eidedequde
Goto Top

Cisco router und passive ftp und exposed host

folgendes setup:
cisco router incl modem mit fester ip
lokaler passiver ftp dienst server.2
lokaler server server.3

kann das so funktionieren?

!fuer exposed server
"ip nat inside source static tcp 192.168.178.3 interface Dialer1"

!fuer passive ftp port range 5500-5505 data port fuer ftp
"ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21"
"ip nat inside source static tcp 192.168.178.2 5500 interface Dialer1 5500"
"ip nat inside source static tcp 192.168.178.2 5501 interface Dialer1 5501"
"ip nat inside source static tcp 192.168.178.2 5502 interface Dialer1 5502"
"ip nat inside source static tcp 192.168.178.2 5503 interface Dialer1 5503"
"ip nat inside source static tcp 192.168.178.2 5504 interface Dialer1 5504"
"ip nat inside source static tcp 192.168.178.2 5505 interface Dialer1 5505"


der router ist auch auf den clients als dns eingetragen also warum sollte dann noch
"ip nat inside source static udp 192.168.178.6 53 interface dialer1 53"

mit eingetragen werden?

danke und vg ;)

Content-ID: 194498

Url: https://administrator.de/forum/cisco-router-und-passive-ftp-und-exposed-host-194498.html

Ausgedruckt am: 28.12.2024 um 05:12 Uhr

MrNetman
MrNetman 19.11.2012 um 14:03:56 Uhr
Goto Top
Cisco 800er Serie oder RV04 oder Linksys ???
Auch bei Cisco haben viele Entwicklungsstellen ihre eigene Syntax und die kann sich auch noch über die Generationen verändern.
Außerdem gibt es noch die Möglichkeit, dass ein Teil der Konfiguration korrekt aussieht, sie aber trotzdem nicht funktioniert, da andere Konfigurationen nicht passend sind.

Details bitte.
zu Hardware
Istzustand
und Ziel.

-- und wenns geht, so geschrieben, dass es normal Sterbliche lesen können

Gruß
Netman
eidedequde
eidedequde 19.11.2012 um 14:09:35 Uhr
Goto Top
es ist ein cisco 866vae. dieser hat vom isp eine feste ip bekommen.
im lokalen netz hängen ein sbs 2011 welcher den passive ftp service bereitstellt und ein weiterer server welcher am besten in einer dmz oder eben einfach als exposed host betrieben werden soll. ich möchte also von extern auf den ftp dienst und auf den zweiten server zugreifen können.
aqui
aqui 19.11.2012 um 14:58:06 Uhr
Goto Top
Nein, das funktioniert vermutlich so nicht, denn du kannst die FTP Ports auf einem FTP Server nicht so einfach verbiegen.
Lies dir am besten erstmal durch wie passive FTP funktioniert:
http://slacksite.com/other/ftp.html

Du kannst sehen das der Client eine Command Session auf TCP 21 eröffnet, Daraufhin eröffnet der Server selber die Datasession und gibt seinen Port mit.
Es reicht als im statischen NAT TCP 21 freizugeben und auf die lokale IP Adresse des FTP Servers zu forwarden.

Funal kann man deine Frage so oder so nicht benatworten, da man deine Internet Port Konfiguration nicht kennt. Arbeitest du mit einem Firewall Image und Content Base ACLs musst du ggf. noch ein "FTP Loch" in deine Firewall bohren.
Eine solche Konfiguration zeigt dir das folgende Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Nimmt man das als Grundlage und ist der Server die .100 im lokalen LAN dann müsste die CB ACL noch folgenden Eintrag haben um passive FTP von außen zuzulassen:
access-list 111 permit tcp any eq 21 any
Dann sollte ein statisches NAT Statement reichen: (bezogen jetzt auf deine Konfig !)
ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21
eidedequde
eidedequde 19.11.2012 um 15:36:45 Uhr
Goto Top
als ftp server ist wie gesagt ein sbs 2011 mit iis7 die grundlage. dort kann man festlegen welche dataports benutzt werden sollen für passive ftp.
der router selbst hat leider nur ein ipbasek9 image... also ohne firewall

config kommt dir vlt bekannt vor aqui ;)

Current configuration : 2071 bytes
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 866vae
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
wan mode dsl
no ipv6 cef
ip source-route
ip cef
!
crypto pki token default removal timeout 0
!
username admin privilege 15 secret 4 dwTHm/FTGA8.s31bG3o3WBlyw3O0lTtrwjiIXBiLoYU
!
!
controller VDSL 0
operating mode vdsl2
!
no ip ftp passive
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description vdsl internet verbindung
encapsulation dot1Q 7
no ip route-cache
no cdp enable
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description lokales netz
ip address 192.168.178.6 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer1
description dial in t-online vdsl business
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname feste-ip11/benutzername@t-online-com.de
ppp chap password 0 123456
ppp pap sent-username feste-ip11/benutzername@t-online-com.de password 0 123456
ppp ipcp dns request
ppp ipcp mask request
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
!
access-list 103 permit ip 192.168.178.0 0.0.0.255 any
!
dialer-list 1 protocol ip list 103
!
no cdp run
!
control-plane
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 60000 1000
end
aqui
aqui 19.11.2012 aktualisiert um 16:42:45 Uhr
Goto Top
Ja...kommt irgendwie bekannt daher.... face-wink
OK, wenn du den Port wirklich selber bestimmen kannst ist ja gut. Das solltest du aber immer erst absolut wasserdicht im lokalen LAN austesten !
Bedenke das der FTP Prozess immer aus 2 TCP Ports besteht. Wichtig für den Zugriff von außen ist nur der Command Port. Der Data Port wird vom Server aufgebaut bei Passive.
Dann kannst du das erstmal mit einem Schrotschuss Static NAT austesten NAT das keine Port Begrenzung macht ala:
ip nat inside source static 192.168.178.2 interface dialer 1
Das setzt erstmal alles um und entspräche dann einer "exposed Host" Konfiguration. Wenn das dann klappt, wovon auszugehen ist, dann setzt du das auf deinen umgebogenen FTP Port um sofern du den NAT Prozess auf diese FTP Ports beschränken willst.
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
Noch besser ist du richtest dir auf dem Cisco ein VPN ein (3 Zeiler und Konfig steht im Tutorial) dann hast du den Prozess mit Löcher bohren in die NAT Firewall gar nicht erst und gehst auf Nummer sicher...
eidedequde
eidedequde 19.11.2012 aktualisiert um 16:50:08 Uhr
Goto Top
ok werde ich morgen testen.
das allgemeine ziel ist eben:
192.168.178.2 als ftp passive service
und
192.168.178.3 als exposed host zu betreiben wie es vorher mit einer fritzbox auch möglich war ;)

heute morgen hatte ich bereits
ip nat inside source static 192.168.178.3 interface dialer 1
versucht aber dann konnte man auf einmal keine namensauflösung von innen nach außen mehr betreiben.
ist das szenario so überhaupt möglich?

also grob gesagt möchte ich alles was von extern kommt mit ftp 21 an den einen server 178.2 geht und alles andere von extern an den anderen server 178.3
aqui
aqui 19.11.2012 um 16:54:35 Uhr
Goto Top
OK dann hast du 2 statische NAT Statements drin:
ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. Und
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
dann nur für den FTP Host.
Fertig ist der Lack.
Debug NAT paket ist dein Freund wenns Probleme gibt face-wink
eidedequde
eidedequde 19.11.2012 aktualisiert um 17:02:31 Uhr
Goto Top
ip nat inside source static 192.168.178.3 interface dialer 1
genau das hatte ich heute morgen aber dann konnten die clients im lokalen netz keine websiten mehr auflösen

sollte ich dann zusätzlich noch so etwas mit einfügen?
ip nat inside source static udp 192.168.178.6 53 interface dialer1 53
178.6 ist der router
eidedequde
eidedequde 20.11.2012 um 08:25:51 Uhr
Goto Top
Zitat von @aqui:

ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. ...


das habe ich gerade gemacht aber dann funktionierte kein ping mehr auf zb administrator.de ;)
ein einfaches negieren dieses statements funktionierte auch nicht und ich hab fix ein reload gemacht.
eidedequde
eidedequde 20.11.2012 aktualisiert um 14:21:29 Uhr
Goto Top
kann mir da noch einer evtl einen tip geben?

also hier noch einmal die config. router ist gateway und dns bei den clients.
sobald ich ip nat inside source static 192.168.178.3 interface dialer 1 abschicke geht kein ping mehr etc


Building configuration...

Current configuration : 2304 bytes
!
! Last configuration change at 13:04:20 UTC Tue Nov 20 2012 by admin
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 866vae
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
wan mode dsl
no ipv6 cef
ip source-route
ip cef
!
crypto pki token default removal timeout 0
!
username admin privilege 15 secret 4 dwTHm/FTGA8.s31bG3o3WBlyw3O0lTtrwjiIXBiLoYU
!
controller VDSL 0
operating mode vdsl2
!
no ip ftp passive
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description vdsl internet verbindung
encapsulation dot1Q 7
no ip route-cache
pppoe-client dial-pool-number 1
no cdp enable
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description lokales netz
ip address 192.168.178.6 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer1
description dial in t-online vdsl business
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat inside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname feste-ip11/benutzername@t-online-com.de
ppp chap password 7 12345
ppp pap sent-username feste-ip11/benutzername@t-online-com.de password 7 12345
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer1 overload
!
access-list 23 permit 192.168.178.0 0.0.0.255
access-list 103 permit ip 192.168.178.0 0.0.0.255 any
dialer-list 1 protocol ip list 103
!
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 60000 1000
end
aqui
aqui 21.11.2012 aktualisiert um 12:09:37 Uhr
Goto Top
Da machst du dann wieder grundsätzlich etwas falsch !!
Ein
"no ip nat inside source static 192.168.178.3 interface dialer 1 "
Entfernt das static NAT wieder !!
Und...administrator.de kannst du grundsatzlich nicht anpingen !! Die filtern ICMP Pakete !!
Nimm also bitte heise.de oder spiegel.de für den Test !
eidedequde
eidedequde 21.11.2012 um 13:51:44 Uhr
Goto Top
ein ping auf heise.de habe ich auch gemacht... wollte nur keine werbung oder sonstiges machen ;)
und ein
no ip nat inside source static 192.168.178.3 interface dialer 1
habe ich gemacht weil nachdem ich
ip nat inside source static 192.168.178.3 interface dialer 1
gemacht habe kein ping oder sonstiges funktionierte.

ich bin jetzt dabei das ganze noch einmal zeile für zeile mit deinem beispiel zu vergleichen und meld mich ggf. noch einmal.
meine frage wäre ja nur warum ein wie obiges statisches nat alles zum zusammenbruch bringt?