seji6489
05.07.2012, aktualisiert am 09.07.2012
view4880
view16
0
Goto Top

Keine Verbindung zum FTP-Server möglich

FrageNetzwerkeRouter, Routing
Hallo zusammen,

ich habe hier ein Cisco Router. Bin relativ neu was Cisco angeht und komme daher nicht weiter face-confused

Folgendes Problem:

Auf dem Router sind zwei VLAN's konfiguriert (Normales Netz und VoIP). Dazu habe ich zwei Internet Anschlüsse, einmal KabelBW DSL für die PC's Server und SDSL für VoIP. Beides läuft über den Cisco und ist über Source-Routing realisiert.

Nun besteht folgendes Problem:

Mir ist nicht möglich von einem Client oder Server eine Verbindung zu einem FTP Server herzustellen.
Habe schon diverse Sache probiert, aber ich verstehe nciht warum das nicht geht. E-Mail, HTTP usw. funktioniert alles einwandfrei.

Der Port 21 wird auch genattet aber ich bekomme keine Verbindung:

tcp 91.89.237.119:11706 192.168.0.5:11706 62.75.189.15:21 62.75.189.15:21

Cisco Config:
Current configuration : 5838 bytes!! Last configuration change at 09:37:06 UTC Thu Jul 5 2012 by root!version 15.0service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!logging buffered 16386logging rate-limit 100 except warningsenable secret 5 XXXXXXXXXXXXXXXXXXXXX!aaa new-model!!!!!!!aaa session-id common!!!!crypto pki trustpoint TP-self-signed-3587483744 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3587483744 revocation-check none rsakeypair TP-self-signed-3587483744!!crypto pki certificate chain TP-self-signed-3587483744 certificate self-signed 01 30820266 308201CF A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33353837 34383337 3434301E 170D3132 30363033 31343236 31365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35383734 38333734 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100D7B0 D7820FEB 9F9687F8 8FF2E4AF F1D17014 ABC2649E DCB48B29 C964102D 7590D0FE FBC4675C E1BE7925 5E0B3F30 265E0B8F 0F5DEE29 39676816 0D197DC9 0ED2C50C BE67CF62 D676CBF3 E02CEDEF 3D91E75D 629DA550 6EFC10C3 22251CEF A40BB66C 6BDC68AD F331AA43 841CD494 1A1EC9AB 349963E3 210AAB2A 65D27E27 175F0203 010001A3 818D3081 8A300F06 03551D13 0101FF04 05300301 01FF3037 0603551D 11043030 2E822C52 6F757465 722E6C62 2E676573 756E6468 65697473 7A656E74 72756D2D 6C756477 69677362 7572672E 6E657430 1F060355 1D230418 30168014 16613DD1 347BD777 1E811303 19D96060 C733D0BA 301D0603 551D0E04 16041416 613DD134 7BD7771E 81130319 D96060C7 33D0BA30 0D06092A 864886F7 0D010104 05000381 810061DB E9F24B87 FF2513B0 90BBAD13 8475F4EF C17EEC1E 72D3FA3F AE23E6EF E5CA6378 1132E8E2 9304E1D9 7E6F0FA3 931E678A 3C203D27 5845CF65 F9D5557F 1A8E804B 5B95DBA4 A1B46529 D60A2B60 C95E629C E2B746A5 B715CF46 90DE76DF BB531214 4C09C102 0449B952 A082D4D4 9D834E3B 263DC2F9 10E58E38 A5FFF2C3 5CF3 quitdot11 syslogip source-route!!ip dhcp excluded-address 192.168.1.4!ip dhcp pool DHCPVoIP import all network 192.168.1.0 255.255.255.0 dns-server 145.253.2.203 145.253.2.11 default-router 192.168.1.4!!ip cefip domain name lb.gesundheitszentrum-ludwigsburg.net!no ipv6 cef!multilink bundle-name authenticated!!!username root privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX!!controller DSL 0 mode atm dsl-mode shdsl symmetric annex B ignore-error-duration 15!!!!!!!!interface ATM0 no ip address no atm ilmi-keepalive !!interface ATM0.1 point-to-point pvc 1/32 pppoe-client dial-pool-number 1 !!interface BRI0 no ip address encapsulation hdlc shutdown !!interface FastEthernet0 ip dhcp client default-router distance 1 ip ddns update datacmrh1 ip address dhcp ip nat outside ip virtual-reassembly ip tcp adjust-mss 1412 duplex auto speed auto !!interface FastEthernet1 switchport access vlan 2 !!interface FastEthernet2 switchport access vlan 3 !!interface FastEthernet3 !!interface FastEthernet4 !!interface FastEthernet5 switchport access vlan 2 !!interface FastEthernet6 switchport access vlan 3 !!interface FastEthernet7 !!interface FastEthernet8 !!interface Vlan1 no ip address !!interface Vlan2 description Netzwerk ip address 192.168.0.4 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map MapNetzwerk !!interface Vlan3 description VoIP ip address 192.168.1.4 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map MapVoIP !!interface Dialer0 !!ip forward-protocol ndno ip http serverip http authentication localip http secure-server!!ip dns serverno ip nat service sip udp port 5060ip nat pool natVoIP 192.168.1.0 192.168.1.255 netmask 255.255.255.0ip nat pool natNetzwerk 192.168.0.0 192.168.0.255 netmask 255.255.255.0ip nat inside source list 1 interface FastEthernet0 overloadip nat inside source list 2 interface Dialer0 overloadip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389ip route 10.8.0.0 255.255.255.0 192.168.0.1!ip access-list extended allin permit ip any any!logging 192.168.0.1access-list 1 permit 192.168.0.0 0.0.0.255access-list 2 permit 192.168.1.0 0.0.0.255dialer-list 1 protocol ip permit!!!!route-map MapNetzwerk permit 10 match ip address 1 set default interface FastEthernet0!route-map MapVoIP permit 10 match ip address 2 set default interface Dialer0!!!control-plane !!!line con 0 exec-timeout 120 0 privilege level 15line aux 0 exec-timeout 120 0 privilege level 15 transport input sshline vty 0 4 exec-timeout 120 0 privilege level 15 transport input sshline vty 5 15!end

Eine Idee? Hab ich einen schnitzer beim NAT?

Vielen Dank.

Gruß Seji
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 187526

Url: https://administrator.de/contentid/187526

Ausgedruckt am: 25.11.2024 um 10:11 Uhr

16 Kommentare
Neuester Kommentar
Goto Top
SlainteMhath
SlainteMhath 05.07.2012 um 15:30:34 Uhr
Goto Top
Moin,

Du bist sicher das du hier deine Komplette Router Config incl. deiner Arcor- und DDNS- Passwörter usw. posten willst?

Mutig face-smile

lg,
Slainte
seji6489
seji6489 05.07.2012 um 16:24:17 Uhr
Goto Top
ups, ist raus. Danke, evtl. ne Idee zum Problem?
delemming
delemming 09.07.2012 um 09:06:03 Uhr
Goto Top
kannst du den server anpingen?
seji6489
seji6489 09.07.2012 um 10:18:22 Uhr
Goto Top
Zitat von @delemming:
kannst du den server anpingen?

Es geht um keinen bestimmten FTP Server. Es geht allgemein kein FTP nach außen. Aber ja Pingen kann ich generell.

Gruß Seji
delemming
delemming 09.07.2012 aktualisiert um 11:13:23 Uhr
Goto Top
hmmmm, irgendwas sagt mir, dass die acl stinkt, aber ich komm nich drauf

hast du mal ip accounting geprüft

cisco router:
(global config mode)
#>int vlan2
#>ip accounting access-violations

#>end

client deiner wahl
///versuchen mit client ftp zu erreichen

cisco router(priv mode)
#show ip accounting access-violations


dann mal output bitte


edith:

ich seh da ne eingehende ACL die auf kein interface zeigt, also inaktiv ist, soll das so?
seji6489
seji6489 09.07.2012 aktualisiert um 11:54:27 Uhr
Goto Top
Hallo,

also die ACL war zum Test, hat aber nicht so recht getan. Daher ist inaktiv.

Zu deinem Test:

Router#show ip accounting access-violations Source Destination Packets Bytes ACLAccounting data age is 3

Also nichts....

Nochmal zur Any Any ACL, wenn ich als "access-group in" auf das interface binde (Fa0) dann müsste alles reindürfen oder?
delemming
delemming 09.07.2012 aktualisiert um 12:29:35 Uhr
Goto Top
jab,

"ip access-group allin in"

so ne acl auf nem externen interface ist allerdings ein wenig kritisch.
aber das weisst du sicher selber ;)
delemming
delemming 09.07.2012 um 12:31:11 Uhr
Goto Top
hmmm, mal in ne vm packen, das elend
seji6489
seji6489 09.07.2012 aktualisiert um 12:40:30 Uhr
Goto Top
Zitat von @delemming:
jab,

"ip access-group allin in"

so ne acl auf nem externen interface ist allerdings ein wenig kritisch.
aber das weisst du sicher selber ;)


Das dass Sicherheitstenisch keine gute Idee ist, ist mir klar. Wollte wissen ob ich das von der Funktion richtig verstanden habe.

Zitat von @delemming:
hmmm, mal in ne vm packen, das elend


Cisco IOS kann man in ne VM packen!?

EDIT:

Wenn ich das mit ACL mache und NICHT any any, sondern das entsprechend z.B auf FTP herunterbreche, sperre ich mich doch selbst aus? Weil dann darf ja NUR FTP, oder?

Gruß Seji
delemming
delemming 09.07.2012 um 13:24:38 Uhr
Goto Top
Zitat von @seji6489:
> Zitat von @delemming:

>
>
Das dass Sicherheitstenisch keine gute Idee ist, ist mir klar. Wollte wissen ob ich das von der Funktion richtig verstanden habe.

Ich würd sagen hast du.


> Zitat von @delemming:
> ----
> hmmm, mal in ne vm packen, das elend


Cisco IOS kann man in ne VM packen!?

dynamips. kein vollwertiger ersatz, aber es kann vieles.
dann gibts noch packettracer als "simulator", mehr so nen einsteigerspielzeug.


so, ich honk, die acl kannst du kicken, war ein holzweg.

häng mal an diese 3 zeilen das schlüsselwort extendable

ip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194
ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443
ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389


ip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194 extendable
ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443 extendable
ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389 extendable


gruss lemming
seji6489
seji6489 09.07.2012 aktualisiert um 13:34:54 Uhr
Goto Top
Geht nicht.... invalid input

Was soll das bringen? Die sind doch eh static...
delemming
delemming 09.07.2012 um 13:41:54 Uhr
Goto Top
das ding ist du fährst zwei translations auf der büchse
erst sagt du mach pat mit allem was aus vlan2 kommt.
2 zeilen weiter unten balgst du voll in das pat rein, weil du statische nat einträge auf die selbe global address zuweist.
extendable sollte eigentlich dafür sorgen das er dass frisst.
seji6489
seji6489 09.07.2012 um 13:49:40 Uhr
Goto Top
Zitat von @delemming:
das ding ist du fährst zwei translations auf der büchse
erst sagt du mach pat mit allem was aus vlan2 kommt.
2 zeilen weiter unten balgst du voll in das pat rein, weil du statische nat einträge auf die selbe global address zuweist.
extendable sollte eigentlich dafür sorgen das er dass frisst.

Ok, 100%ig verstanden habe ich das jetzt nicht aber ok ^^ Aber wie gesagt, lässt sich leider so nicht eintragen.
delemming
delemming 09.07.2012 um 14:30:08 Uhr
Goto Top
was sagt show ip nat translations ?
seji6489
seji6489 09.07.2012 um 15:08:11 Uhr
Goto Top
Hab ich ja schon im ersten beitrag geschrieben. Port 21 wird genattet. Oder möchtest du eine komplette ausgabe?
seji6489
seji6489 10.07.2012 um 07:56:00 Uhr
Goto Top
Hallo,

habe gestern nochmal etwas mit den ACL rumgespielt. Geholfen hat es allerdings nicht....

Current configuration : 5984 bytes!! Last configuration change at 17:29:44 UTC Mon Jul 9 2012 by root!version 15.0service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!logging buffered 16386logging rate-limit 100 except warnings!aaa new-model!!!!!!!aaa session-id common!!!!crypto pki trustpoint TP-self-signed-3587483744 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3587483744 revocation-check none rsakeypair TP-self-signed-3587483744!!crypto pki certificate chain TP-self-signed-3587483744 certificate self-signed 01 30820266 308201CF A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33353837 34383337 3434301E 170D3132 30363033 31343236 31365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35383734 38333734 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100D7B0 D7820FEB 9F9687F8 8FF2E4AF F1D17014 ABC2649E DCB48B29 C964102D 7590D0FE FBC4675C E1BE7925 5E0B3F30 265E0B8F 0F5DEE29 39676816 0D197DC9 0ED2C50C BE67CF62 D676CBF3 E02CEDEF 3D91E75D 629DA550 6EFC10C3 22251CEF A40BB66C 6BDC68AD F331AA43 841CD494 1A1EC9AB 349963E3 210AAB2A 65D27E27 175F0203 010001A3 818D3081 8A300F06 03551D13 0101FF04 05300301 01FF3037 0603551D 11043030 2E822C52 6F757465 722E6C62 2E676573 756E6468 65697473 7A656E74 72756D2D 6C756477 69677362 7572672E 6E657430 1F060355 1D230418 30168014 16613DD1 347BD777 1E811303 19D96060 C733D0BA 301D0603 551D0E04 16041416 613DD134 7BD7771E 81130319 D96060C7 33D0BA30 0D06092A 864886F7 0D010104 05000381 810061DB E9F24B87 FF2513B0 90BBAD13 8475F4EF C17EEC1E 72D3FA3F AE23E6EF E5CA6378 1132E8E2 9304E1D9 7E6F0FA3 931E678A 3C203D27 5845CF65 F9D5557F 1A8E804B 5B95DBA4 A1B46529 D60A2B60 C95E629C E2B746A5 B715CF46 90DE76DF BB531214 4C09C102 0449B952 A082D4D4 9D834E3B 263DC2F9 10E58E38 A5FFF2C3 5CF3 quitdot11 syslogip source-route!!ip dhcp excluded-address 192.168.1.4!ip dhcp pool DHCPVoIP import all network 192.168.1.0 255.255.255.0 dns-server 145.253.2.203 145.253.2.11 default-router 192.168.1.4!!ip cefip domain name lb.gesundheitszentrum-ludwigsburg.netip ddns update method datacmrh1 HTTP add http://api101:f2xj5wnTz2@api.data-cmr.net/objectType=DnsRecord&acti ...; remove http://api101:f2xj5wnTz2@api.data-cmr.net/objectType=DnsRecord&acti ...; interval maximum 1 0 0 0!no ipv6 cef!multilink bundle-name authenticated!!!object-group network Netzwerk range 192.168.0.1 192.168.0.255!!!controller DSL 0 mode atm dsl-mode shdsl symmetric annex B ignore-error-duration 15!!!!!!!!interface ATM0 no ip address no atm ilmi-keepalive !!interface ATM0.1 point-to-point pvc 1/32 pppoe-client dial-pool-number 1 !!interface BRI0 no ip address encapsulation hdlc shutdown !!interface FastEthernet0 ip dhcp client default-router distance 1 ip ddns update datacmrh1 ip address dhcp ip nat outside ip virtual-reassembly ip tcp adjust-mss 1412 duplex auto speed auto !!interface FastEthernet1 switchport access vlan 2 !!interface FastEthernet2 switchport access vlan 3 !!interface FastEthernet3 !!interface FastEthernet4 !!interface FastEthernet5 switchport access vlan 2 !!interface FastEthernet6 switchport access vlan 3 !!interface FastEthernet7 !!interface FastEthernet8 !!interface Vlan1 no ip address !!interface Vlan2 description Netzwerk ip address 192.168.0.4 255.255.255.0 ip accounting access-violations ip nat inside ip virtual-reassembly ip policy route-map MapNetzwerk !!interface Vlan3 description VoIP ip address 192.168.1.4 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map MapVoIP !!interface Dialer0 ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap pap callin no cdp enable !!ip forward-protocol ndno ip http serverip http authentication localip http secure-server!!ip dns serverno ip nat service sip udp port 5060ip nat pool natVoIP 192.168.1.0 192.168.1.255 netmask 255.255.255.0ip nat pool natNetzwerk 192.168.0.0 192.168.0.255 netmask 255.255.255.0ip nat inside source list 2 interface Dialer0 overloadip nat inside source static udp 192.168.0.1 1194 interface FastEthernet0 1194ip nat inside source static tcp 192.168.0.1 443 interface FastEthernet0 443ip nat inside source static tcp 192.168.0.5 3389 interface FastEthernet0 3389ip nat inside source list 101 interface FastEthernet0 overloadip route 10.8.0.0 255.255.255.0 192.168.0.1!logging 192.168.0.1access-list 1 permit 192.168.0.0 0.0.0.255access-list 2 permit 192.168.1.0 0.0.0.255access-list 101 permit ip object-group Netzwerk anyaccess-list 101 permit tcp any any eq ftpdialer-list 1 protocol ip permit!!!!route-map MapNetzwerk permit 10 match ip address 101 set default interface FastEthernet0!route-map MapVoIP permit 10 match ip address 2 set default interface Dialer0!!!control-plane !!!line con 0 exec-timeout 120 0 privilege level 15line aux 0 exec-timeout 120 0 privilege level 15 transport input sshline vty 0 4 exec-timeout 120 0 privilege level 15 transport input sshline vty 5 15!end

Ich denke ich bin so auf dem richtigen weg (?) aber irgendwo klemmts noch.

Gruß Seji
FrageNetzwerkeRouter, Routing
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 19 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare