Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco router und passive ftp und exposed host

Frage Netzwerke Router & Routing

Mitglied: eidedequde

eidedequde (Level 1) - Jetzt verbinden

19.11.2012, aktualisiert 14:13 Uhr, 2722 Aufrufe, 12 Kommentare

folgendes setup:
cisco router incl modem mit fester ip
lokaler passiver ftp dienst server.2
lokaler server server.3

kann das so funktionieren?

!fuer exposed server
"ip nat inside source static tcp 192.168.178.3 interface Dialer1"

!fuer passive ftp port range 5500-5505 data port fuer ftp
"ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21"
"ip nat inside source static tcp 192.168.178.2 5500 interface Dialer1 5500"
"ip nat inside source static tcp 192.168.178.2 5501 interface Dialer1 5501"
"ip nat inside source static tcp 192.168.178.2 5502 interface Dialer1 5502"
"ip nat inside source static tcp 192.168.178.2 5503 interface Dialer1 5503"
"ip nat inside source static tcp 192.168.178.2 5504 interface Dialer1 5504"
"ip nat inside source static tcp 192.168.178.2 5505 interface Dialer1 5505"


der router ist auch auf den clients als dns eingetragen also warum sollte dann noch
"ip nat inside source static udp 192.168.178.6 53 interface dialer1 53"

mit eingetragen werden?

danke und vg ;)
Mitglied: MrNetman
19.11.2012 um 14:03 Uhr
Cisco 800er Serie oder RV04 oder Linksys ???
Auch bei Cisco haben viele Entwicklungsstellen ihre eigene Syntax und die kann sich auch noch über die Generationen verändern.
Außerdem gibt es noch die Möglichkeit, dass ein Teil der Konfiguration korrekt aussieht, sie aber trotzdem nicht funktioniert, da andere Konfigurationen nicht passend sind.

Details bitte.
zu Hardware
Istzustand
und Ziel.

-- und wenns geht, so geschrieben, dass es normal Sterbliche lesen können

Gruß
Netman
Bitte warten ..
Mitglied: eidedequde
19.11.2012 um 14:09 Uhr
es ist ein cisco 866vae. dieser hat vom isp eine feste ip bekommen.
im lokalen netz hängen ein sbs 2011 welcher den passive ftp service bereitstellt und ein weiterer server welcher am besten in einer dmz oder eben einfach als exposed host betrieben werden soll. ich möchte also von extern auf den ftp dienst und auf den zweiten server zugreifen können.
Bitte warten ..
Mitglied: aqui
19.11.2012 um 14:58 Uhr
Nein, das funktioniert vermutlich so nicht, denn du kannst die FTP Ports auf einem FTP Server nicht so einfach verbiegen.
Lies dir am besten erstmal durch wie passive FTP funktioniert:
http://slacksite.com/other/ftp.html

Du kannst sehen das der Client eine Command Session auf TCP 21 eröffnet, Daraufhin eröffnet der Server selber die Datasession und gibt seinen Port mit.
Es reicht als im statischen NAT TCP 21 freizugeben und auf die lokale IP Adresse des FTP Servers zu forwarden.

Funal kann man deine Frage so oder so nicht benatworten, da man deine Internet Port Konfiguration nicht kennt. Arbeitest du mit einem Firewall Image und Content Base ACLs musst du ggf. noch ein "FTP Loch" in deine Firewall bohren.
Eine solche Konfiguration zeigt dir das folgende Tutorial:
http://www.administrator.de/contentid/179345

Nimmt man das als Grundlage und ist der Server die .100 im lokalen LAN dann müsste die CB ACL noch folgenden Eintrag haben um passive FTP von außen zuzulassen:
access-list 111 permit tcp any eq 21 any
Dann sollte ein statisches NAT Statement reichen: (bezogen jetzt auf deine Konfig !)
ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21
Bitte warten ..
Mitglied: eidedequde
19.11.2012 um 15:36 Uhr
als ftp server ist wie gesagt ein sbs 2011 mit iis7 die grundlage. dort kann man festlegen welche dataports benutzt werden sollen für passive ftp.
der router selbst hat leider nur ein ipbasek9 image... also ohne firewall

config kommt dir vlt bekannt vor aqui ;)

Current configuration : 2071 bytes
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 866vae
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
wan mode dsl
no ipv6 cef
ip source-route
ip cef
!
crypto pki token default removal timeout 0
!
username admin privilege 15 secret 4 dwTHm/FTGA8.s31bG3o3WBlyw3O0lTtrwjiIXBiLoYU
!
!
controller VDSL 0
operating mode vdsl2
!
no ip ftp passive
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description vdsl internet verbindung
encapsulation dot1Q 7
no ip route-cache
no cdp enable
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description lokales netz
ip address 192.168.178.6 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer1
description dial in t-online vdsl business
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname feste-ip11/benutzername@t-online-com.de
ppp chap password 0 123456
ppp pap sent-username feste-ip11/benutzername@t-online-com.de password 0 123456
ppp ipcp dns request
ppp ipcp mask request
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
!
access-list 103 permit ip 192.168.178.0 0.0.0.255 any
!
dialer-list 1 protocol ip list 103
!
no cdp run
!
control-plane
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 60000 1000
end
Bitte warten ..
Mitglied: aqui
19.11.2012, aktualisiert um 16:42 Uhr
Ja...kommt irgendwie bekannt daher....
OK, wenn du den Port wirklich selber bestimmen kannst ist ja gut. Das solltest du aber immer erst absolut wasserdicht im lokalen LAN austesten !
Bedenke das der FTP Prozess immer aus 2 TCP Ports besteht. Wichtig für den Zugriff von außen ist nur der Command Port. Der Data Port wird vom Server aufgebaut bei Passive.
Dann kannst du das erstmal mit einem Schrotschuss Static NAT austesten NAT das keine Port Begrenzung macht ala:
ip nat inside source static 192.168.178.2 interface dialer 1
Das setzt erstmal alles um und entspräche dann einer "exposed Host" Konfiguration. Wenn das dann klappt, wovon auszugehen ist, dann setzt du das auf deinen umgebogenen FTP Port um sofern du den NAT Prozess auf diese FTP Ports beschränken willst.
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
Noch besser ist du richtest dir auf dem Cisco ein VPN ein (3 Zeiler und Konfig steht im Tutorial) dann hast du den Prozess mit Löcher bohren in die NAT Firewall gar nicht erst und gehst auf Nummer sicher...
Bitte warten ..
Mitglied: eidedequde
19.11.2012, aktualisiert um 16:50 Uhr
ok werde ich morgen testen.
das allgemeine ziel ist eben:
192.168.178.2 als ftp passive service
und
192.168.178.3 als exposed host zu betreiben wie es vorher mit einer fritzbox auch möglich war ;)

heute morgen hatte ich bereits
ip nat inside source static 192.168.178.3 interface dialer 1
versucht aber dann konnte man auf einmal keine namensauflösung von innen nach außen mehr betreiben.
ist das szenario so überhaupt möglich?

also grob gesagt möchte ich alles was von extern kommt mit ftp 21 an den einen server 178.2 geht und alles andere von extern an den anderen server 178.3
Bitte warten ..
Mitglied: aqui
19.11.2012 um 16:54 Uhr
OK dann hast du 2 statische NAT Statements drin:
ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. Und
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
dann nur für den FTP Host.
Fertig ist der Lack.
Debug NAT paket ist dein Freund wenns Probleme gibt
Bitte warten ..
Mitglied: eidedequde
19.11.2012, aktualisiert um 17:02 Uhr
ip nat inside source static 192.168.178.3 interface dialer 1
genau das hatte ich heute morgen aber dann konnten die clients im lokalen netz keine websiten mehr auflösen

sollte ich dann zusätzlich noch so etwas mit einfügen?
ip nat inside source static udp 192.168.178.6 53 interface dialer1 53

178.6 ist der router
Bitte warten ..
Mitglied: eidedequde
20.11.2012 um 08:25 Uhr
Zitat von aqui:
ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. ...


das habe ich gerade gemacht aber dann funktionierte kein ping mehr auf zb administrator.de ;)
ein einfaches negieren dieses statements funktionierte auch nicht und ich hab fix ein reload gemacht.
Bitte warten ..
Mitglied: eidedequde
20.11.2012, aktualisiert um 14:21 Uhr
kann mir da noch einer evtl einen tip geben?

also hier noch einmal die config. router ist gateway und dns bei den clients.
sobald ich ip nat inside source static 192.168.178.3 interface dialer 1 abschicke geht kein ping mehr etc


Building configuration...

Current configuration : 2304 bytes
!
! Last configuration change at 13:04:20 UTC Tue Nov 20 2012 by admin
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 866vae
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
wan mode dsl
no ipv6 cef
ip source-route
ip cef
!
crypto pki token default removal timeout 0
!
username admin privilege 15 secret 4 dwTHm/FTGA8.s31bG3o3WBlyw3O0lTtrwjiIXBiLoYU
!
controller VDSL 0
operating mode vdsl2
!
no ip ftp passive
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description vdsl internet verbindung
encapsulation dot1Q 7
no ip route-cache
pppoe-client dial-pool-number 1
no cdp enable
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description lokales netz
ip address 192.168.178.6 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer1
description dial in t-online vdsl business
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat inside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname feste-ip11/benutzername@t-online-com.de
ppp chap password 7 12345
ppp pap sent-username feste-ip11/benutzername@t-online-com.de password 7 12345
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer1 overload
!
access-list 23 permit 192.168.178.0 0.0.0.255
access-list 103 permit ip 192.168.178.0 0.0.0.255 any
dialer-list 1 protocol ip list 103
!
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 60000 1000
end
Bitte warten ..
Mitglied: aqui
21.11.2012, aktualisiert um 12:09 Uhr
Da machst du dann wieder grundsätzlich etwas falsch !!
Ein
"no ip nat inside source static 192.168.178.3 interface dialer 1 "
Entfernt das static NAT wieder !!
Und...administrator.de kannst du grundsatzlich nicht anpingen !! Die filtern ICMP Pakete !!
Nimm also bitte heise.de oder spiegel.de für den Test !
Bitte warten ..
Mitglied: eidedequde
21.11.2012 um 13:51 Uhr
ein ping auf heise.de habe ich auch gemacht... wollte nur keine werbung oder sonstiges machen ;)
und ein
no ip nat inside source static 192.168.178.3 interface dialer 1
habe ich gemacht weil nachdem ich
ip nat inside source static 192.168.178.3 interface dialer 1
gemacht habe kein ping oder sonstiges funktionierte.

ich bin jetzt dabei das ganze noch einmal zeile für zeile mit deinem beispiel zu vergleichen und meld mich ggf. noch einmal.
meine frage wäre ja nur warum ein wie obiges statisches nat alles zum zusammenbruch bringt?
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Batch passives FTP upload
gelöst Frage von weltklasseBatch & Shell2 Kommentare

Hallo, ich versuche per Batch eine Textdatei auf einen FTP-Server hochzuladen. Es handelt sich um einen "passiven FTP-Zugriff". Leider ...

SAN, NAS, DAS
Passives FTP am NAS konfigurieren
gelöst Frage von bonitoSAN, NAS, DAS11 Kommentare

Hallo an alle Wissenden hier, ich habe seit einigen Tagen versucht Zugriff von intern (LAN) und extern (WAN) auf ...

Windows Netzwerk
Router Kaskade mit FTP-funktion
Frage von 126832Windows Netzwerk7 Kommentare

Router Kaskade mit DDNS sowie FTP-Server Funktion: Hallo zusammen, besitze eine FritzBox 6360 die ich mit einen Asus DIR-AC87U ...

Netzwerke
Hostflapping auf Cisco Routern
gelöst Frage von FluxatorNetzwerke11 Kommentare

Hallo an die Netzwerkgemeinde! Folgendes Problem gabe es in unserem Firmennetzwerk: Im Netz befindet sich ein Backbone cisco cat ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 3 StundenVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 14 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 16 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...