PPTP und Statisches NAT

[M Goeres]

Hallo zusammen,
ich hoffe ihr koennt mir bei einem Problem helfen.

Die Appliance hat extern eine feste IP-Adresse SMTP-Gateway und alle anderen Dienste laufen einwandfrei.

Ich habe nun fuer eine externe Adresse fuer Active-FTP ein statisches NAT eingerichtet.
Bedeutet also externe IP 195.2xx.xxx.xxx -> interne IP 132.xxx.xxx.xxx Service FTP DNAT ueber ETH0.
Im Service FTP ist der Dienst FTP und FTP-Active-Related zugewiesen.

Bis hierhin ist alles klar. Der Zugriff von extern funzt einwandfrei....aber:
Beim Versuch eine PPTP-Session zu oeffnen werden die Pakete (Port 1723) dezent auch auf die DNAT-Adresse geschickt :roll:
Veraenderungen im Regelwerk (Position) haben keine Auswirkungen, erst wenn ich die Regel deaktiviere kann ich auch wieder per PPTP zugreifen.

Ich vermute dass ich einen Denkfehler habe, aber sehe den Wald vor lauter Baeumen nicht mehr.

Bin fuer jeden Vorschlag dankbar....

Gruss

M.Goeres

[M Goeres]

Hier noch ein paar Info's....

Ich habe das ganze auch mal per ADSL getestet und das Ergebnis ist identisch.
Mache ich ein DNAT auf z.B. Port 25 ins LAN ist das vollkommen egal. Aber bei Active FTP macht der PPTP einfach dicht bzw. wird er auf das falsche Ziel durchgereicht.

Was den ersten Post betrifft, bitte nicht wundern, dass es sich nicht um eine korrekte interne Adresse handelt, aber "alte" gewachsene Systeme sind nicht immer RFC-Konform.

Gruss

M.Goeres

[philipp]

Wenn Sie ein NAT mit FTP-Related erstellen, werden alle Ports von 1024.65535 genattet, also auch der Port für pptp.
Sie haben mehrere Möglichkeiten das Problem zu umgehen:
1. Auf dem Server nur active FTP erlauben. In diesem Fall müssten Sie nur den Dienst FTP natten, da der Server die Datenverbindung initialisiert
2. Bei Manchen FTP-Servern können die Ports für passive FTP eingegrenzt werden. Sie müssten dann nur die dort eingestellte Portrange natten.
3. Sie erstellen mehrere Portranges und lassen benötigte Port (wie z.B. 1723) aus. Diese Dienste kommen alle in eine Gruppe, mit der dann das NAT eingerichtet wird.
4. Wenn Sie weitere externe IPs haben, verwenden sie eine davon fürs NAT

[M Goeres]

Mhhhh...irgendwie habe ich da ein Verstaendnis-Problem.

FTP: Quelle 1024-65535 -> Ziel 21
FTP-Active-Related: Quelle 20 -> Ziel 1024-65535

Bis hierhin OK oder?
Anfrage aus dem Internet kommt auf Zielport 1723 und von irgendeinem Highport.
Wieso sollte FTP-Active-Related als Dienst-Definition da greifen?

Gruss

M.Goeres

[M Goeres]

Hallo "phillip",
nun wird es brenzlig....
Nachdem wir das interne FTP-Problem am Telefon loesen konnten und PPTP/L2TP sauber arbeitet, ist nun der Knall doch noch gekommen.
Die Kommunikation erfolgt in beide Richtungen per Active-FTP!

Hier ein kleiner Flashback zu Montag:

Servicegroup FTP (tcp/21) hat nun DNAT auf den internen Server
PPTP funzt einwandfrei.

Interner Server wird von extern (definiertes Netzwerkobjekt = 1 IP) via FTP-Active-FTP angesprochen = Connect klappt (Control) ... Data klappt = alles klar

Nun kommt der Haken:
- Interner Server macht Active-FTP nach extern (oben definierten Server)
- Connect kommt zustande und dann zerplatzen die Anfragen auf Port 20 natuerlich wie Seifenblasen, da ja nur tcp/21 erlaubt ist..................

Schnellste Loesung, da ein paar LKWs der Spedition nicht in Hamburg vom Hof durften (ohne Papiere), wieder Back 2 the roots und Active-FTP aufs DNAT, aber beim abarbeiten der Pakete fuer solche Konstellationen muss dringend eine Loesung (Ueberpruefung) her.

**Edit: Mit der Ueberpruefung meine ich Quelle, wie auch Ziel der anfragenden Pakete


Gruss

M.Goeres

[M Goeres]

Schnell noch einmal ein Update:

habe das ganze mal als "normaler" nicht definierter User/IP durchgespielt:

FTP-Zugriff (auf internen Server) ueber dynamische Einwahl = OK
Anderer Rechner im LAN des Kunden macht FTP auf anderen Server (Active) = OK
Wiederrum auf dem selben System auf die definierte IP macht einen Connect und das war es dann auch.........

Ich brauche da schnell eine Info, denn bei Terminware kommen schnell Worte wie:
- Ausfallzeit
- Regress
usw. !!!!

Gruss

M.Goeres

[M Goeres]

OK...Hoffnung auf ein Quick-Reply iss nun vorbei.....

Rufnummer von RODIAC Systemhaus GmbH ist bei Securepoint bekannt und gehe von einem Feedback aus.....

mfg

M.Goeres

[philipp]

Hallo Herr Goeres,
folgende Regeln sind für das Active-FTP vonnöten:

NAT (Zugriff von außen):
Internet -> FTP-Server-NAT : FTP
FTP-Server -> Internet : Active-FTP-Related
Zugriff auf externe FTP-Server:
Netz-Intern -> Internet : FTP
Internet -> Netz-Intern : Active-FTP-Related

[M Goeres]

Irgendwie ist da mehr im Busch, als mir der Support der Firma mitteilen kann, die fuer die Datenuebertragung verantwortlich ist.
Nun denn...ich habe erst einmal die Brechstange reaktiviert und PPTP damit wieder ausgehebelt, um einen sauberen Transfer zu gewaehrleisten.

Allerdings habe ich auch mal wieder was fuer das Screenshot-Kabinet in der Anzeige des Managers bekommen, denn die bei unserem Telefonat angelegte Gruppe ftp (sollte ja nur tcp/21 beinhalten) hatte nun folgenden Inhalt:

- ftp-active-related
- http
- https
- ftp-pasv-related
- ftp
- ftp
- ftp

Auch via Reload war da nichts zu machen. Neuer Login ist ebenfalls identisch.....
Ich habe die Gruppe so belassen und eine neue angelegt, aber wie das zustande kommen kann, ist mir schleierhaft.....alleine der dreifache "ftp"-Eintrag ist schon mehr als nur merkwuerdig.

Habe es auf dem CLI nicht weiter ueberprueft, aber die GUI wird doch aus einem Cache (wenn vorhanden) nicht solche komischen Anzeigen bauen oder?

Gruss

M.Goeres