Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Port 21 auf ner FortiGate 60C

Mitglied: littleguitar

littleguitar (Level 1) - Jetzt verbinden

01.11.2010 um 03:00 Uhr, 6157 Aufrufe, 8 Kommentare

Hallo zusammen,

ich bin freiberuflich im Bereich Netzwerk und Systemadministration zuständig und in letzter Zeit etwas verstärkt mit den Appliances von Fortinet betreut. Da hab ich in der Arbeit mit den Geräten eine für mich etwas merkwürdige Beobachtugn gemacht aber wohlmöglich hab ich auch anderweitig etwas übersehen.

Undzwar möchte ich ganze gerne Port21 forwarden um den FTP unserer NAS im eigens dafür eingerichteten VLAN von außen ansprechbar zu machen. Kurios ist für mich erstmal das ich leider den Port21 nicht offen bekomme egal was ich veranstalte.
Ich kann diverse Ports öffnen so beispielsweise Port 22 oder wahlweise auch andere und verifiziere ob diese geöffnet sind mittels diverser Postscanner. Dazu lasse ich dann jeweils testweise einen Dienst auf dem jeweiligen Port lauschen und weigesagt bei Port21 verweigert mir die Forti das Forwarding als wenn irgendwo n Geisterdienst bereits auf diesem Port laufen würde. Eventuell habt ihr ja nen Tip für mich denn im Augenblick steh ich da gewissermaßen vor einem Rätsel.
Mitglied: StefanKittel
01.11.2010 um 07:43 Uhr
Moin,

erscheint denn eine Fehlermeldung?
Außerdem mußt Du bedenken, dass Du für FTP nicht nur den Kontroll-Port 21 benötigst sondern auch die Datenports. Diese werden dynamisch vom FTP Server vergeben, der dazu auch Deine öffentliche IP wissen muss.

Stefan
Bitte warten ..
Mitglied: aqui
01.11.2010 um 08:53 Uhr
FTP besteht immer aus 2Ports !! TCP 20 und TCP 21 ! Vermutlich tappst du in diese Falle ?!
Nur mit 21 kannst du arbeiten wenn deine Clients FTP im Passive Mode Supporten.
http://slacksite.com/other/ftp.html
Bitte warten ..
Mitglied: StefanKittel
01.11.2010 um 10:59 Uhr
"The confusion begins however, when we find that depending on the mode, the data port is not always on port 20. "
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 11:47 Uhr
Möglicherweise hab ich mich etwas missverständlich ausgedrückt. Das aktiv FTP mehr als nur Port 21 zur Kommuikation benötigt ist mir schon klar aber das ist nicht die Crux in der Sache.
Denn als ich mich gestern damit beschäftigt habe eben weil ich permanent ein Connection Refused vom FTP Client bekam bei dem Versuch mich mit dem FTP Server der NAS zu verbinden ist mir eben aufgefallen das ich Port21 ganz explizit nicht geöffnet bekomme. Wenn ich den Serverport des FTP Servers hingegen ändere auf sagen wir 60000 bekomme ich passiv auch die Verbindung bei entsprechender Änderung der Virtual IP Einstellung in der Fortigate.

Woran es scheitert ist das wenn ich Port21 forwarde ich ja zumindest in der Lage sein sollte den offenen Zustand des Ports über einen der vielen Portscanner zu verifizieren. Leider aber ist Port21 immer dicht wohingegen ich bei dem Versuch andere Ports zu öffnen die entsprechende Bestätigung über den Portscanner erhalte das diese von außen erreichbar sind. Das ist es halt was ich nicht verstehe denn die FTP Verbindung als solche ist ja noch einen Schritt weiter aber das Port21 sich absolut nicht öffnen lässt als wäre der Port in irgendeiner Art und Weise belegt bereitet mir Kopf zerbrechen.
Bitte warten ..
Mitglied: aqui
01.11.2010 um 13:29 Uhr
Dann hast du ganz klar ein Problem auf der Fortigate, das die diesne Port nicht forwardet. Eine andere Schlussfolgerung kann es nicht geben !

Was klar sein muss sind folgende Fakten:
  • Das NAS muss zwingend den FTP Passive Mode supporten !
  • Der FTP Client muss zwingend den FTP Passive Mode supporten ! Gut zum Test sind z.B. der Firefox Browser mit ftp://... im URL Fenster denn der nutzt immer den Passive Modus !
  • Der FTP Zugang sollte zwingend vorher im lokalen Netz direkt am NAS getestet werden im Passive Mode um sicherzugehen das das NAS Passive Mode kann.

Kannst du diese 3 Punkte sicher ausschliessen hast du entweder ein Konfig Problem oder einen Bug auf der Fortigate. Zu vermuten ist eher ersteres...
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 14:03 Uhr
So Entwarnung ich habs mittlerweile lösen können. Ich hab mal die Konfiguration der FritzBox überprüft an die die Forti als Exposed Host (DMZ) angebunden ist. Nach dem letzten Firmware Update der Fritze hat sich ein neues Feature eingeschlichen das NAS ähnliche Dienste bereitstellt darunter eben auch FTP und aufgrund dessen war Port 21 belegt *seufz*

Nun jetzt funktioniert die Verbindung wenn ich Port21 an der Forti weiterreiche ohne Probleme. Ich hätte allerdings ganz gerne Explicit Secure FTP aktiviert und dabei verweigert mir der FTP die Verbindung mit der Fehlermeldung
"Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." danach dann Timeout.

Hier hab ich offenbar noch n Fehler drin. Explicit Secure FTP läuft doch nach wie vor über Port21. Also müsste ich doch im Prinzip lediglich Port20,21 und ggf. den vorher festgelegten PASSIV Portrange an die NAS über die Forti forwarden oder fehlt noch etwas?
Bitte warten ..
Mitglied: aqui
01.11.2010 um 14:30 Uhr
Vergiss doch die doofe FB und konfiguriere die nur als dummes Modem (PPPoE Passthrough) oder kaufe dir ein nur DSL Modem !
Damit ersparts du dir die sinnvole PFW Frickelei mit einem Router davor.
Die Fortigate kann doch selber PPPoE direkt und da macht ein kompletter Router davor doch gar keinen Sinn !
Ein simples Modem oder die FB im PPPoE Passthrough Modus erleichtert dir das Leben ungemein !


Wenns das denn war bitte
https://www.administrator.de/index.php?faq=32
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 14:41 Uhr
Viel mehr macht sie ja auch nicht. Die FritzBox wählt die PPPoE Verbindung dafür taugt se auch ganz gut reicht aber alles ungefilter an die Forti weiter. Die FritzBox nennt das Exposed Host ist aber nich viel anders als würde man die Forti an eine DMZ hängen. Hat denn jemand noch n Tip bezüglich Secure FTP Explicit? Weil sonst mach ich wie von dir gefordert zu und bezeichen das hier als gelöst

Danke schonmal.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Fortigate 60C: Port Forwarding mittels virtueller IP funktioniert nicht mehr

gelöst Frage von nextizedRouter & Routing9 Kommentare

Liebe Administratoren Vor kurzem wurde bei einem unserer Kunden die Public Domain (example.com) auf einen neuen Anbieter transferiert. Die ...

Firewall

(Fortigate 60C) VPN - IPSec (over L2TP) ohne FortiClient einrichten

Frage von fr3ttchenFirewall

hallo zusammen, ich versuche seit tagen auf unserer fortigate 60c ein ipsec-vpn einzurichten - eben ohne die benutzung des ...

Router & Routing

Fortigate ipsec

Frage von meister00Router & Routing5 Kommentare

hallo, ich habe folgendes Problem. ich möchte von einem aussenstandort einen Server in unsere Domäne einbinden. habe mit 2 ...

Router & Routing

Fortigate 30d

gelöst Frage von meister00Router & Routing1 Kommentar

hallo ich habe eine fortigate 30d die bei uns als verteiler fungiert. sie ist auf transparent konfiguriert und unser ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 5 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 8 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...