Jump to content

SBS 2003 R2: FW deaktiviert, dennoch kein ausgehender FTP-Verkehr


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

nach unzähligen Stunden und einigen Tagen der Suche wende ich mich nun doch noch an das Forum:

 

Die Umgebung:

 

Internet <-> Subnetz1 <-> Subnetz2

 

Subnetz1

Arcor-Router (Zyxel 660HW, FW deaktiviert, NAT alle Ports an Server2, Subnetz1) <->

Server2 (W2003 SP1, DC, 2xNIC(Subnetz1, Subnetz2), Router, RAS-VPN/NAT-Basisfirewall)

 

Subnetz2

Server2 <-> Server1 (SBS 2003 R2 SP1, DC, 1xNIC, Windows-Firewall deaktiviert) und XP SP2-Clients (FW deaktiviert)

 

 

Das Problem:

 

Wie schon angedeutet: kein Teilnehmer aus dem Netzwerk kann auf FTP-Seiten zugreifen. Weder direkt vom Server aus, noch von einem Client aus. Nun haben wir sämtliche Firewalls aus bis auf die vom MS-Router (Server2). Dennoch ist kein FTP-Zugriff möglich.

Über Google hab ich schon einen Anhaltspunkt: die SBS-Firewall. Jedoch kann ich damit nichts machen. Da der SBS nur eine NIC hat, kann die FW gar nicht erst aktiviert geschweige denn konfiguriert werden.

 

Ich komme nicht weiter. Ich hoffe, ihr könnt helfen.

 

Beste Grüße

Christian

Link zu diesem Kommentar

Hallo nobex,

 

ich hab oben nochmal editiert, war wohl etwas verwirrend. Natürlich sind die Clients im gleichen Subnetz wie der (MS-)Router.

 

HTTP, PING ins Internet funktioniert wunderbar.

 

Bei tracert zeigt er mir auch die komplette Route. Aber eine FTP-Verbindung wird sofort beendet, noch bevor ich einen Benutzer eingeben kann.

 

C:\>ftp ftp.avm.de

Verbindung mit ftp.avm.de wurde hergestellt.

Verbindung beendet durch Remotehost.

 

Das passiert bei sämtlichen FTP-Seiten. Daher kann es nur eine Firewall sein, denke ich.

 

Grüße

Christian

Link zu diesem Kommentar

Das geht auch nicht. Mit keinem FTP-Client. Sobald man mit dem IE auf einen FTP-Link klickt, kommt:

 

Auf diesen Ordner kann nicht zugegriffen werden. Vergewissern Sie sich, dass der Dateiname richtig angegeben wurde, und dass Sie über die erforderlichen Zugriffsberechtigungen verfügen. Details: Die Serververbindung wurde zurückgesetzt.

 

Ich kann nicht genau sagen, ob es damit zusammenhängen könnte, aber der ISA-Server 2006wurde installiert und dann wieder deinstalliert. Es könnte sein, dass der Fehler seitdem besteht, aber genau kann ich es nicht sagen.

 

Also ich hab noch folgende Tests gemacht:

 

FTP-Versuche:

 

Server1 -> ftp Server2 fehlgeschlagen

Server2 -> ftp Server1 fehlgeschlagen

VPN-Client aus fremder Domäne (ohne GPO) -> ftp Server1 fehlgeschlagen

VPN-Client aus fremder Domäne (ohne GPO) -> ftp Server2 fehlgeschlagen

Server1 -> ftp Server1 funktioniert

Server2 -> ftp Server2 funktioniert

 

Kann vielleicht irgendjemand etwas damit anfangen? Oder vielleicht einen Tipp zur weiteren Fehlersuche?

 

Viele Grüße

Christian

Link zu diesem Kommentar
Hallo,

 

Setze doch mal einen normalen XP-Client in das Subnet 1 (Standardroute über Arcor-Router und erreichbaren DNS nicht vergessen) und probiere eine FTP-Verbindung.

 

Gruß Robert

 

Also ich behaupte mal, am Arcor-Router kann es nicht liegen, da ein FTP-Zugriff auch intern unmöglich ist. Also wie beschrieben von Server1 auf Server2 oder umgekehrt...

Link zu diesem Kommentar
Damit hättest Du aber die Ursache auf Deinen routenden Server eingegrenzt.

 

So, wir konnten das grad nachstellen. Also Non-Domain-Client direkt am Router. Funktioniert.

 

Scheinbar ist es damit wirklich der routende Server. Der SBS kann, denke ich, ausgeschlossen werden, da ich schon testweise alle GPO's, die vom SBS stammen, ausgeschaltet habe. Nur frage ich mich, was ich am MS-Router noch tun kann, außer das RAS zu deaktivieren und neu zu konfigurieren? Das haben wir nämlich schon mehrfach gemacht. Ausgehende Filter sind auch nicht aktiviert. Welche Möglichkeiten gibt es noch?

 

Grüße

Christian

Link zu diesem Kommentar

Ich irgendwie auch nicht ... Da ist also ein NAT-Router, dessen interne Schnittstelle ist mit der externen Schnittstelle des 2003 NAT-Routers verbunden, die interne Schnittstelle des 2003 NAT-Routers mit einem Switch, an dem auch der SBS hängt ? Warum ist auf dem externen Router die Firewall aus und warum leitet er alle Ports nach innen (DMZ-Konfiguration?!) ? Der Client kann auch kein FTP machen, wenn er an der internen Schnittstelle des Zyxel-Routers hängt ?

Link zu diesem Kommentar
Ich steige jetzt aber immer weniger durch :suspect:

Von wo aus funktioniert es denn eigentlich noch?

 

Argh, sorry... Direkt über den Arcor-Router geht es! Sorry, ich editier das mal eben...

 

Ich irgendwie auch nicht ... Da ist also ein NAT-Router, dessen interne Schnittstelle ist mit der externen Schnittstelle des 2003 NAT-Routers verbunden, die interne Schnittstelle des 2003 NAT-Routers mit einem Switch, an dem auch der SBS hängt ? Warum ist auf dem externen Router die Firewall aus und warum leitet er alle Ports nach innen (DMZ-Konfiguration?!) ? Der Client kann auch kein FTP machen, wenn er an der internen Schnittstelle des Zyxel-Routers hängt ?

 

Also der Client kann FTP machen, wenn er an der internen des Zyxel hängt. Die Firewall des Zyxel ist momentan noch aus um den Fehler zu finden. Die wird dann natürlich wieder eingeschaltet.

 

Wie gesagt, ich denk, es muss am 2003 Router liegen. Ich hab nur keine Idee mehr, wo ich noch suchen könnte...

 

Grüße

Christian

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo,

 

erstmal danke für eure Mühen!

 

Ich hatte erst jetzt wieder Zeit, mich mit dem Thema zu beschäftigen.

 

Also es liegt am NAT. Soviel weiß ich jetzt. Das Problem ist, dass der Zyxel-Router NAT macht und der Server2 ebenfalls.

 

Sobald ich den RAS-Dienst beende, funktioniert auch das FTP... Ich denke, dass ich einen NAT-Router entfernen muss.

 

Ich habe nun zwei Möglichkeiten überlegt und schon mal angetestet:

 

1. Ich tausche den Zyxel-Router gegen ein Modem aus, so dass nur der RAS NAT macht. Leider funktionierte das nicht wie gewollt. Ich muss zugeben, dass die Zeit mit DSL ohne Router ziemlich lange her ist und ich nicht mehr so genau weiß, wie das damals zu konfigurieren war. (Konkret hatten wir das Problem, dass die NIC, an der das Modem steckte und die auch auf DHCP gestellt war, keine IP bekommen hat, obwohl gleichzeitig eine DFÜ-Verbindung aufgebaut wurde, welche eine externe IP bezogen hat. Ich schätze hier hab ich einen Denkfehler - vielleicht könnt ihr mir da schon helfen?)

 

2. Ich nutze weiterhin den Zyxel-Router und lass den RAS nur noch VPN machen. Das funktionierte allerdings auch nicht. Ich denk mal, hier wird auch ein NAT benötigt, weil es ja zwei verschiedene Netze sind (einmal das zwischen Zyxel und Server2 und das zwischen Server2 und LAN).

 

Hier noch die ipconfig des Server2:

 

 

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : sub-nt-02

Primäres DNS-Suffix . . . . . . . : sub.domain.de

Knotentyp . . . . . . . . . . . . : Broadcast

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : sub.domain.de

domain.de

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C905B-TX)

Physikalische Adresse . . . . . . : 00-50-04-3D-FA-A1

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.155.15

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 192.168.155.15

192.168.155.10

 

Ethernet-Adapter WAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC

Physikalische Adresse . . . . . . : 00-15-58-4C-48-65

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.15

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.1

DNS-Server . . . . . . . . . . . : 192.168.155.10

192.168.155.15

NetBIOS über TCP/IP . . . . . . . : Deaktiviert

 

Könnt ihr mir nochmal helfen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...