgende Fehler: `Checking for conflicting bridges... Warning: iptables-legacy tables present, use iptables-legacy to see them Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module? Warning: Extension DNAT is not supported, missing kernel module?` Der Unterschied zwischen dem Alten und dem Neuen ist, dass ich auf dem neuen (ebenfalls Debian Bookworm) nftables mit ufw installiert habe (auf dem Alten war es iptables mit ufw). Die Ports sind genauso geöffnet wie auf dem alten Server. Kann mir jemand weiterhelfen, was es mit den o.g. Meldungen auf sich hat? Ich danke euch sehr. vG sax

Siehe https://docs.mailcow.email/de/getstarted/prerequisite-system/#firewall-ports der große rote Kasten...

@"DocFraggle"#p18813 Zunächst einmal vielen Dank für deine Antwort. Ich muss zugeben, dass ich mich erstmal mit nftables beschäftigen musste und das Thema auch perspektivisch vertiefen muss. Interpretiere ich dies dahingehend richtig, dass ich die Rules der Chain "ufw-user-input" bzw. "ufw6-user-input" in die "DOCKER-USER" verschieben muss, oder die der "INPUT" Chain? Mir erklärt sich noch nicht, was das mit der DNAT Extension Warning zu tun hat?

Ich kann Dir ehrlich gesagt gar nicht sagen ob mailcow aktuell überhaupt mit nftables funktioniert... afaik ist es auf iptables (also das Original) ausgelegt und es bedarf eigentlich gar keiner extra Firewall auf dem Host da man, falls gewünscht, seine eigenen extra Regeln wie beschrieben in die DOCKER-USER Chain packen kann.

Ich hatte auch schon den Gedanken, die Firewall auf dem neuen Server wegzulassen, nachdem ich gelesen hatte, dass es für Mailcow keine Separate braucht. Auf dem Host läuft neben dem Mailcow Docker noch ein Apache / PHP / MariaDB für eine Webseite. Ich dachte immer, dafür ist eine Firewall schon sinnvoll. Brauche ich die dafür deiner Meinung nach auch nicht? Wenn ich nftables auf dem jungfräulichen Host nicht installiert hatte, bekam ich dann beim ./update.sh aber einen anderen Fehler (ich glaube "iptables not found" zu irgendeiner Regel) und ich wusste nicht, wie ich iptables aus Mailcow wieder rauskriege... PS: Ich meine, in einem Update gelesen zu haben, dass nftables unterstützt wird.

> @"sax"#p18833 Auf dem Host läuft neben dem Mailcow Docker noch ein Apache / PHP / MariaDB für eine Webseite. Hast Du das dann hinter einem Reverse Proxy laufen? > @"sax"#p18833 einen anderen Fehler (ich glaube “iptables not found” zu irgendeiner Regel) Also wenn Du [nach der Doku vorgehst](https://docs.mailcow.email/de/getstarted/install/#docker) und Docker initial installierst kommt das iptables Paket automatisch mit. Hast Du das denn so gemacht?

@"DocFraggle"#p18835 ja, Mailcow läuft auf hinter einem Reverse Proxy [upl-image-preview url=https://community.mailcow.email/assets/files/2024-10-01/1727795215-67411-proxy.png] Deswegen würde mich interessieren, ob ich für den Apache, der noch zusätzlich auf Port 80/443 läuft, eine Firewall brauche oder nicht. Ich dachte immer, das sei notwendig. Hinsichtlich der Installation bin ich genau nach dieser Anleitung vorgegangen. Erst die Docker Installation über das Script, dann das Repository von GitHub geklont, dann ./generate.sh, dann mailcow.conf angepasst... usw.

Also Du brauchst ja keine Firewall "für den Apachen". Die Firewall regelt den Zugriff auf die Ports, so kannst Du dann z.B. nur bestimmt Ports aus dem Internet erreichbar machen. Alles was nur auf 127.0.0.1 läuft ist schonmal grundsätzlich nicht aus dem Internet erreichbar. Du kannst ja mal mit `netstat -tulpen` schauen was alles so läuft bei Dir und dann entscheiden ob Du den Zugriff auf bestimmte Dienste nicht aus dem Internet erreichbar machen willst, dann müsstest Du das Regelwerk erweitern oder halt mit der ufw experimentieren und hoffen dass die Mailcow dann noch läuft (aber dann die ufw mit den normalen iptables) P.S: ich habe meine mailcow VM in der Hetzner Cloud laufen, da kann man auch eine Cloud Firewall erstellen die dann noch vor der VM hängt, aber eben nicht AUF der VM läuft.

> Du kannst ja mal mit > netstat -tulpen > schauen was alles so läuft (...) Danke dir für den Austausch. Da läuft neben den Docker Ports nur SSH, Apache und MariaDB. Deswegen hab ich mal Mailcow und Docker gestoppt, dann nftables und ufw deinstalliert: ` sudo apt autoremove --purge nftables ufw` ... dann Docker und Mailcow wieder gestartet. Leider ist der Fehler noch immer im Log: `docker compose logs|grep netfilter` `netfilter-mailcow-1 | MAILCOW target is in position 11 in the ip forward table, restarting container to fix it... netfilter-mailcow-1 | # Warning: table ip filter is managed by iptables-nft, do not touch! netfilter-mailcow-1 | # Warning: table ip nat is managed by iptables-nft, do not touch! netfilter-mailcow-1 | # Warning: table ip6 filter is managed by iptables-nft, do not touch! netfilter-mailcow-1 | # Warning: table ip6 nat is managed by iptables-nft, do not touch! netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | Warning: Extension DNAT is not supported, missing kernel module? netfilter-mailcow-1 | # Warning: iptables-legacy tables present, use iptables-legacy-save to see them netfilter-mailcow-1 | Using NFTables backend netfilter-mailcow-1 | Clearing all bans netfilter-mailcow-1 | Initializing mailcow netfilter chain netfilter-mailcow-1 | Setting MAILCOW isolation netfilter-mailcow-1 | Watching Redis channel F2B_CHANNEL netfilter-mailcow-1 | Blacklist was changed, it has 3 entries ` Muss ich zur Deinstallation von nftables und ufw noch was tun?

Den Stack hat Du komplett neu gestartet? ``` docker compose down docker compose up -d ``` Und das normale iptables Paket ist installiert?

@"DocFraggle"#p18854 Ja, das hatte ich gemacht. ipTables ist installiert, zumindest gibt mir `sudo iptables -L` eine Ausgabe. Soll ich das auch mal noch runterschmeißen?

Fehler im update.sh nach Migration

DocFraggle

Nein, das brauchst Du ja… sonst lass nochmal das update.sh Script laufen, vielleicht passt das noch was an. Oder schau mal in der mailcow.conf ob da was definiert ist

sax

DocFraggle

Das ./update.sh Script gibt immer noch den DNAT Extensions Fehler. In der mailcow.conf sind bezüglich NAT nur die auskommentierten SNAT zu finden.

Ich hänge die mailcow.conf mal an.

mailcow.txt

9kB

DocFraggle

Hier ist scheinbar eine große Diskussion dazu im Gange:

mailcow/mailcow-dockerized5735

Bei manchen hat es geholfen

DISABLE_NETFILTER_ISOLATION_RULE=y

zu setzen

sax

Danke dir, das hab ich gleich mal probiert, leider erfolglos. Der Fehler bleibt weiterhin.

DocFraggle

DocFraggle Ich kann Dir ehrlich gesagt gar nicht sagen ob mailcow aktuell überhaupt mit nftables funktioniert

Kann ich Dir inzwischen doch sagen… klar funktioniert es, denn ich habe gestern erst meine mailcow von einem Rocky 8 Server auf einen Debian 12 Server umgezogen. Ich habe zwar die ufw nicht aktiv weil auch gar nicht installiert, aber nftables ist drauf und wird auch genutzt:

root@mailserver:~# dpkg -l | grep nft
ii  libnftables1:amd64                                          1.0.6-2+deb12u2                 amd64        Netfilter nftables high level userspace API library
ii  libnftnl11:amd64                                            1.2.4-2                         amd64        Netfilter nftables userspace API library
ii  nftables                                                    1.0.6-2+deb12u2                 amd64        Program to control packet filtering rules by Netfilter project

Das hier sind die netfilter Log bei mir:

netfilter-mailcow-1  | # Warning: table ip nat is managed by iptables-nft, do not touch!
netfilter-mailcow-1  | # Warning: table ip filter is managed by iptables-nft, do not touch!
netfilter-mailcow-1  | # Warning: table ip6 nat is managed by iptables-nft, do not touch!
netfilter-mailcow-1  | # Warning: table ip6 filter is managed by iptables-nft, do not touch!
netfilter-mailcow-1  | Using NFTables backend
netfilter-mailcow-1  | Clearing all bans
netfilter-mailcow-1  | Initializing mailcow netfilter chain
netfilter-mailcow-1  | MAILCOW ip chain created successfully.
netfilter-mailcow-1  | MAILCOW ip6 chain created successfully.
netfilter-mailcow-1  | Setting MAILCOW isolation
netfilter-mailcow-1  | Watching Redis channel F2B_CHANNEL
netfilter-mailcow-1  | Whitelist was changed, it has 1 entries

Insofern muss man tatsächlich bei Dir nur mal debuggen was es mit der DNAT Extension auf sich hat.

Was genau für ein OS nutzt Du denn überhaupt? Ich glaub Du hast das nirgends geschrieben oder?

EDIT: doch hast Du, auch Debian 12. Hier mal zum Vergleich meine Kernel Version:

6.1.0-25-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.106-3 (2024-08-26) x86_64 GNU/Linux

sax

Genau, Debian 12.

Meine Kernel Version: 6.1.0 #1 SMP Wed Jul 12 12:00:44 MSK 2023 x86_64 GNU/Linux

Soll es wirklich daran liegen? Wie kann man sowas denn debuggen?

DocFraggle

Hmm, machst Du denn keine regelmäßigen Updates auf Deinem Server? Der ist ja schon ziemlich alt der Kernel…
Ich würde mal alles updaten und booten an Deiner Stelle (und vorher nftables wieder installieren)

sax

Doch eigentlich schon. Ich dachte, dass der Kernel mit upgedatet wird, wenn
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free
in der sources.list aufgeführt ist.

Ich gehe dazu wie folgt vor: https://linux-bibel.at/index.php/2024/07/20/debian-12-aktuelle-software-und-neuen-kernel-beziehen/

Leider aktualisiert sich der Kernel nicht (Reboot erfolgt).
Kann ein Kernelupdate auf einem Virtuellen Server durch den Hoster unterbunden werden?

DocFraggle

sax Kann ein Kernelupdate auf einem Virtuellen Server durch den Hoster unterbunden werden?

Also das wäre schon grob fahrlässig…

Schau doch mal welche Kernel bei Dir installiert sind:

dpkg -l | grep linux-image | grep signed

Dann checke mal welchen Kernel Grub per Default lädt, sollte 0 sein, also der oberste Kernel in der Grub COnfig (kommt im nächsten Schritt)

grep GRUB_DEFAULT /etc/default/grub

Und jetzt schaust Du in der grub.cfg welcher der oberste Kernel ist:

grep vmlinuz /boot/grub/grub.cfg

Der sollte der neuesten installierten Kernel Version entsprechen

sax

/etc/default/grub und /boot/grub/grub.cfg scheint es nicht zu geben… bei den beiden Befehlen kommt

no such file or directory

grep signed gibt nichts aus,

grep linux image gibt aus:

ii linux-image-6.10.11-zabbly+ 6.10.11-amd64-202409200859-debian12 amd64 Linux kernel, version 6.10.11-zabbly+

DocFraggle

Ach OK, Du hast da wohl einen Zabbly Kernel laufen, kenn ich mich jetzt spontan nicht damit aus was der so kann und an Modulen mitbringt… und Grub bentutz Dein Server auch nicht, kann ich Dir jetzt auch nicht sagen was Dein Provider da so installiert…

Bzgl des Zabby Kernels können natürlich die Probleme entstehen die Du oben beschreibst… frag doch sonst mal bei Deinem Hoster nach

DocFraggle

DocFraggle Ich korrigiere mich: Du hast einen Zabbly Kernel installiert aber nicht laufen, das hattest Du ja oben geschrieben. Ist die Frage was Dein System für einen Bootloader nutzt wenns nicht Grub ist, was für einen Hoster hast Du denn?

sax

Das hab ich gemacht und bin gespannt auf die Antwort. Ein KI-Bot hat mir bei meinem Hoster zwischenzeitlich schon diese Antwort ausgespuckt.

Wenn dann solche alten Kernel verwendet werden, sollte ich mir wohl einen anderen Hoster suchen… Du sagst ja selbst, dass es grob fahrlässig ist :-/

DocFraggle

Eieiei… ja, schön ist anders… was zahlst Du denn für Deine VM und wie ist die ausgestattet?

sax

Derzeit bin ich noch bei Contabo und zahle 16,-€ für

6 vCPU-Kerne
16 GB RAM
600 GB SSD
Vertragslaufzeit 1 Monat

Dort bin ich von der Performance allerdings unzufrieden (kürzlich erst zwei Tage Ausfall und auch ansonsten ziemlich lahm und wahrscheinlich zu viele virtuelle Server auf einem Host) und wollte deswegen wechseln zu Alfahosting.
Bei Alfahosting bekommt man für 19,99€

6 CPU vCore
750 GB SSD-Speicherplatz
16 GB Arbeitsspeicher
Vertragslaufzeit 1 Monat
… aber eben leider auch einen alten Kernel :-)

Soeben erhielt ich auch eine Antwort auf meine Anfrage von Alfahosting. Diese lautet:

eine Aktivierung des benötigten Moduls ist leider nicht möglich, da die Plattform derzeit überarbeitet wird.

Welchen Server bei Hetzner kannst du denn empfehlen?

DocFraggle

Ich habe für Mailcow einen CX42 Server

8 vCPUs
16 GB RAM
160GB SSD

Bin schon seit 12 Jahren Hetzner Kunde und hatte da anfangs Dedicated Root Server, aber die Cloud VMs sind Top, auch was die vielen Zusatz-Features angeht. Ist natürlich deutlich weniger SSD als Deine oben, aber mir reicht das.

Was man bei Hetzner als Neukunde allerdings beachten muss: Port 25 ausgehend ist die ersten 30 Tage gesperrt, man muss da dann ein Formular ausfüllen um es freizuschalten. Die hatten extreme Probleme mit SPAMmern, und die Hetzner Netze waren regelmäßig auf Blacklisten deswegen. Seitdem sie das so machen ist Ruhe.

https://docs.hetzner.com/de/cloud/servers/faq/#warum-kann-ich-keine-mails-von-meinem-server-verschicken

sax

DocFraggle
Dann werde ich mich da gern mal nach einem neuen Vertrag umschauen. Mit 160GB komme ich tatsächlich nicht hin, da ich schon 10 familiäre Mailboxen á 25 GB betreibe. Aber ich sehe grad, dass man skalierten Speicher zubuchen kann.

Ich überlege gerade, ob ich den Port 25 unbedingt brauche. Ich meine, in meinen Mail-Apps wird doch immer 587 verwendet und bei Exchange auch?

Gibt’s denn Kunden-werben-Kunden, wenn ja kann ich dich gern angeben? :-)

PS: Alfahosting hatte ich ursprünglich wegen des Rechenzentrums favorisiert. Diese hosten m.W.n. im Datacenter Leipzig / Taucha, welches durch envia TEL betrieben wird, mit der ich durchweg positive Erfahrungen habe. Diese betreiben auch einen der drei deutschen DE-CIX am Standort.
Nützt nur nichts, wenn man bei Alfahosting alte Kernel nicht selbst aktualisiert kann. Was ich aber positiv werten muss: Der Support antwortet unglaublich schnell.

DocFraggle

sax dass man skalierten Speicher zubuchen kann

Ja, das sind zwei Clicks 🙂 Wenn Du das machst solltest Du das natürlich vor der Docker Installation schon unter /var/lib/docker/volumes mounten, nur so als Hinweis 🙂 und Du kannst das dann auch jederzeit mit einem Click erweitern wenns eng werden sollte.
Zusätzlich gibts da die schon erwähnte Firewall die man vor die Serverschalten kann, auch total easy.

Und Du könntest dann auch Deinen bestehenden Contabo Server erst mal als Relay verwenden bis die 30 Tage um sind

sax ob ich den Port 25 unbedingt brauche

Ja klar, Mailserver zu Mailserver geht über Port 25

sax

Jetzt ist der gewünschte doch tatsächlich auch noch ausverkauft bzw. gibt keine freien Ressourcen :-)

Hetzner hat aber auch tolle Dedicated Angebote in der “Börse”. Da könnte man sich mit einem Dedicated und Proxmox selbst eine Virtualisierung schaffen. Aber auf Proxmox per LXC wird Mailcow vermutlich ja auch scheitern (meine ich gelesen zu haben).

Da heißt es wohl… Geduld haben und warten auf neue Ressourcen bei Hetzner.

DocFraggle

Helsinki ist er verfügbar, wenn Dich das nicht stört zumindest. Hats die VM schön kühl 😃

« Previous Page Next Page »