Jump to content
Sign in to follow this  
mcc

SBS 2003 R2: FW deaktiviert, dennoch kein ausgehender FTP-Verkehr

Recommended Posts

Hallo,

 

nach unzähligen Stunden und einigen Tagen der Suche wende ich mich nun doch noch an das Forum:

 

Die Umgebung:

 

Internet <-> Subnetz1 <-> Subnetz2

 

Subnetz1

Arcor-Router (Zyxel 660HW, FW deaktiviert, NAT alle Ports an Server2, Subnetz1) <->

Server2 (W2003 SP1, DC, 2xNIC(Subnetz1, Subnetz2), Router, RAS-VPN/NAT-Basisfirewall)

 

Subnetz2

Server2 <-> Server1 (SBS 2003 R2 SP1, DC, 1xNIC, Windows-Firewall deaktiviert) und XP SP2-Clients (FW deaktiviert)

 

 

Das Problem:

 

Wie schon angedeutet: kein Teilnehmer aus dem Netzwerk kann auf FTP-Seiten zugreifen. Weder direkt vom Server aus, noch von einem Client aus. Nun haben wir sämtliche Firewalls aus bis auf die vom MS-Router (Server2). Dennoch ist kein FTP-Zugriff möglich.

Über Google hab ich schon einen Anhaltspunkt: die SBS-Firewall. Jedoch kann ich damit nichts machen. Da der SBS nur eine NIC hat, kann die FW gar nicht erst aktiviert geschweige denn konfiguriert werden.

 

Ich komme nicht weiter. Ich hoffe, ihr könnt helfen.

 

Beste Grüße

Christian

Share this post


Link to post
Share on other sites

Hallo Christian,

 

funktioniert http-Zugriff?

Funktionieren pings ins Internet?

Was sagt tracert ins Internet?

Warum hängen alle Rechner nicht im selben Netz wie der Router (wäre einfacher)?

 

Gruß Robert

Share this post


Link to post
Share on other sites

Hallo nobex,

 

ich hab oben nochmal editiert, war wohl etwas verwirrend. Natürlich sind die Clients im gleichen Subnetz wie der (MS-)Router.

 

HTTP, PING ins Internet funktioniert wunderbar.

 

Bei tracert zeigt er mir auch die komplette Route. Aber eine FTP-Verbindung wird sofort beendet, noch bevor ich einen Benutzer eingeben kann.

 

C:\>ftp ftp.avm.de

Verbindung mit ftp.avm.de wurde hergestellt.

Verbindung beendet durch Remotehost.

 

Das passiert bei sämtlichen FTP-Seiten. Daher kann es nur eine Firewall sein, denke ich.

 

Grüße

Christian

Share this post


Link to post
Share on other sites

Das geht auch nicht. Mit keinem FTP-Client. Sobald man mit dem IE auf einen FTP-Link klickt, kommt:

 

Auf diesen Ordner kann nicht zugegriffen werden. Vergewissern Sie sich, dass der Dateiname richtig angegeben wurde, und dass Sie über die erforderlichen Zugriffsberechtigungen verfügen. Details: Die Serververbindung wurde zurückgesetzt.

 

Ich kann nicht genau sagen, ob es damit zusammenhängen könnte, aber der ISA-Server 2006wurde installiert und dann wieder deinstalliert. Es könnte sein, dass der Fehler seitdem besteht, aber genau kann ich es nicht sagen.

 

Also ich hab noch folgende Tests gemacht:

 

FTP-Versuche:

 

Server1 -> ftp Server2 fehlgeschlagen

Server2 -> ftp Server1 fehlgeschlagen

VPN-Client aus fremder Domäne (ohne GPO) -> ftp Server1 fehlgeschlagen

VPN-Client aus fremder Domäne (ohne GPO) -> ftp Server2 fehlgeschlagen

Server1 -> ftp Server1 funktioniert

Server2 -> ftp Server2 funktioniert

 

Kann vielleicht irgendjemand etwas damit anfangen? Oder vielleicht einen Tipp zur weiteren Fehlersuche?

 

Viele Grüße

Christian

Share this post


Link to post
Share on other sites

Hallo,

Kann vielleicht irgendjemand etwas damit anfangen? Oder vielleicht einen Tipp zur weiteren Fehlersuche?

Setze doch mal einen normalen XP-Client in das Subnet 1 (Standardroute über Arcor-Router und erreichbaren DNS nicht vergessen) und probiere eine FTP-Verbindung.

 

Gruß Robert

Share this post


Link to post
Share on other sites
Hallo,

 

Setze doch mal einen normalen XP-Client in das Subnet 1 (Standardroute über Arcor-Router und erreichbaren DNS nicht vergessen) und probiere eine FTP-Verbindung.

 

Gruß Robert

 

Also ich behaupte mal, am Arcor-Router kann es nicht liegen, da ein FTP-Zugriff auch intern unmöglich ist. Also wie beschrieben von Server1 auf Server2 oder umgekehrt...

Share this post


Link to post
Share on other sites
Also ich behaupte mal, am Arcor-Router kann es nicht liegen, da ein FTP-Zugriff auch intern unmöglich ist.

Damit hättest Du aber die Ursache auf Deinen routenden Server eingegrenzt.

Share this post


Link to post
Share on other sites
Damit hättest Du aber die Ursache auf Deinen routenden Server eingegrenzt.

 

So, wir konnten das grad nachstellen. Also Non-Domain-Client direkt am Router. Funktioniert.

 

Scheinbar ist es damit wirklich der routende Server. Der SBS kann, denke ich, ausgeschlossen werden, da ich schon testweise alle GPO's, die vom SBS stammen, ausgeschaltet habe. Nur frage ich mich, was ich am MS-Router noch tun kann, außer das RAS zu deaktivieren und neu zu konfigurieren? Das haben wir nämlich schon mehrfach gemacht. Ausgehende Filter sind auch nicht aktiviert. Welche Möglichkeiten gibt es noch?

 

Grüße

Christian

Share this post


Link to post
Share on other sites

Ich irgendwie auch nicht ... Da ist also ein NAT-Router, dessen interne Schnittstelle ist mit der externen Schnittstelle des 2003 NAT-Routers verbunden, die interne Schnittstelle des 2003 NAT-Routers mit einem Switch, an dem auch der SBS hängt ? Warum ist auf dem externen Router die Firewall aus und warum leitet er alle Ports nach innen (DMZ-Konfiguration?!) ? Der Client kann auch kein FTP machen, wenn er an der internen Schnittstelle des Zyxel-Routers hängt ?

Share this post


Link to post
Share on other sites
Ich steige jetzt aber immer weniger durch :suspect:

Von wo aus funktioniert es denn eigentlich noch?

 

Argh, sorry... Direkt über den Arcor-Router geht es! Sorry, ich editier das mal eben...

 

Ich irgendwie auch nicht ... Da ist also ein NAT-Router, dessen interne Schnittstelle ist mit der externen Schnittstelle des 2003 NAT-Routers verbunden, die interne Schnittstelle des 2003 NAT-Routers mit einem Switch, an dem auch der SBS hängt ? Warum ist auf dem externen Router die Firewall aus und warum leitet er alle Ports nach innen (DMZ-Konfiguration?!) ? Der Client kann auch kein FTP machen, wenn er an der internen Schnittstelle des Zyxel-Routers hängt ?

 

Also der Client kann FTP machen, wenn er an der internen des Zyxel hängt. Die Firewall des Zyxel ist momentan noch aus um den Fehler zu finden. Die wird dann natürlich wieder eingeschaltet.

 

Wie gesagt, ich denk, es muss am 2003 Router liegen. Ich hab nur keine Idee mehr, wo ich noch suchen könnte...

 

Grüße

Christian

Share this post


Link to post
Share on other sites

Hallo,

 

erstmal danke für eure Mühen!

 

Ich hatte erst jetzt wieder Zeit, mich mit dem Thema zu beschäftigen.

 

Also es liegt am NAT. Soviel weiß ich jetzt. Das Problem ist, dass der Zyxel-Router NAT macht und der Server2 ebenfalls.

 

Sobald ich den RAS-Dienst beende, funktioniert auch das FTP... Ich denke, dass ich einen NAT-Router entfernen muss.

 

Ich habe nun zwei Möglichkeiten überlegt und schon mal angetestet:

 

1. Ich tausche den Zyxel-Router gegen ein Modem aus, so dass nur der RAS NAT macht. Leider funktionierte das nicht wie gewollt. Ich muss zugeben, dass die Zeit mit DSL ohne Router ziemlich lange her ist und ich nicht mehr so genau weiß, wie das damals zu konfigurieren war. (Konkret hatten wir das Problem, dass die NIC, an der das Modem steckte und die auch auf DHCP gestellt war, keine IP bekommen hat, obwohl gleichzeitig eine DFÜ-Verbindung aufgebaut wurde, welche eine externe IP bezogen hat. Ich schätze hier hab ich einen Denkfehler - vielleicht könnt ihr mir da schon helfen?)

 

2. Ich nutze weiterhin den Zyxel-Router und lass den RAS nur noch VPN machen. Das funktionierte allerdings auch nicht. Ich denk mal, hier wird auch ein NAT benötigt, weil es ja zwei verschiedene Netze sind (einmal das zwischen Zyxel und Server2 und das zwischen Server2 und LAN).

 

Hier noch die ipconfig des Server2:

 

 

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : sub-nt-02

Primäres DNS-Suffix . . . . . . . : sub.domain.de

Knotentyp . . . . . . . . . . . . : Broadcast

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : sub.domain.de

domain.de

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C905B-TX)

Physikalische Adresse . . . . . . : 00-50-04-3D-FA-A1

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.155.15

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 192.168.155.15

192.168.155.10

 

Ethernet-Adapter WAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC

Physikalische Adresse . . . . . . : 00-15-58-4C-48-65

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.15

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.1

DNS-Server . . . . . . . . . . . : 192.168.155.10

192.168.155.15

NetBIOS über TCP/IP . . . . . . . : Deaktiviert

 

Könnt ihr mir nochmal helfen?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...