13
FortiGate Firewall FTP freigeben
Hello @ all!
Ich habe eine FortiGate 60B im Einsatz. Nun hab ich mir von Netgear ein NAS gekauft auf welchem ich den FTP Zugang einetragen bzw. freigegeben habe. Mein Problem ist nun das ich die Konfiguiration auf der FortGate nicht hin bekomme. Ich bin durchs gesamte Netz durch, hab alle Anleitungen gelesen und probiert....bin sicher nicht "der" Firewallspezialist aber ich denke dass das Vorhaben nicht so schwer sein kann. Fixe IP Adressen sind vorhanden.
Kann mir bitte hier jemand weiterhelfen?!
Ich habe eine FortiGate 60B im Einsatz. Nun hab ich mir von Netgear ein NAS gekauft auf welchem ich den FTP Zugang einetragen bzw. freigegeben habe. Mein Problem ist nun das ich die Konfiguiration auf der FortGate nicht hin bekomme. Ich bin durchs gesamte Netz durch, hab alle Anleitungen gelesen und probiert....bin sicher nicht "der" Firewallspezialist aber ich denke dass das Vorhaben nicht so schwer sein kann. Fixe IP Adressen sind vorhanden.
Kann mir bitte hier jemand weiterhelfen?!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145865
Url: https://administrator.de/contentid/145865
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
das ist relativ einfach:
1. Unter Firewall --> Virtual IP eine Weiterleitung eintragen
a) external IP: eine deiner offiziellen IP's
b) mapped IP: die reale Adresse des NAS (192.168.x.y)
2. Unter Firewall --> Policy eine Regel anlegen
a) Source Address: all
b) Destination Address: deine soeben abgelegte virtuell IP
c) Service: FTP auswählen
d) NAT nicht aktivieren!
e) andere Option nach Wunsch auswählen --> Fertig!
mfg
Harald
das ist relativ einfach:
1. Unter Firewall --> Virtual IP eine Weiterleitung eintragen
a) external IP: eine deiner offiziellen IP's
b) mapped IP: die reale Adresse des NAS (192.168.x.y)
2. Unter Firewall --> Policy eine Regel anlegen
a) Source Address: all
b) Destination Address: deine soeben abgelegte virtuell IP
c) Service: FTP auswählen
d) NAT nicht aktivieren!
e) andere Option nach Wunsch auswählen --> Fertig!
mfg
Harald
Richtig, und bei der Policy noch die richtigen interfaces auswählen (src: WAN1 dst: INTERNAL) 
Hallo Harald,
danke für deine rasche Anleitung!
Ich hab jetzt unter virtual IP folgendes angegeben:
Name: NAS
External Interface: wan1
External IP Adress: 83.65.x.x (eine freie Adresse)
Mapped IP: 192.168.0.50 (IP des NAS)
Port Forward: aktiv
Protocol: TCP
Extenal Port: 21
Map to Port: 21
bei der Policy hab ich folgendes:
Source Interface: any
source address: all
Destination Inteface: any
Destination: 192.168.0.50
Schedule: always
Service: FTP
Action: Accept
NAT: nicht aktiv
und sonst auch nichts mehr!
mit diesen Einstellungen komme ich aber leider trotzdem nicht auf das NAS! Hab ich hier einen Fehler drinnen?
BG
TF
danke für deine rasche Anleitung!
Ich hab jetzt unter virtual IP folgendes angegeben:
Name: NAS
External Interface: wan1
External IP Adress: 83.65.x.x (eine freie Adresse)
Mapped IP: 192.168.0.50 (IP des NAS)
Port Forward: aktiv
Protocol: TCP
Extenal Port: 21
Map to Port: 21
bei der Policy hab ich folgendes:
Source Interface: any
source address: all
Destination Inteface: any
Destination: 192.168.0.50
Schedule: always
Service: FTP
Action: Accept
NAT: nicht aktiv
und sonst auch nichts mehr!
mit diesen Einstellungen komme ich aber leider trotzdem nicht auf das NAS! Hab ich hier einen Fehler drinnen?
BG
TF
hallo,
du versuchst es aber schon von außen oder?
Und die Box weiss auch dass sie für die IP zuständig ist (83.65.x.x )?
du versuchst es aber schon von außen oder?
Und die Box weiss auch dass sie für die IP zuständig ist (83.65.x.x )?
Hi chewbakka,
ja ich teste das Ganze von außen und ja die Box (Nas) weiß bescheid!
ja ich teste das Ganze von außen und ja die Box (Nas) weiß bescheid!
Versuchs mit Source Interface WAN1
Destination Interface: internal
Destination Interface: internal
Hallo,
ich meinte, ob die Fortigate weiss, das sie für die IP zuständig ist.
ich meinte, ob die Fortigate weiss, das sie für die IP zuständig ist.
Sorry, das hab ich falsch vesrstanden!
Meinst du ob auf der Fortigate ein Interface mit der neuen externen IP Adresse versehen ist?
Ich seh nur unter den Interfaces das die FG bei wan1 die erste externe IP Adresse stehen hat.
Gibt es noch eine andere Möglichkeit wo die IP steht?
Danke
Meinst du ob auf der Fortigate ein Interface mit der neuen externen IP Adresse versehen ist?
Ich seh nur unter den Interfaces das die FG bei wan1 die erste externe IP Adresse stehen hat.
Gibt es noch eine andere Möglichkeit wo die IP steht?
Danke
die IP die unter wan steht ist die richtige
du kannst sie auch vom CLI aus abrufen mit:
show system interface wan1
Die IP Adresse trägst du dann auch bei deiner Virtual IP ein
Wieso eine Freie? nein - genau die vom WAN interface.
hast du schon versucht das richtige source und destination interface in der policy anzugeben?
du kannst sie auch vom CLI aus abrufen mit:
show system interface wan1
Die IP Adresse trägst du dann auch bei deiner Virtual IP ein
External IP Adress: 83.65.x.x (eine freie Adresse)
Wieso eine Freie? nein - genau die vom WAN interface.
hast du schon versucht das richtige source und destination interface in der policy anzugeben?
bei der Policy hab ich folgendes:
Source Interface: any (hier WAN1)
source address: all
Destination Inteface: any (hier INTERNAL)
Destination: 192.168.0.50
Source Interface: any (hier WAN1)
source address: all
Destination Inteface: any (hier INTERNAL)
Destination: 192.168.0.50
Hallo,
in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!
Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet. Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic findet somit ausschließlich in der Policy statt.
Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.
Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port 21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.
mfg
harald
in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!
Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet. Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic findet somit ausschließlich in der Policy statt.
Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.
Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port 21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.
mfg
harald
Zitat von @harald21:
Hallo,
in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!
Hallo,
in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!
wie soll das mit der freien IP funktionieren?
man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.
Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet.
Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic
findet somit ausschließlich in der Policy statt.
Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic
findet somit ausschließlich in der Policy statt.
Port 21 reicht.
FTP Data Verbindung wird ja vom Server zum client aufgebaut und nicht vom client zum server.
Also ich habe eine Fortigate und einen FTP server.
Virtual IP mit Port 21 und Portweiterleitung funktioniert
Die richtigen Interfaces bei der Policy eingetragen (natürlich auch die reihenfolge der policys beachten) und es funktioniert.
Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.
Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port
21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.
mfg
harald
Hallo,
Einfach die gewünschte IP-Adresse in der VIP eintragen (und dort das richtige Interface auswählen), ein Binden der IP an das Interface ist absolut überflüssig
Falsch !
mfg
Harald
man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.
Einfach die gewünschte IP-Adresse in der VIP eintragen (und dort das richtige Interface auswählen), ein Binden der IP an das Interface ist absolut überflüssig
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein
Falsch !
mfg
Harald
da hast du natürlich recht,. Wenn ichs mir jetzt so durchlese weiß ich auch nicht warum ich auf sowas gekommen bin
