flashmind
Goto Top

Welcher Router für meine Funktion !?

Hallo, habe hier ein Problem zu lösen an welchem ich schon seit einer gute Woche Verzweifel !

Die Konstallation die ich erreichen muss ist folgende:

eine feste Ip vom Anbieter (zbs. 82.xxx.xxx.100) die soll in einen Router an WAN1 gehen, dann müsste ich dem Router folgende Weiterleitung eingeben können die wäre auf zwei LAN-Ports und auf eine interne Adresse (zbs. 192.xxx.xxx.10 + 192.xxx.xxx.20) !

Unterscheidung der beiden Server nehme ich anhand von mir vergebenen Ports = 5000 für 192.xxx.xxx.10 und 5500 für 192.xxx.xxx.20

Das heisst wenn ich den ersten Server anfahren möchte gebe ich 82.xxx.xxx.100:5000 an mit der Idee, das dann der Router mich weiterleitet auf 192.xxx.xxx.10:5000

Und beim zweiten Server dann 82.xxx.xxx.100:5500 auf 192.xxx.xxx.20:5500

Das Funktioniert alles auch soweit mit verschiedenen Routern die ich hier auch teste, 1.Netgear FVS336G oder tp-link TL-R600VPN oder ZYXXEL USG40-2 alle Funktionieren mit Virituellen Servern, welchers auch funktioniert !

Als Viritueller Server bsp. Interface = WAN1 (82.xxx.xxx.100) External Port: 5000 / Internal Port: 5000 = Internal Server IP = LAN1 (192.xxx.xxx.10) geht Wunderbar (Läuft über eine Weboberfläche vom Explorer).

Jetzt kommt das eigentliche Problem da ich auch mit Filezilla zugreifen muss (eigentlich egal, kann auch ein andere FTP-Client sein), da aber FTP immer nach Port 21 geht habe ich das folgend versucht zu lösen:

Ich habe dem FTPserver einen anderen Port gegeben (wie auch bei der oben beschriebenen Weise), also für Server 1 intern = 192.xxx.xxx.10:50000 und Server 2 intern = 192.xxx.xxx.20:55000 !
aber nun geht es los auf allen Routern kann ich komischerweise nicht mit Virituellen Serven Arbeiten, da die wohl das FTP Protokoll nicht weiterrreichen, somit habe ich nach langen Probieren es hinbekommen die sogenannte One-to-One NAT zu verwenden indem ich folgende zwei Zeilen eingegeben habe:

1. Interface = WAN1 / Original IP 192.xxx.xxx.10 / Translated IP 82.xxx.xxx.100 / DMZ Forwarding = Enabled
2. Interface = WAN1 / Original IP 192.xxx.xxx.20 / Translated IP 82.xxx.xxx.100 / DMZ Forwarding = Enabled

Jetzt Funktioniert immer nur ein Zugang über FTP-Client das heisst habe ich beide Aktiv dann bekomme ich auf beiden Adressen Verbindungserror, dieses kann ich nur umgehen indem ich entweder 1 oder 2 Abschalte, dann kann ich immer mit jeweils dem zweiten Aktiven FTP in Verbindung gehen.

Ich weiss einfach nicht mehr weiter, hat noch Jemand eine Idee welcher Router ausser die drei genannten das kann !?

Ich hab auch was gelesen von Cisco Router der das Protokoll PAT haben soll !?

Ich will einfach verhindern jetzt alle Geschäfte mit Routern Leerzukaufen um zu sehen welcher Funktioniert !?

Content-Key: 371963

Url: https://administrator.de/contentid/371963

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: tikayevent
Lösung tikayevent 23.04.2018 um 20:52:06 Uhr
Goto Top
Das Problem liegt bei dir nicht am Router, sondern an der Eigenheit von FTP. Es gibt besagten Port 21 für die Übermittlung von Befehlen an den FTP-Server, aber je nach Modus (Aktiv oder Passiv) baut der FTP-Server eine Datenverbindung zum Client auf (Aktiv-Modus, wird seit DSL und NAT nicht mehr groß verwendet) oder der Server meldet über den Kontrollkanal einen zufälligen Port, zu dem der Client seine Datenverbindung aufbauen soll.

Damit deine Konstruktion läuft, hast du mehrere Möglichkeiten:

1. Du besorgst dir einen Internetzugang mit mehr als einer IP-Adresse (sauberste Lösung)
2. Wenn die Clients definitiv ohne NAT und Firewall im Internet unterwegs sind, arbeite im aktiven Modus, in dem der Server die Datenverbindung aufbaut
3. Du konfigurierst beide FTP-Server so, dass die nur einen begrenzten Pool an Ports für den Datenkanal haben, der dann auch entsprechend an die Server weitergeleitet werden müssen
4. Du verwendest statt FTP ein alternatives Protokoll, welches nicht mit einem Datenkanal arbeiten muss, scp z.B.

Bei Cisco wird das PAT genannt, was viele andere Router mit NAT bezeichnen. NAT bezeichnet eigentlich die 1:1-Übersetzung einer IP aus dem einen Bereich auf eine IP aus einem anderen Bereich. NAT bei irgendwelchen Plastikbriefbeschwerern ist, dass man viele Clients an, die alle hinter einer oder wenigen IP-Adressen versteckt werden und die Zuordnung der Sitzungen anhand der TCP- oder UDP-Ports erfolgt.
Mitglied: flashmind
flashmind 23.04.2018 aktualisiert um 22:57:05 Uhr
Goto Top
Danke für die Antwort !

Dann Denke ich werde ich das nicht so einfach lösen können, denn ich habe leider nur eine Zugans IP vom Anbieter, da in meinen jetzigen Routern das FTP nicht per Virituellen Server weitergeleitet wird (weder als aktiv noch als Passiv) fällt das weg, hab ich Verstanden.

So zu dem das ich ports im FTP Server einschreken soll kann ich machen zbs. 50000-50100 nur kann ich das in meinen Routern nicht angeben.

In dem NAT One-One kann ich zwar die Externe und die Interne IP Angeben aber leider keinen Portrange wie bei den Virituellen Servern das heisst in diesem Falle kann ich nur (welches ich auch aktiviert habe) DMZ Portweiterleitung für NAT One-One, das scheint aber nicht so zu Funktionieren, denn wenn ich das mache kann zwar wie gesagt der eine oder andere FTP Server angefahren werden, jedoch Crasht das dann mit den WEB Port zugängen 5000 und 5001 im Virituellen Server, dann Fallen dort die Verbindungen aus.

Ich dachte vielleicht das es auch an den Routern liegt, weil es gibt ja auch Qualitativ und Preislich teurere Router wo ich davon Ausgehe, das die auch mehr können und vielleicht eher meine Funtkion können.

Laut dem Technischen Support zbs. von tp-Link sollte meine Sache eigentlich sehr einfach gehen. Und es scheint als ob ich entweder einen Denkfehler habe in meinem Aufbau oder irgendetwas sich in den Routern Kabbelt. Und was mir noch einfällt zu den Qualitativ höherpreislichewn Routern ist das es vielleicht dort eine andere Möglichkleit gibt dann auch unter dem Virituellen Server nicht nur einen Spezifischen Port eingeben zu können, sondern vielleicht eine Portrange !?

Ich dachte an den CISCO RV320 :: CISCO RV320 Dual-Gigabit-WAN VPN-Router ! (Laut PDF Anleitung scheint der mehr Funktionen zu haben !?)
Mitglied: tikayevent
Lösung tikayevent 23.04.2018 um 23:30:11 Uhr
Goto Top
Sorry, aber scheinbar fehlt dir das grundlegende Verständnis, da du hier sehr viele Sachen durcheinander wirfst und deine Schreibweise ist auch nicht gerade hilfreich dabei.

So zu dem das ich ports im FTP Server einschreken soll kann ich machen zbs. 50000-50100 nur kann ich das in meinen Routern nicht angeben.
Das ist keine Funktion des Routers sondern du musst es bei deinen FTP-Servern einstellen. Und ehe du die ins Internet hängst, solltest du sowohl die FTP-Serversoftware als auch das darunterliegende Betriebssystem im Schlaf beherrschen und jederzeit in einen betriebssicheren Zustand bringen können.

Ja, dass man bei NAT 1:1 keinen Portbereich angeben kann liegt in der Sache der Natur. Dabei wird eine interne IP 1:1 auf eine externe IP umgeschrieben. Bedeutet, dass man bei 10 Computern im internen Netz auch mindestens 10 IP-Adressen im externen IP-Netz benötigt. Grundwissen NAT.

Es ist ansich egal, wie teuer oder billig der Router ist, so lange die Grundlegenden Funktionen da sind. Das was du willst, ist Standardprogramm, das Problem ist hier eher auf Layer8 zu sehen und lässt sich technisch nicht beheben.
Mitglied: flashmind
flashmind 23.04.2018, aktualisiert am 24.04.2018 um 00:00:38 Uhr
Goto Top
Danke !

Das wollte ich auch nur Wissen, das das Technisch unabhängig vom Router sich nicht Lösen lässt, das hab ich Verstanden laut deines letzten Satzes !

Dann brauche ich mir den Cisco nicht noch als weiteren Router zulegen und werde das Projekt aufgeben.

Habe schon ganz andere Probleme gelöst und kam hier spezifisch nicht weiter, somit liegt es dann nicht an mir !

Damit hat sich das dann für mich erledigt.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.04.2018 um 07:48:21 Uhr
Goto Top
Moin,

Du könntest für Dein vorhaben auch einfach einen reverse Proxy benutzen, sowohl für web als auch für ftp.

Dann mußt Du alles nur an den reverse proxy weiterleiten und der sorgt dann dafür daß der richtige Server angesprochen wird.

Es gibt Router, die das mit an Bord haben, aber ich würde Dir einen dedizierten proxy hinter dem Router anbieten. Notfalls tut das auch ein Raspberry Pi mit squid.

lks
Mitglied: aqui
aqui 24.04.2018 aktualisiert um 08:45:52 Uhr
Goto Top
Immer wieder die gleiche Leier mit Passive FTP. Hier kann man nachlesen warum man FTP so nicht über NAT bekommt und es wahrlich nichts mit dem Router zu tun hat. (Sogar mit Bildern !)
http://slacksite.com/other/ftp.html
oder rudimentär in Deutsch
https://www.hosteurope.de/faq/webhosting/hochladen-von-webinhalten-ftp/u ...
Fazit:
FTP über NAT nur mit Passive FTP und ohne Port Translation !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.04.2018 um 08:47:39 Uhr
Goto Top
Zitat von @aqui:

Fazit:
FTP über NAT nur mit Passive FTP und ohne Port Translation !

und auch nur zu einem Ziel hinter dem Router. face-smile

lks
Mitglied: flashmind
flashmind 24.04.2018 um 10:11:07 Uhr
Goto Top
WOW !

Ich kannte das Problem schon mit FTP, habe mir das aber nochmals Ausführlich im Link zu gemüte geführt !

Ich habe ja nicht das Problem per FTP über meine Externe IP über meine Routerprogrammierung auf dann meinen Clienten zuzugreifen ! Ich habe beide scenarios hinbekommen per Filezilla und der Routerprogrammierung im Passivmodus und auch im Aktivemodus !

Im Router Service Angegeben mit dem dazugehörigen Bereich für die Rückantwort des Clienten, und habe ebenfalls meinen FTP Clienten die Port-Rückantwort Programmiert. Das ich hier wohl alles dann richtig gemacht habe versteht sich von selbst als das ich ja mit Filezilla auf meine Serverstufe komme, und das entweder auf Stufe eins oder Stufe 2 - Keine Probleme - !!!!!

Wo mein Problem (oder vielleicht auch Denkfehler steckt ist), ich habe ja nun beide FTP Clienten einzeln zu laufen bekommen und auch dementsprechend beide Routerprogrammierungen ebenfalls so hinbekommen, das es läuft, nur wenn ich dann im Router beide Einträge aktiviere (die einzeln also einer Aktiv einer nicht und vice versa) ich Plötzlich keinen Zugriff mehr auf keinen der FTP's habe und von beiden einen ECONNerror bekomme. Obwohl ich die Ports weit genug auseinander habe.

Ich kann Obwohl ich den ECONNerror dann bekomme auf beide FTP Server zugreifen, (laut Netshark) bin ich auch in die Server den einen oder anderen eingeloggt, nur schicken mir denn die Server die Ordnerliste nicht mehr zurück, welches aber wie gesagt einwandfrei funktioniert, wenn ich nur den einen oder nur den anderen im Router freigebe !

Ich hatte das am Anfang wo ich begonnen hatte das ich garkeine Verbindung bekommen habe, dieses hat sich dann aufgelöst nachdem ich nach Anleitung von tp-link eine neue Betaversions Firmware auf den Router geladen habe, da mein tp-link router nicht nur das neuste Modell ist sondern die immer noch kleinigkeiten aus der neuen Firmware ausbügeln.

Deswegen hatte ich mir gedacht das es vielleicht auch an dem Router liegen kann, denn in dem schon von mir genannten Cisco Router hat man laut PDF Anleitung viele Funktionen mehr die ich in meinen Jetzigen Routern nicht habe.

Und desweitreren stellt sich ja für mich die Frage, wenn beide FTP's ja gehen (hab ich ja alles richtig gemacht) nur gehen die eben nicht wenn beide Programmierungen im Router Aktiv sind, dann kann das entweder halt noch ein Denkfehler von mir sein oder es liegt dann direkt am Router !
Mitglied: flashmind
flashmind 24.04.2018 um 15:16:42 Uhr
Goto Top
So habs endgültig GELÖST ! Puh.... war aber auch eine Geburt ! Der Entscheidende Tip von "Lochkartenstanzer" war der Ausschlag !

Erstmal hab ich einfach zu weit geschaut und das Grundlegendsde und einfachste Vergessen ! Zauberwort "PROXY"

Hab mir den Cisco RV320 sofort besorgt und mit diesem dann in der Programmierung es mit einem Proxy hinbekommen, das ich natürlich dann ebenfalls Filezilla das Angegeben habe ist klar und es geht ! Auf beide Server !

Dann hab ich auch im Cisco mal Testweise meine Nat Programmierung (im Cisco heisst das natürlich PAT) so eingeben wie ich das im tp-link eigegeben habe und auch hier Funktioniert alles Perfekt auch dann ohne Proxy und Sondereinstellungen in Filezilla. Durch die von mir vorher gut durchdachten Portfreigaben bereiche kann ich Passiv ebenso zugreifen wie Aktiv und das TSL Protokoll von FTP Verwenden !

Also das mit Layer 8 Problem hätte man sich sparen können, denn ich weiss was ich mache und dank so einer Erklärung von "Lochkartenstanzer" hat mich das auf den richtigen weg gebracht !

Habe auch schon diese Info an tp-link weitergeleitet die dieses jetzt durchgehen und dank meines Tip's dann das in der nächsten Firmware ändern ! Layer 8 Problem !? face-wink

Daaanke nochmals ! Tolles Forum !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.04.2018 um 15:22:20 Uhr
Goto Top
Zitat von @flashmind:

Erstmal hab ich einfach zu weit geschaut und das Grundlegendsde und einfachste Vergessen ! Zauberwort "PROXY"

Schön daß wir helfen konnten.

lks
Mitglied: aqui
aqui 24.04.2018 aktualisiert um 18:03:26 Uhr
Goto Top
Ich habe beide scenarios hinbekommen per Filezilla und der Routerprogrammierung im Passivmodus und auch im Aktivemodus !
Das ist glatt gelogen ! Dann wärst du ein Zauberer mit magischen Konfigs. Jedenfalls in einem NAT Umfeld ist das technisch unmöglich mit Active FTP. Das Flow Diagramm im Erklär URL oben erklärt ja auch eindeutig warum.
Wir reden hier nicht von normal gerouteten Umgebungen (ohne NAT) Das das da funktioniert muss man in einem Administrator Forum nicht noch extra bestätigen, das ist evident.
Port Translation funktioniert ebenfalls nicht mit FTP im Active Mode. In so fern ist das normal das es so nicht geht wie in deinen ersten Versuchen.
Aber egal...wenn du es ja nun mit oder ohne Proxy hingefrickelt bekommen hast ist ja alles bella face-wink