LDAP über VPN

Weble

Hallo,

ich habe meine Mailcow extern liegen. nun wollte ich unser lokales LDAP anbinden. Dazu nutze ich einen vorhanden VPN Tunnel auf das externe System. (Bisher hab ich die HASHES der LDAP Nutzer mit Mailcow alle 15 min. synchronisiert)

Leider klappt die LDAP Verbindung nicht “Connection failed”.

Einfache Tests:

Aus dem internen Netz:
ping <mailcow_vpn_ip>
-> antwortet
ping 172.22.1.1 (Mailcow Docker IP auf dem Host)
-> Antwortet
ping 172.22.1.6
-> Antwortet nicht

Vom Mailcow Host aus:
ping <ldap_ip>
-> Antwortet

aus dem docker netz heraus (docker compose exec php-fpm-…. /bin/bash)
ping 172.22.1.1
-> Antwortet
ping <vpn_ip>
-> antwortet
ping <vpn_ip_gateway>
-> antwortet nicht
ping <ldap_ip>
-> Antwortet nicht

schaut für mich so aus, als funktioniert hier das Routing nicht so richtig, gibt es hierbei einen Trick?

esackbauer

Je nachdem wie die Firewall ein ICMP (Ping Paket) überhaupt erlaubt, ist der Ping test nicht unbedingt aussagefähig.
Teste doch mit Telnet auf den Port vom LDAP Server.

DocFraggle

Was nutzt Du denn fürs VPN? Wireguard? Da kannst Du via AllowedIPs die Netze eintragen die über den Tunnel geroutet werden sollen. Ist da das Docker Netz mit drin? (auch wenn Du eine andere VPN Lösung nutzt gibts da ähnliche Optionen, Encryption Domain etc)

Weble

Ja ich nutze Wireguard, das Docker Netz ist in der AllowedIPs mit drin.
Telnet ist ebenso nicht möglich. (Nur aus dem Docker Netz heraus). Auf dem host funktioniert alles wunderbar. Firewall war für testzwecke auch auf der Strecke deaktiviert. Ich vermute hier eher das docker nicht rauskommt, ich sehe auch kein Traffic aus dem Docker Netz per tcpdump auf dem Wireguard Interface.

Routing ist auf dem Host auch aktiviert.

Ich werde das die Tage mal in einer frischen Mailcow Installation testen. Da lässt es sich einfacher experimentieren…