Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Keine Verbindung zum FTP-Server möglich

Frage Netzwerke Router & Routing

Mitglied: seji6489

seji6489 (Level 1) - Jetzt verbinden

05.07.2012, aktualisiert 09.07.2012, 3383 Aufrufe, 16 Kommentare

Hallo zusammen,

ich habe hier ein Cisco Router. Bin relativ neu was Cisco angeht und komme daher nicht weiter

Folgendes Problem:

Auf dem Router sind zwei VLAN's konfiguriert (Normales Netz und VoIP). Dazu habe ich zwei Internet Anschlüsse, einmal KabelBW DSL für die PC's Server und SDSL für VoIP. Beides läuft über den Cisco und ist über Source-Routing realisiert.

Nun besteht folgendes Problem:

Mir ist nicht möglich von einem Client oder Server eine Verbindung zu einem FTP Server herzustellen.
Habe schon diverse Sache probiert, aber ich verstehe nciht warum das nicht geht. E-Mail, HTTP usw. funktioniert alles einwandfrei.

Der Port 21 wird auch genattet aber ich bekomme keine Verbindung:

tcp 91.89.237.119:11706 192.168.0.5:11706 62.75.189.15:21 62.75.189.15:21

Cisco Config:

Current configuration : 5838 bytes
!
! Last configuration change at 09:37:06 UTC Thu Jul 5 2012 by root
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 16386
logging rate-limit 100 except warnings
enable secret 5 XXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
!
!
!
crypto pki trustpoint TP-self-signed-3587483744
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3587483744
revocation-check none
rsakeypair TP-self-signed-3587483744
!
!
crypto pki certificate chain TP-self-signed-3587483744
certificate self-signed 01
30820266 308201CF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33353837 34383337 3434301E 170D3132 30363033 31343236
31365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35383734
38333734 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100D7B0 D7820FEB 9F9687F8 8FF2E4AF F1D17014 ABC2649E DCB48B29 C964102D
7590D0FE FBC4675C E1BE7925 5E0B3F30 265E0B8F 0F5DEE29 39676816 0D197DC9
0ED2C50C BE67CF62 D676CBF3 E02CEDEF 3D91E75D 629DA550 6EFC10C3 22251CEF
A40BB66C 6BDC68AD F331AA43 841CD494 1A1EC9AB 349963E3 210AAB2A 65D27E27
175F0203 010001A3 818D3081 8A300F06 03551D13 0101FF04 05300301 01FF3037
0603551D 11043030 2E822C52 6F757465 722E6C62 2E676573 756E6468 65697473
7A656E74 72756D2D 6C756477 69677362 7572672E 6E657430 1F060355 1D230418
30168014 16613DD1 347BD777 1E811303 19D96060 C733D0BA 301D0603 551D0E04
16041416 613DD134 7BD7771E 81130319 D96060C7 33D0BA30 0D06092A 864886F7
0D010104 05000381 810061DB E9F24B87 FF2513B0 90BBAD13 8475F4EF C17EEC1E
72D3FA3F AE23E6EF E5CA6378 1132E8E2 9304E1D9 7E6F0FA3 931E678A 3C203D27
5845CF65 F9D5557F 1A8E804B 5B95DBA4 A1B46529 D60A2B60 C95E629C E2B746A5
B715CF46 90DE76DF BB531214 4C09C102 0449B952 A082D4D4 9D834E3B 263DC2F9
10E58E38 A5FFF2C3 5CF3
quit
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.1.4
!
ip dhcp pool DHCPVoIP
import all
network 192.168.1.0 255.255.255.0
dns-server 145.253.2.203 145.253.2.11
default-router 192.168.1.4
!
!
ip cef
ip domain name lb.gesundheitszentrum-ludwigsburg.net
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username root privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
!
controller DSL 0
mode atm
dsl-mode shdsl symmetric annex B
ignore-error-duration 15
!
!
!
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
!
interface FastEthernet0
ip dhcp client default-router distance 1
ip ddns update datacmrh1
ip address dhcp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
!
!
interface FastEthernet1
switchport access vlan 2
!
!
interface FastEthernet2
switchport access vlan 3
!
!
interface FastEthernet3
!
!
interface FastEthernet4
!
!
interface FastEthernet5
switchport access vlan 2
!
!
interface FastEthernet6
switchport access vlan 3
!
!
interface FastEthernet7
!
!
interface FastEthernet8
!
!
interface Vlan1
no ip address
!
!
interface Vlan2
description Netzwerk
ip address 192.168.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map MapNetzwerk
!
!
interface Vlan3
description VoIP
ip address 192.168.1.4 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map MapVoIP
!
!
interface Dialer0
!
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
!
ip dns server
no ip nat service sip udp port 5060
ip nat pool natVoIP 192.168.1.0 192.168.1.255 netmask 255.255.255.0
ip nat pool natNetzwerk 192.168.0.0 192.168.0.255 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0 overload
ip nat inside source list 2 interface Dialer0 overload
ip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194
ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443
ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389
ip route 10.8.0.0 255.255.255.0 192.168.0.1
!
ip access-list extended allin
permit ip any any
!
logging 192.168.0.1
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
!
!
route-map MapNetzwerk permit 10
match ip address 1
set default interface FastEthernet0
!
route-map MapVoIP permit 10
match ip address 2
set default interface Dialer0
!
!
!
control-plane
!
!
!
line con 0
exec-timeout 120 0
privilege level 15
line aux 0
exec-timeout 120 0
privilege level 15
transport input ssh
line vty 0 4
exec-timeout 120 0
privilege level 15
transport input ssh
line vty 5 15
!
end


Eine Idee? Hab ich einen schnitzer beim NAT?

Vielen Dank.

Gruß Seji
Mitglied: SlainteMhath
05.07.2012 um 15:30 Uhr
Moin,

Du bist sicher das du hier deine Komplette Router Config incl. deiner Arcor- und DDNS- Passwörter usw. posten willst?

Mutig

lg,
Slainte
Bitte warten ..
Mitglied: seji6489
05.07.2012 um 16:24 Uhr
ups, ist raus. Danke, evtl. ne Idee zum Problem?
Bitte warten ..
Mitglied: delemming
09.07.2012 um 09:06 Uhr
kannst du den server anpingen?
Bitte warten ..
Mitglied: seji6489
09.07.2012 um 10:18 Uhr
Zitat von delemming:
kannst du den server anpingen?

Es geht um keinen bestimmten FTP Server. Es geht allgemein kein FTP nach außen. Aber ja Pingen kann ich generell.

Gruß Seji
Bitte warten ..
Mitglied: delemming
09.07.2012, aktualisiert um 11:13 Uhr
hmmmm, irgendwas sagt mir, dass die acl stinkt, aber ich komm nich drauf

hast du mal ip accounting geprüft

cisco router:
(global config mode)
#>int vlan2
#>ip accounting access-violations

#>end

client deiner wahl
///versuchen mit client ftp zu erreichen

cisco router(priv mode)
#show ip accounting access-violations


dann mal output bitte



edith:

ich seh da ne eingehende ACL die auf kein interface zeigt, also inaktiv ist, soll das so?
Bitte warten ..
Mitglied: seji6489
09.07.2012, aktualisiert um 11:54 Uhr
Hallo,

also die ACL war zum Test, hat aber nicht so recht getan. Daher ist inaktiv.

Zu deinem Test:

Router#show ip accounting access-violations
Source Destination Packets Bytes ACL

Accounting data age is 3


Also nichts....

Nochmal zur Any Any ACL, wenn ich als "access-group in" auf das interface binde (Fa0) dann müsste alles reindürfen oder?
Bitte warten ..
Mitglied: delemming
09.07.2012, aktualisiert um 12:29 Uhr
jab,

"ip access-group allin in"

so ne acl auf nem externen interface ist allerdings ein wenig kritisch.
aber das weisst du sicher selber ;)
Bitte warten ..
Mitglied: delemming
09.07.2012 um 12:31 Uhr
hmmm, mal in ne vm packen, das elend
Bitte warten ..
Mitglied: seji6489
09.07.2012, aktualisiert um 12:40 Uhr
Zitat von delemming:
jab,

"ip access-group allin in"

so ne acl auf nem externen interface ist allerdings ein wenig kritisch.
aber das weisst du sicher selber ;)




Das dass Sicherheitstenisch keine gute Idee ist, ist mir klar. Wollte wissen ob ich das von der Funktion richtig verstanden habe.

Zitat von delemming:
hmmm, mal in ne vm packen, das elend


Cisco IOS kann man in ne VM packen!?

EDIT:

Wenn ich das mit ACL mache und NICHT any any, sondern das entsprechend z.B auf FTP herunterbreche, sperre ich mich doch selbst aus? Weil dann darf ja NUR FTP, oder?

Gruß Seji
Bitte warten ..
Mitglied: delemming
09.07.2012 um 13:24 Uhr
Zitat von seji6489:
> Zitat von delemming:

>
>
Das dass Sicherheitstenisch keine gute Idee ist, ist mir klar. Wollte wissen ob ich das von der Funktion richtig verstanden habe.

Ich würd sagen hast du.


> Zitat von delemming:
> ----
> hmmm, mal in ne vm packen, das elend


Cisco IOS kann man in ne VM packen!?

dynamips. kein vollwertiger ersatz, aber es kann vieles.
dann gibts noch packettracer als "simulator", mehr so nen einsteigerspielzeug.


so, ich honk, die acl kannst du kicken, war ein holzweg.

häng mal an diese 3 zeilen das schlüsselwort extendable

ip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194
ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443
ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389



ip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194 extendable
ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443 extendable
ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389 extendable



gruss lemming
Bitte warten ..
Mitglied: seji6489
09.07.2012, aktualisiert um 13:34 Uhr
Geht nicht.... invalid input

Was soll das bringen? Die sind doch eh static...
Bitte warten ..
Mitglied: delemming
09.07.2012 um 13:41 Uhr
das ding ist du fährst zwei translations auf der büchse
erst sagt du mach pat mit allem was aus vlan2 kommt.
2 zeilen weiter unten balgst du voll in das pat rein, weil du statische nat einträge auf die selbe global address zuweist.
extendable sollte eigentlich dafür sorgen das er dass frisst.
Bitte warten ..
Mitglied: seji6489
09.07.2012 um 13:49 Uhr
Zitat von delemming:
das ding ist du fährst zwei translations auf der büchse
erst sagt du mach pat mit allem was aus vlan2 kommt.
2 zeilen weiter unten balgst du voll in das pat rein, weil du statische nat einträge auf die selbe global address zuweist.
extendable sollte eigentlich dafür sorgen das er dass frisst.

Ok, 100%ig verstanden habe ich das jetzt nicht aber ok ^^ Aber wie gesagt, lässt sich leider so nicht eintragen.
Bitte warten ..
Mitglied: delemming
09.07.2012 um 14:30 Uhr
was sagt show ip nat translations ?
Bitte warten ..
Mitglied: seji6489
09.07.2012 um 15:08 Uhr
Hab ich ja schon im ersten beitrag geschrieben. Port 21 wird genattet. Oder möchtest du eine komplette ausgabe?
Bitte warten ..
Mitglied: seji6489
10.07.2012 um 07:56 Uhr
Hallo,

habe gestern nochmal etwas mit den ACL rumgespielt. Geholfen hat es allerdings nicht....


Current configuration : 5984 bytes
!
! Last configuration change at 17:29:44 UTC Mon Jul 9 2012 by root
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 16386
logging rate-limit 100 except warnings
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
!
!
!
crypto pki trustpoint TP-self-signed-3587483744
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3587483744
revocation-check none
rsakeypair TP-self-signed-3587483744
!
!
crypto pki certificate chain TP-self-signed-3587483744
certificate self-signed 01
30820266 308201CF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33353837 34383337 3434301E 170D3132 30363033 31343236
31365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35383734
38333734 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100D7B0 D7820FEB 9F9687F8 8FF2E4AF F1D17014 ABC2649E DCB48B29 C964102D
7590D0FE FBC4675C E1BE7925 5E0B3F30 265E0B8F 0F5DEE29 39676816 0D197DC9
0ED2C50C BE67CF62 D676CBF3 E02CEDEF 3D91E75D 629DA550 6EFC10C3 22251CEF
A40BB66C 6BDC68AD F331AA43 841CD494 1A1EC9AB 349963E3 210AAB2A 65D27E27
175F0203 010001A3 818D3081 8A300F06 03551D13 0101FF04 05300301 01FF3037
0603551D 11043030 2E822C52 6F757465 722E6C62 2E676573 756E6468 65697473
7A656E74 72756D2D 6C756477 69677362 7572672E 6E657430 1F060355 1D230418
30168014 16613DD1 347BD777 1E811303 19D96060 C733D0BA 301D0603 551D0E04
16041416 613DD134 7BD7771E 81130319 D96060C7 33D0BA30 0D06092A 864886F7
0D010104 05000381 810061DB E9F24B87 FF2513B0 90BBAD13 8475F4EF C17EEC1E
72D3FA3F AE23E6EF E5CA6378 1132E8E2 9304E1D9 7E6F0FA3 931E678A 3C203D27
5845CF65 F9D5557F 1A8E804B 5B95DBA4 A1B46529 D60A2B60 C95E629C E2B746A5
B715CF46 90DE76DF BB531214 4C09C102 0449B952 A082D4D4 9D834E3B 263DC2F9
10E58E38 A5FFF2C3 5CF3
quit
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.1.4
!
ip dhcp pool DHCPVoIP
import all
network 192.168.1.0 255.255.255.0
dns-server 145.253.2.203 145.253.2.11
default-router 192.168.1.4
!
!
ip cef
ip domain name lb.gesundheitszentrum-ludwigsburg.net
ip ddns update method datacmrh1
HTTP
add http://api101:f2xj5wnTz2@api.data-cmr.net/objectType=DnsRecord&acti ...;
remove http://api101:f2xj5wnTz2@api.data-cmr.net/objectType=DnsRecord&acti ...;
interval maximum 1 0 0 0
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
object-group network Netzwerk
range 192.168.0.1 192.168.0.255
!
!
!
controller DSL 0
mode atm
dsl-mode shdsl symmetric annex B
ignore-error-duration 15
!
!
!
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
!
interface FastEthernet0
ip dhcp client default-router distance 1
ip ddns update datacmrh1
ip address dhcp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
!
!
interface FastEthernet1
switchport access vlan 2
!
!
interface FastEthernet2
switchport access vlan 3
!
!
interface FastEthernet3
!
!
interface FastEthernet4
!
!
interface FastEthernet5
switchport access vlan 2
!
!
interface FastEthernet6
switchport access vlan 3
!
!
interface FastEthernet7
!
!
interface FastEthernet8
!
!
interface Vlan1
no ip address
!
!
interface Vlan2
description Netzwerk
ip address 192.168.0.4 255.255.255.0
ip accounting access-violations
ip nat inside
ip virtual-reassembly
ip policy route-map MapNetzwerk
!
!
interface Vlan3
description VoIP
ip address 192.168.1.4 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map MapVoIP
!
!
interface Dialer0
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
no cdp enable
!
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
!
ip dns server
no ip nat service sip udp port 5060
ip nat pool natVoIP 192.168.1.0 192.168.1.255 netmask 255.255.255.0
ip nat pool natNetzwerk 192.168.0.0 192.168.0.255 netmask 255.255.255.0
ip nat inside source list 2 interface Dialer0 overload
ip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194
ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443
ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389
ip nat inside source list 101 interface FastEthernet0 overload
ip route 10.8.0.0 255.255.255.0 192.168.0.1
!
logging 192.168.0.1
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip object-group Netzwerk any
access-list 101 permit tcp any any eq ftp
dialer-list 1 protocol ip permit
!
!
!
!
route-map MapNetzwerk permit 10
match ip address 101
set default interface FastEthernet0
!
route-map MapVoIP permit 10
match ip address 2
set default interface Dialer0
!
!
!
control-plane
!
!
!
line con 0
exec-timeout 120 0
privilege level 15
line aux 0
exec-timeout 120 0
privilege level 15
transport input ssh
line vty 0 4
exec-timeout 120 0
privilege level 15
transport input ssh
line vty 5 15
!
end


Ich denke ich bin so auf dem richtigen weg (?) aber irgendwo klemmts noch.

Gruß Seji
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Cloud-Dienste
gelöst Eigener Exchange Server möglich ? In der Cloud ? (4)

Frage von power-user zum Thema Cloud-Dienste ...

Linux Tools
CURL mehrere Dateien vom ftp-Server herunterladen (10)

Frage von highpriest zum Thema Linux Tools ...

Windows Server
Server 2012 R2 VPN steht, jedoch keine Verbindung zum Server! (7)

Frage von moinmoin2016 zum Thema Windows Server ...

Netzwerkmanagement
Zugriff auf FTP-Server durch Chrome in Windows 7 klappt nicht (3)

Frage von emilien2 zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...