kein Zugriff auf Netzwerk über VPN

[hoschi2 10]

20 und 21 freigeschaltet, von außen zugegriffen -> keine Verbindung.

ich bin ratlos

[lasseboo 10]

20 und 21 freigeschaltet, von außen zugegriffen -> keine Verbindung.

ich bin ratlos

 

strange.

 

kannst du in deinem netz mitsniffen, wo die pakete langgehen?

 

du musst auf dem internet-router _neue_ verbindungen auf deine win-kiste zulassen.

 

läuft denn auf dem ding evtl ne firewall?

 

gruss

[hoschi2 10]

nein, firewall wurde im Router ausgeschaltet.

was meinst du mit 'internet-router _neue_ verbindungen auf deine win-kiste zulassen' . Also die benötigten Ports hab ich an den Server geleitet.

 

sniffen wäre auch ein ansatz . Kannst du mir einen guten kostenlosen Sniffer empfehlen (außer Ethereal) ?

[hoschi2 10]

ich hab heute wieder den ganzen tag rumprobiert . es läuft aber immer noch nicht . heul!

[dippas 10]

hi @all

 

Hoschi:

Gibt doch mal ne Angabe, welchen Router Du überhaupt hast. Vielleicht kennt man den ja, was weitere Konfigurationsangaben erleichtert.

 

Als nächstes wäre es wirklich sehr hilfreich, wenn Du die von Dir beschriebene Konfig mal wortwörtlich, also wirklich so, dass Du angibst, an welcher Stelle Du was eingetragen hast.

 

Ansonsten ist es schwierig Dir zu helfen, denn die bisherigen Antworten gehen davon aus, dass Begrifflichkeiten und Grundwissen über Protokolle und Werkzeuge vorhanden ist.

 

Nichts gegen dich, aber an der einen oder anderen Stelle scheinen es doch böhmische Dörfer für dich zu sein. Ist ja nicht schlimm, wenn wir nur genügend Angaben haben, können wir Dir sagen: "Klick da und trag das ein".

 

Also, Infos her und weiter geht´s

 

grüße

 

dippas

[hoschi2 10]

Ahnung hab ich von der Materie schon ,es kommt vielleicht nur falsch rüber und mit Fachausdrücken spare ich ein bisschen. Klar ich bin kein Mega Profi auf diesem Gebiet aber wenn ich da nicht durchblicken würde hätte ich es nicht geschafft ein Win2003 Server mit 40 clients und allem Pipapo auf die Beine zu stellen.

 

Mein Router ist von Edimax und nennt sich BR-6104

Meine Einstellungen :

NAT - Virtual Server :

Private IP-------- Private Port-----------Type------------Public Port

192.168.2.101----- 21-------------------TCP--------------- 21

192.168.2.101----- 20-------------------TCP----------------20

 

es ist ja nicht das erste mal, dass ich einen FTP Server einrichte,darum weiss ich schon was ich da mache . Aber komischerweise will es diesmal ums Verrecken nicht laufen. Keine Ahnung was ich falsch mache .

[hoschi2 10]

ich komm einfach nicht drauf , wo der Felhler liegen könnte

[IThome 10]

Du beschreibst gerade aktives FTP, der Client verbindet sich mit dem Kontrollport TCP 21 des Servers, es erfolgt ein PORT Kommando, der Server verbindet sich aktiv (daher der Name) mit seinem Datenport TCP 20 zu einem Port jenseits 1024 des Clients. Der Client verbindet sich NICHT mit dem Port 20 Deines Servers.

Beim passiven FTP verbindet sich der Client wieder mit dem Kontrollport TCP 21 des Servers, diesmal erfolgt aber ein PASV-Kommando, danach verbindet sich der Client mit einem Datenport >1024 Deines Servers.

Hier steht es genauer ...

http://www.informationsarchiv.net/foren/beitrag-8313.html

Das Problem liegt an der Richtung und dem FTP-Betriebsmodus ...

[hoschi2 10]

Die Firewall hab ich ja ausgeschaltet. Innerhalb des LAN funktioniert der ftp-server . Also liegt das Problem am Router und dort kann ich ja nichts anderes als Port 20 und 21 TCP auf den Server leiten. Oder woher soll ich denn wissen welcher Port>1024 benutzt wird.

[hoschi2 10]

Die Firewall hab ich ja ausgeschaltet. daran kanns nicht liegen.Innerhalb des LAN funktioniert der ftp-server . Also liegt das Problem am Router und dort kann ich ja nichts anderes als Port 20 und 21 TCP auf den Server leiten. Oder woher soll ich denn wissen welcher Port>1024 benutzt wird.

[IThome 10]

Genau das is ja das Problem, wenn Du aktives FTP benutzt, musst Du den Port 21 nach innen leiten und dem FTP-Server erlauben, von innen nach aussen jeden Port >1024 ansprechen

zu dürfen. Dein Client muss aber diesen Verbindungsaufbau des Servers auch akzeptieren (also eine Regel Quellport:20 Zielport>1024).Ich gehe mal davon aus, dass auf dem Client auch irgendeine Firewall läuft. Benutzt Du den passiven Modus musst Du auf dem Router nicht nur den Port 21 nach innen leiten, sondern auch jeden Port > 1024 (es gibt allerdings auch Firewallrouter, die anhand des Status erkennen, dass der zweite Aufbau zu einem Port jenseits der 1024 der Aufbau zum Datenport des FTP-Servers ist,wenn vorher eine Verbindung zum Port 21 erfolgte, Watchguard XEdge z.B.), da Du ja nicht wissen kannst, welchen Port der Server für die sekundäre Verbindung benutzt.

[Velius 10]

Wenn ich da auch nachhacken darf ;) :

 

@hoschi2

 

Das kommt da zwar nicht so klar raus, aber scheinbar macht dein Router das NAT. Wenn der "echtes" NAT macht, und nicht blos Port-Forwarding, dann hast du die wahl zwischen Static NAT und Hide NAT. Static NAT ist für Dienste und Server, welche von aussen erreichbar sein müssen, und Hide NAT für alles nach aussen. In deinem Fall wäre das wohl nur Static NAT, allerdings ist es aussergewöhnlich, dass du da Ports definieren musst. Üblicherweise wird jeder Port geNATet. Das Filtern übernimmt die Firewall, oder Firewall Funktion des Routers.

 

Ausser der Router verwendet das erwähnte Port-Forwarding, dann müsset der Router aber auch eine spezielle Rule für FTP Services haben. ISA 2004 verwendet solche vordefinierten Rules. So kenne ich das, aber wie das bei deinem Gerät funktioniert kann ich nicht sagen.

 

 

Gruss

Velius

[IThome 10]

Der ISA-Server ist aber auch ein Application-Level Firewall und weiss, ob der Client das PORT oder PASV Kommando abgesetzt hat. Dieses Gerät macht laut Beschreibung allenfalls Stateful Inspection Packet Filtering und arbeitet sicher nicht auf Application Ebene.

@Velius

Meinst Du mit Hide NAT IP-Masquerading oder Dynamic NAT (hab ich noch nie gehört, was aber nichts zu bedeuten hat :D ) ?

[Velius 10]

Der ISA-Server ist aber auch ein Application-Level Firewall und weiss, ob der Client das PORT oder PASV Kommando abgesetzt hat. Dieses Gerät macht laut Beschreibung allenfalls Stateful Inspection Packet Filtering und arbeitet sicher nicht auf Application Ebene.

 

Keine Ahnung, darum ja die/der Frage/Beitrag. ;)

 

@Velius

Meinst Du mit Hide NAT IP-Masquerading oder Dynamic NAT (hab ich noch nie gehört, was aber nichts zu bedeuten hat :D ) ?

 

Das ist Check Point Jargon. "Hide" deswegen, weil alle IP's hinter diesem NAT Typ auf die gleiche öffentliche IP übersetzt werden. Die eigentliche IP bleibt versteckt und ist nur der Firewall aufgrund ihrer NAT-Tabelle bekannt, die sie aufbaut sobald ein Client eine Verbinung in's I-Net herrstellt.

Mit Hide NAT kann man aber keine Verbindungen vom I-Net in's private Netz aufbauen, da es ja keine Zuordnung gibt. Dafür ist Static NAT da, welches eine öffentliche IP auf eine private IP und allen, oder nur bestimmten Ports, übersetzt.

[Velius 10]

Hier auch etwas deutlicher zu lesen:

 

http://de.wikipedia.org/wiki/Network_Address_Translation

 

Bei Basic NAT (auch als Static NAT bekannt) wird jede interne IP durch eine externe IP ersetzt. Man spricht deshalb von einer 1:1-Übersetzung.

 

Bei Hiding NAT (eigentlich PAT oder auch NAPT (Network Address Port Translation)) werden mehrere Quell-IP-Adressen in die gleiche externe Quell-IP-Adresse übersetzt. Bei diesem Masquerading werden auch die Ports umgeschrieben.

 

 

...wobei das bei Check Point auch seine Mischversionen kennt, und bei Static NAT die Funktion eines Revers Proxies einnimmt.