Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco router und passive ftp und exposed host

Frage Netzwerke Router & Routing

Mitglied: eidedequde

eidedequde (Level 1) - Jetzt verbinden

19.11.2012, aktualisiert 14:13 Uhr, 2586 Aufrufe, 12 Kommentare

folgendes setup:
cisco router incl modem mit fester ip
lokaler passiver ftp dienst server.2
lokaler server server.3

kann das so funktionieren?

!fuer exposed server
"ip nat inside source static tcp 192.168.178.3 interface Dialer1"

!fuer passive ftp port range 5500-5505 data port fuer ftp
"ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21"
"ip nat inside source static tcp 192.168.178.2 5500 interface Dialer1 5500"
"ip nat inside source static tcp 192.168.178.2 5501 interface Dialer1 5501"
"ip nat inside source static tcp 192.168.178.2 5502 interface Dialer1 5502"
"ip nat inside source static tcp 192.168.178.2 5503 interface Dialer1 5503"
"ip nat inside source static tcp 192.168.178.2 5504 interface Dialer1 5504"
"ip nat inside source static tcp 192.168.178.2 5505 interface Dialer1 5505"


der router ist auch auf den clients als dns eingetragen also warum sollte dann noch
"ip nat inside source static udp 192.168.178.6 53 interface dialer1 53"

mit eingetragen werden?

danke und vg ;)
Mitglied: MrNetman
19.11.2012 um 14:03 Uhr
Cisco 800er Serie oder RV04 oder Linksys ???
Auch bei Cisco haben viele Entwicklungsstellen ihre eigene Syntax und die kann sich auch noch über die Generationen verändern.
Außerdem gibt es noch die Möglichkeit, dass ein Teil der Konfiguration korrekt aussieht, sie aber trotzdem nicht funktioniert, da andere Konfigurationen nicht passend sind.

Details bitte.
zu Hardware
Istzustand
und Ziel.

-- und wenns geht, so geschrieben, dass es normal Sterbliche lesen können

Gruß
Netman
Bitte warten ..
Mitglied: eidedequde
19.11.2012 um 14:09 Uhr
es ist ein cisco 866vae. dieser hat vom isp eine feste ip bekommen.
im lokalen netz hängen ein sbs 2011 welcher den passive ftp service bereitstellt und ein weiterer server welcher am besten in einer dmz oder eben einfach als exposed host betrieben werden soll. ich möchte also von extern auf den ftp dienst und auf den zweiten server zugreifen können.
Bitte warten ..
Mitglied: aqui
19.11.2012 um 14:58 Uhr
Nein, das funktioniert vermutlich so nicht, denn du kannst die FTP Ports auf einem FTP Server nicht so einfach verbiegen.
Lies dir am besten erstmal durch wie passive FTP funktioniert:
http://slacksite.com/other/ftp.html

Du kannst sehen das der Client eine Command Session auf TCP 21 eröffnet, Daraufhin eröffnet der Server selber die Datasession und gibt seinen Port mit.
Es reicht als im statischen NAT TCP 21 freizugeben und auf die lokale IP Adresse des FTP Servers zu forwarden.

Funal kann man deine Frage so oder so nicht benatworten, da man deine Internet Port Konfiguration nicht kennt. Arbeitest du mit einem Firewall Image und Content Base ACLs musst du ggf. noch ein "FTP Loch" in deine Firewall bohren.
Eine solche Konfiguration zeigt dir das folgende Tutorial:
http://www.administrator.de/contentid/179345

Nimmt man das als Grundlage und ist der Server die .100 im lokalen LAN dann müsste die CB ACL noch folgenden Eintrag haben um passive FTP von außen zuzulassen:
access-list 111 permit tcp any eq 21 any
Dann sollte ein statisches NAT Statement reichen: (bezogen jetzt auf deine Konfig !)
ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21
Bitte warten ..
Mitglied: eidedequde
19.11.2012 um 15:36 Uhr
als ftp server ist wie gesagt ein sbs 2011 mit iis7 die grundlage. dort kann man festlegen welche dataports benutzt werden sollen für passive ftp.
der router selbst hat leider nur ein ipbasek9 image... also ohne firewall

config kommt dir vlt bekannt vor aqui ;)

Current configuration : 2071 bytes
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 866vae
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
wan mode dsl
no ipv6 cef
ip source-route
ip cef
!
crypto pki token default removal timeout 0
!
username admin privilege 15 secret 4 dwTHm/FTGA8.s31bG3o3WBlyw3O0lTtrwjiIXBiLoYU
!
!
controller VDSL 0
operating mode vdsl2
!
no ip ftp passive
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description vdsl internet verbindung
encapsulation dot1Q 7
no ip route-cache
no cdp enable
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description lokales netz
ip address 192.168.178.6 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer1
description dial in t-online vdsl business
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname feste-ip11/benutzername@t-online-com.de
ppp chap password 0 123456
ppp pap sent-username feste-ip11/benutzername@t-online-com.de password 0 123456
ppp ipcp dns request
ppp ipcp mask request
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
!
access-list 103 permit ip 192.168.178.0 0.0.0.255 any
!
dialer-list 1 protocol ip list 103
!
no cdp run
!
control-plane
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 60000 1000
end
Bitte warten ..
Mitglied: aqui
19.11.2012, aktualisiert um 16:42 Uhr
Ja...kommt irgendwie bekannt daher....
OK, wenn du den Port wirklich selber bestimmen kannst ist ja gut. Das solltest du aber immer erst absolut wasserdicht im lokalen LAN austesten !
Bedenke das der FTP Prozess immer aus 2 TCP Ports besteht. Wichtig für den Zugriff von außen ist nur der Command Port. Der Data Port wird vom Server aufgebaut bei Passive.
Dann kannst du das erstmal mit einem Schrotschuss Static NAT austesten NAT das keine Port Begrenzung macht ala:
ip nat inside source static 192.168.178.2 interface dialer 1
Das setzt erstmal alles um und entspräche dann einer "exposed Host" Konfiguration. Wenn das dann klappt, wovon auszugehen ist, dann setzt du das auf deinen umgebogenen FTP Port um sofern du den NAT Prozess auf diese FTP Ports beschränken willst.
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
Noch besser ist du richtest dir auf dem Cisco ein VPN ein (3 Zeiler und Konfig steht im Tutorial) dann hast du den Prozess mit Löcher bohren in die NAT Firewall gar nicht erst und gehst auf Nummer sicher...
Bitte warten ..
Mitglied: eidedequde
19.11.2012, aktualisiert um 16:50 Uhr
ok werde ich morgen testen.
das allgemeine ziel ist eben:
192.168.178.2 als ftp passive service
und
192.168.178.3 als exposed host zu betreiben wie es vorher mit einer fritzbox auch möglich war ;)

heute morgen hatte ich bereits
ip nat inside source static 192.168.178.3 interface dialer 1
versucht aber dann konnte man auf einmal keine namensauflösung von innen nach außen mehr betreiben.
ist das szenario so überhaupt möglich?

also grob gesagt möchte ich alles was von extern kommt mit ftp 21 an den einen server 178.2 geht und alles andere von extern an den anderen server 178.3
Bitte warten ..
Mitglied: aqui
19.11.2012 um 16:54 Uhr
OK dann hast du 2 statische NAT Statements drin:
ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. Und
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
dann nur für den FTP Host.
Fertig ist der Lack.
Debug NAT paket ist dein Freund wenns Probleme gibt
Bitte warten ..
Mitglied: eidedequde
19.11.2012, aktualisiert um 17:02 Uhr
ip nat inside source static 192.168.178.3 interface dialer 1
genau das hatte ich heute morgen aber dann konnten die clients im lokalen netz keine websiten mehr auflösen

sollte ich dann zusätzlich noch so etwas mit einfügen?
ip nat inside source static udp 192.168.178.6 53 interface dialer1 53

178.6 ist der router
Bitte warten ..
Mitglied: eidedequde
20.11.2012 um 08:25 Uhr
Zitat von aqui:
ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. ...


das habe ich gerade gemacht aber dann funktionierte kein ping mehr auf zb administrator.de ;)
ein einfaches negieren dieses statements funktionierte auch nicht und ich hab fix ein reload gemacht.
Bitte warten ..
Mitglied: eidedequde
20.11.2012, aktualisiert um 14:21 Uhr
kann mir da noch einer evtl einen tip geben?

also hier noch einmal die config. router ist gateway und dns bei den clients.
sobald ich ip nat inside source static 192.168.178.3 interface dialer 1 abschicke geht kein ping mehr etc


Building configuration...

Current configuration : 2304 bytes
!
! Last configuration change at 13:04:20 UTC Tue Nov 20 2012 by admin
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 866vae
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
wan mode dsl
no ipv6 cef
ip source-route
ip cef
!
crypto pki token default removal timeout 0
!
username admin privilege 15 secret 4 dwTHm/FTGA8.s31bG3o3WBlyw3O0lTtrwjiIXBiLoYU
!
controller VDSL 0
operating mode vdsl2
!
no ip ftp passive
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description vdsl internet verbindung
encapsulation dot1Q 7
no ip route-cache
pppoe-client dial-pool-number 1
no cdp enable
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description lokales netz
ip address 192.168.178.6 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer1
description dial in t-online vdsl business
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat inside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname feste-ip11/benutzername@t-online-com.de
ppp chap password 7 12345
ppp pap sent-username feste-ip11/benutzername@t-online-com.de password 7 12345
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer1 overload
!
access-list 23 permit 192.168.178.0 0.0.0.255
access-list 103 permit ip 192.168.178.0 0.0.0.255 any
dialer-list 1 protocol ip list 103
!
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 60000 1000
end
Bitte warten ..
Mitglied: aqui
21.11.2012, aktualisiert um 12:09 Uhr
Da machst du dann wieder grundsätzlich etwas falsch !!
Ein
"no ip nat inside source static 192.168.178.3 interface dialer 1 "
Entfernt das static NAT wieder !!
Und...administrator.de kannst du grundsatzlich nicht anpingen !! Die filtern ICMP Pakete !!
Nimm also bitte heise.de oder spiegel.de für den Test !
Bitte warten ..
Mitglied: eidedequde
21.11.2012 um 13:51 Uhr
ein ping auf heise.de habe ich auch gemacht... wollte nur keine werbung oder sonstiges machen ;)
und ein
no ip nat inside source static 192.168.178.3 interface dialer 1
habe ich gemacht weil nachdem ich
ip nat inside source static 192.168.178.3 interface dialer 1
gemacht habe kein ping oder sonstiges funktionierte.

ich bin jetzt dabei das ganze noch einmal zeile für zeile mit deinem beispiel zu vergleichen und meld mich ggf. noch einmal.
meine frage wäre ja nur warum ein wie obiges statisches nat alles zum zusammenbruch bringt?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
VoIP hinter Cisco Router (23)

Frage von PharIT zum Thema Router & Routing ...

Netzwerkmanagement
SSH auf Cisco Router aktivieren, allerdings ohne line vty (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Cisco Router C886VAJ-K9 WLAN? (19)

Frage von oce zum Thema Router & Routing ...

Router & Routing
Übungen zu Cisco Router Konfiguration (3)

Frage von M.Marz zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...