a-lele
Goto Top

Gemeinsame Internetverbindung Port-forwarding will nicht..?

Hallo Leute,
bin neu hier un habe da gleichein komische Problem...

Damit jeder den Aufbau versteht, hier mal ein Netzplan:
http://img821.imageshack.us/img821/7338/netzwerk.png

Wie man sieht ist der XP-Router per PPPoE ins Internet verbunden und dann gehts an zwei verschiedene Firewalls,
um die Sache zu vereinfachen nehmen wir an am Hub hängt noch ein Client mit "192.168.0.50".
Dieser ist über den XP-Router Online, da auf dem XP-Router die Gemeinsame Internetnutzung an der PPPoE Verbindung erlaubt ist.

Nun habe ich auf dem Client (x.x.0.50) ein FTP Server aufgesetzt und will das er Online erreichbar ist.
Dazu habe ich im XP-Router unter den Eigenscharten (von PPPoE)->Erweitert->unten bei Einstellungen, den Port 21 an die IP 192.168.0.50 weitergeleitet.
Nun sollte der server ja aus dem Internet erreichbar sein!?
Ist er aber nicht.

ahja XP-Router hat keine Firewall alles deaktiviert und es geht net.


Muss ich an der Lan-Verbindung, über die sich das PPPoE verbindet auch noch was einstellen!? oder ist die "inaktiv"?


Ist es eigendlich möglich alle Ports an die eth1 schnittstelle zu leiten!?


Zwischen rein noch was anderes das Netz wie man es funktioniert komplett, sprich alle Cleints kommen Online und das obwohl im XP-Router der Regestry eintrag "IPEnableRouter" auf 0 ist. Dann sollte der Xp-Router ja nicht routen oder!?
Wieso geht das trotzdem!?


Hoffe ihr könnt mir helfen.

Danke im voraus.


MfG

Content-ID: 149720

Url: https://administrator.de/forum/gemeinsame-internetverbindung-port-forwarding-will-nicht-149720.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

Arch-Stanton
Arch-Stanton 25.08.2010 um 16:05:35 Uhr
Goto Top
Eine einzige Firewall mit drei Netzwerkkarten (z.B. ipCop) würde den Aufbau sicher vereinfachen und zum Gelingen beitragen. Einen XP-Rechner als Firewall sollte man ganz schnell abbauen.

Gruß, Arch Stanton
Karo
Karo 25.08.2010 um 16:05:54 Uhr
Goto Top
Hi,
bei der IP-Fire wird der Verkehr auch wirklich durchgelassen zu der Maschine? Ich denke nicht...

Karo
mrtux
mrtux 25.08.2010 um 16:16:05 Uhr
Goto Top
Hi !

Auch auf die Gefahr hin, wieder negative Energien zu versprühen aber so ganz steige ich da auch nicht durch....Was soll so ein Aufbau für Vorteile haben? Was kann das XP als Router, was man nicht auch direkt einer Firewall überlassen könnte? Und wenn es günstig und stromsparend sein soll: Eine kleine Box (z.B. PC Engines) mit drei Netzwerkadaptern und einer Firewalllösung auf UNIX, BSD oder Linux Basis (z.B. Monowall, PFSense o.ä.) und das Thema ist erledigt und auch noch schnell und einfach zu administrieren...

mrtux
aqui
aqui 25.08.2010, aktualisiert am 18.10.2012 um 18:43:15 Uhr
Goto Top
FTP benutzt immer 2 Ports nämlich TCP 20 und TCP 21. http://de.wikipedia.org/wiki/File_Transfer_Protocol
Dein PFW ist also nur die halbe Miete !
Da auch der XP Router NAT macht kommst du über dessen NAT Firewall nur mit einem FTP Client der im sog. "passive Mode" arbeitet !!
Was das ist kannst du hier nachlesen:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw.
http://slacksite.com/other/ftp.html
Nur damit kannst du den FTP Server erreichen.
Das der natürlich den XP Router als Gateway eingetragen haben sollte und das die lokale Firewall FTP Zugriffe von jedem Netz zulassen muss sollte auch klar sein !
Damit funktioniert das auf Anhieb.

Ansonsten kann man nur der Argumentation von Arch oben folgen: Das Netzwerkdesign ist chaotisch und zum Thema "XP Router ohne Firewall" muss man wohl keine Worte mehr verlieren. Auch nicht zum Stromverbrauch dieser 3 Komponenten.
Sinnvoller wäre das mit einer IPCop, Monowall oder PFsense Firewall zu machen.
Am besten auf einem kleinen ALIX Board wie hier beschrieben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit hat man Router, beide Firewalls in einem einzigen Gerät mit 15 Euro Stromkosten in einem Jahr und ein netzwerktechnisch sinnvolles Design.
Wer keine 4 Schrauben festziehen kann kauft es für kleines Geld fertig von der Stange:
http://www.applianceshop.eu/index.php/appliances/firewalls.html
oder
Mikrotik RB750 - Quick Review
aqui
aqui 25.08.2010 um 16:18:41 Uhr
Goto Top
...zumal jeder 20 Euro Router
http://www.alternate.de/html/product/Netzwerk/getnet/GR-154/139942/?tn= ...
erheblich mehr kann als diese XP Krücke. Von der Sicherheit "ohne Firewall" mal ganz zu schweigen... Wenigstens funktioniert damit der FTP Server wie z.B. der Cerberus:
http://www.cerberusftp.com/download.html
Aber wir sollen hier nicht immer so negativ sein und am eigentlichen Problem arbeiten. Ist ja schliesslich kein Design Beratungsforum hier...oder ?!
2hard4you
2hard4you 25.08.2010 um 16:25:11 Uhr
Goto Top
Moin,

also es gibt schon brutale Ideen, der Mond ist ne Scheibe, XP als Firewall (bei nur 10 offenen Verbindungen zu dem XP als Router) - menno, setz ne IPCop, ne M0n0wall oder sonstwas auf - das geht (aja, 3 NICs sind ok, aber die kosten ja nix) ........

Hilfe dazu findest Du in der SuFu hier im Forum

Gruß

24
Arch-Stanton
Arch-Stanton 25.08.2010 um 19:33:27 Uhr
Goto Top
wer solch eine Zeichnung erstellen kann, dem traue ich auch zu, einen ipcop venünftig aufzusetzen.

Wer x-beliebige Router kauft, der schubst auch kleine Enten in den Teich. Ich empfehle die Lancomrouter auschließlich auf Grund Ihres Designs, schließlich soll der Router zu dem MacbookPro passen. Ich stell doch keinen HighscreenPC mit ipcop neben meinen Schreibtisch...

Wer anderer Meinung ist, darf diese behalten.

Gruß, Arch Stanton
a-Lele
a-Lele 25.08.2010 um 20:23:16 Uhr
Goto Top
Abend,

uj hier gehts aber ab face-smile

Der Aufbau ist ja nur kurzfristig und zu testzwecken.
Habe es aus Gründ so aufgebaut:
- Das eine Netz soll vom anderen unabhängig sein, inkl IPFire, damit ich im Testnetz mit IPFire "experimentieren" kann, ohne das mir die Clients den Kopf abreisen wenn was nicht geht.

Das mitm XP-Router habe ich nur gemacht da ich ja in ihm die Netzadressen das Netze hinter den IPFires eintragen muss, damit diese dann erreichbar sind oder etwa nicht? Nur hatte ich keinen Router der das kann.

Wieso redet jeder von IPCop, soll nicht IPFire "besser" und aktueller sein?


Das mitm Aktiv/Passiv FTP kenn ich, nur wenn ich im 172.16.0.0 Netz ein FTP aufsetze gebe ich im IPFIre auch nur 21 frei und kann von außen (XP-Router) drauf. Das ohne 20 zu FW.

danke allen für die Antworten.

gruß
Arch-Stanton
Arch-Stanton 25.08.2010 um 20:42:50 Uhr
Goto Top
Du brauchst doch nur EINEN Deiner drei PC und dann die Firewallsoftware darauf einspielen, dann hast Du doch einen Router. Du solltest Dir einmal die Grundlagen erarbeiten, z.B. hier, dann wirst Du sehen, daß ich Recht habe.

Gruß, Arch Stanton
aqui
aqui 26.08.2010 um 13:23:19 Uhr
Goto Top
Hier gehts immer richtig ab....
Das eine Netz soll vom anderen unabhängig sein, inkl IPFire, damit ich im Testnetz mit IPFire "experimentieren" kann, ohne das mir die Clients den Kopf abreisen wenn was nicht geht.
A.: Das ist unsinnig, denn das klappt mit einer Monowall, Pfsense oder IPFire mit 3 Netzwerk Interfaces genausogut ohne den Hardware Overkill von oben !

Das mitm XP-Router habe ich nur gemacht da ich ja in ihm die Netzadressen das Netze hinter den IPFires eintragen muss, damit diese dann erreichbar sind oder etwa nicht? Nur hatte ich keinen Router der das kann.
A.: Auch Unsinn, jeder 20 Euro Baumarkt Router kann das auch.

Wieso redet jeder von IPCop, soll nicht IPFire "besser" und aktueller sein?
A.: Noch besser ist eine kleine feste Appliance (Monowall, Pfsense) auf einem preiswerten ALIX Board. (Siehe oben)
Übrigens: IPFire rennt darauf auch, ist aber eine Katastrophe von der Bedienung wenn du einmal mit Monowall oder Pfsense gearbeitet hast siehst du das nicht mehr an !!
Schön und sinnvoll vom Design her sähe dein Netz dann so aus:

e0b498c511faad161ffb48cdee3e509a
cardisch
cardisch 26.08.2010 um 13:24:12 Uhr
Goto Top
Benutzt du eine "bestimmte" Software dazu oder die in Windows integrierte Funktion gemeinsame Nutzung des Internet ?!
Wenn letzteres, was die nicht abhängig davon, dass DNS-Eintrag, die Clients, der DHCP-Bereich, etc einen bestimmten IP haben mussten ?!
Muss es ein XP-Router sein !?!
Ich hatte früher (gaaaaanz gaaaanz früher), als es noch keine DSL/ISDN gab mit meinem Bruder ein Modem-Leitung per "Winsocks" geteilt, was aber wie gesagt nur ein Rechner, keine ganzen Netzte..

Gruß

Carsten
elPirato
elPirato 21.10.2010 um 00:43:24 Uhr
Goto Top
Es ist für mich offensichtlich, dass er 2 Ipfire haben möchte, weil hinter dem einen eine Umgebung sitzt, die immer erreichbar sein muss und er den 2. zum "rumspielen" haben möchte, ohne dass ihm dabei die andere Umgebung flöten geht..
Allerdings braucht er dafür den XP-PC natürlich nicht.
Du nimmst dir einen Ipfire, klemmst Red an das Modem, Green ist die Produktivumgebung und an Blue kommt der andere Ipfire mit seiner Red zum rumspielen dran.
Red am ersten geht wahrscheinlich über PPoE über das Modem ins Netz. Wenn in den beiden Netzen kein AD notwendig ist, brauchts auch keine externen DHCP Server, das können die Ipfires von Haus aus.
Red vom 2. bekommt eine IP aus dem Blue Netz des 1. Ipfire. Standardgateway des 2. Ipfire ist die IP der Blue Schnittstelle des 1. Ipfire.
Der FTP-Server kommt in das Orange Netz des 1. Ipfire, wenn der FTP aus dem I-Net erreichbar sein soll.
Falls es ihm nur um ein 2. Netz geht und ich das Anliegen falsch verstanden habe, braucht er natürlich nur den einen Ipfire, wobei Green dann seine Produktivumgebung, Blue seine Spielwiese und Orange die DMZ mit den I-Net-Diensten ist. Green/Blue/Orange routen immer auf Red, da braucht man nichts einstellen. Bei einem Ipfire hinter dem Ipfire routet dann eben "Rumspiel- Ipfire 2" [Green auf Red] --> "Produktiv-Ipfire 1" [Blue auf Red] --> Internet

Ich persönlich bilde das virtuell ab. Dom0 mit Citrix Xenserver, dann als VM, was man eben so braucht. Obiges Szenario würde somit nur eine einzige physikalische Maschine für die Serverdienste inklusive der Ipfires beanspruchen.
Habe mir früher einen abgebrochen mit neu installieren oder Images, heute wird einmal installiert, die VM exportiert und fertig ist der Lack. Wenn der Host das Zeitliche segnet, der Xenserver ist in 20 Minuten auf jeder x-beliebigen, unterstützten Hardware wieder installiert, dann die VMs importieren, eventuell die NICs anpassen und läuft wieder. Bei zerschossenen VMs ist es ja noch einfacher, einfach die zerschossene VM löschen und die exportierte wieder einspielen. Der Xenserver ist kostenlos, man muss nur jedes Jahr eine neue kostenfreie Lizenz erstellen, importieren und gut.

Jau, viel Spaß face-smile