lighti
Goto Top

Freigabe eines FTP Servers hinter einem Cisco 866VAE-K9 ?

Hallo Leute,

ich habe mir einen Cisco 866VAE-K9 Secure Router gekauft und komme mit der Konfiguration einfach nicht weiter.

Ich habe die tolle Anleitung von aqui zur Konfiguration von VDSL und IP-TV befolgt und soweit klappt auch alles, vielen Dank !
Sogar DynDNS funktioniert.

Der Router hat die IP 192.168.2.1.
Zusätzliche habe ich eine einfache Synology NAS auf 192.168.2.8 liegen.

Ich würde gerne aus dem Internet per FTP auf die Synology NAS durch den Cisco zugreifen, kriege es aber einfach nicht zum laufen.
Hier meine Konfig:


version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service tcp-keepalives-in
service tcp-keepalives-out
no service password-encryption
!
hostname LD866VAE
!
boot-start-marker
boot system flash:/c860vae-advsecurityk9-mz.154-1.T1.bin
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
wan mode dsl
!
no ip source-route
no ip gratuitous-arps
!
!
ip dhcp excluded-address 192.168.2.1 192.168.2.19
ip dhcp excluded-address 192.168.2.39 192.168.2.254
!
ip dhcp pool LDPool
import all
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 192.168.2.1
lease 0 2
!
!
!
!
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip domain lookup
ip host Kronos 192.168.2.2
ip host Hermes 192.168.2.3
ip host Uranus 192.168.2.4
ip host LDESXi 192.168.2.7
ip host LDNAS 192.168.2.8
ip host CLP310 192.168.2.9
ip host LDAP 192.168.2.11
ip host LO100 192.168.2.49
ip host CiscoSwitch 192.168.2.50
ip ddns update method dyndns
HTTP
add http://xxxxx:xxxxx@members.dyndns.org/nic/update?system=dyndns&host ...;
interval maximum 28 0 0 0
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-327291052
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-327291052
revocation-check none
rsakeypair TP-self-signed-327291052
!
!
crypto pki certificate chain TP-self-signed-327291052
certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
!
!
username cisco privilege 15 secret 4 xxxxx
!
!
controller VDSL 0
!
!

interface Ethernet0
no ip address
no shutdown
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description LDVLAN1
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxx@t-online.de password xxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
ip ddns update hostname xxxxx
ip ddns update dyndns
!
no ip forward-protocol nd
!
ip dns server
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.2.8 20 interface Dialer0 20
ip nat inside source static tcp 192.168.2.8 21 interface Dialer0 21
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any eq ftp any
access-list 111 permit tcp any eq ftp-data any established
access-list 111 permit tcp host members.dyndns.org eq www any established log
access-list 111 deny ip any any log
!
!
ntp server pool.ntp.org
!
kron occurrence Zwangstrennung at 06:00 recurring
policy-list clear-VDSL
!
kron policy-list clear-VDSL
cli clear pppoe all
!
!
banner exec 

Cisco 866VAE-K9


banner login 

Welcome.


!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 60000 1000
!
end


Leider funktioniert es so aber nicht.
Der FTP ist von außen nicht erreichbar, und auch per Internet Port Scan wird mir angezeigt, das Port 21 nicht offen ist.

Könnte bitte jemand über die Konfig schauen und mir sagen wo der Fehler liegt ?


Vielen Dank und Gruß,
Holger

Content-ID: 235056

Url: https://administrator.de/contentid/235056

Ausgedruckt am: 25.11.2024 um 00:11 Uhr

aqui
Lösung aqui 10.04.2014, aktualisiert am 19.04.2014 um 04:02:28 Uhr
Goto Top
Generell ist deine Konfig richtig aber der Teufel lauert wie immer im Detail face-wink
Die Problematik ist das es hier zu einem Konflikt zwischen PAT und deinem statischem NAT kommt, da du die .2.8 nicht aus dem PAT (overload) ausgenommen hast.
Deine PAT Accessliste müsste also so lauten
access-list 101 deny ip host 192.168.2.8 any
access-list 101 permit ip 192.168.2.0 0.0.0.255 any

Damit ist dann das NAS aus dem PAT ausgenommen und das statische NAT mit den TCP Ports greift.
Du kannst auch den Schrotschuss versuchen:
ip nat inside source static 192.168.2.8 interface dialer 0

Das überrennt das, exponiert aber dein Synology komplett ins Internet, funkltioniert dann aber auch ohne diese PAT Ausnahme.
Testweise kannst du temporär auch mal das Firewalling und die ACL 111 vom Dialer entfernen um dir keine Fallstricke mit der ACL und dem CBAC der Firewall zu legen !
Hilfreich ist immer ein Debugging (debug...) der ACL 111 und auch des NAT Prozesses wenn du den FTP Zugang ansprichst. Das zeigt dir dann die eingehenden Pakete und was mit diesen geschieht.
Dran denken immer den Debugger am Ende mit u all wieder auszuschalten !

Was du außerdem noch beachten solltest ist das active FTP nicht über NAT Port Forwarding übertragen werden kann ! Warum das so ist erklärt dir diese Website:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw. hier im Detail:
http://slacksite.com/other/ftp.html
Von außen kannst du also immer nur mit einem Client zugreifen der Passive FTP supportet und deine Synologie sollte auch Passive FTP unterstützen !
Die FTP Clients der Browser wie z.B. Firefox sind alle im passive Mode implementiert wenn man z.B. ftp://user:password@mysynology.dyndns.org im URLfenster eingibt !
Lighti
Lighti 19.04.2014 um 04:02:43 Uhr
Goto Top
Vielen Dank für die Hilfe, ich werd es gleich über Ostern umsetzen. face-smile
aqui
aqui 19.04.2014 um 12:41:25 Uhr
Goto Top
Na dann sind wir mal gespannt auf das Feedback....?!
aqui
aqui 05.07.2014 um 09:56:54 Uhr
Goto Top
Das ist aber ein ganz schön langes Ostern.....?!
Lighti
Lighti 07.07.2014 aktualisiert um 17:48:11 Uhr
Goto Top
Hallo aqui,

ich hab den Thread natürlich ganz vergessen.
Deine Tips waren Gold wert, vorallem der Tip zum Unterschied zwischen active und passive FTP hat mir sehr geholfen.

Das Grund Problem lag aber wo anders und ist genauso einfach wie dämlich:

So sah es ursprünglich aus:
access-list 111 permit tcp any eq ftp any

So funktioniert es:
access-list 111 permit tcp any any eq ftp

Ich hab mich hier einfach an dem großen 886vae Konfig Guide orientiert und von der Zeile mit NTP abgeschrieben....

Liese sich z.B. die FTP ACL in den Guide noch einbauen ? Oder zumindest eine entsprechende Warnung ?
Ich bin sicher, ich bin nicht der einzige der hier zu doof war und blind kopiert hat face-smile

Danke nochmal
aqui
aqui 07.07.2014 aktualisiert um 19:23:18 Uhr
Goto Top
Hallo Lighti !

Ich habe das 886va_Tutorial nochmal genau daraufhin angesehen.
Dort steht nichts von einer falschen ACL bzw. nichts spezifisches in Bezug auf FTP. (Oder ich hab Tomaten auf selbigen..)

Das hast vermutlich einen Kardinalsfehler begangen und hast dich vermutlich in guter Absicht an die CBAC ACLs (im Tutorial die ACL 111) gehalten.
Die ist aber einzig dafür da IP Traffic zu permitten der direkt vom Router Interface und dem Router initiiert wird.
Das ist natürlich eine Falle, denn die Syntax für Traffic der über den Router fliesst ist geringfügig anders wie du gesehen hast face-wink
Da ist das dann natürlich access-list 111 permit tcp any any eq ftp denn mit any any ist Source und Destination die bei wechselnden IP Adressen des Absenders und Empfängers (wechselnde DSL IP durch Zwangstrennung) natürlich offen bleiben müssen.
Das GRE Statement für PPTP VPN Zugriff auf den Router zeigt das aber zugegebenrmaßen kommt man da als Cisco Neuling nicht gleich drauf...

Danke aber für den hilfreichen Hinweis, ich werde da nochmal einen kleinen Satz der Warnung in das Tutorial einfliessen lassen um andere vor der Falle zu bewahren face-wink