none
VPN+NAT+FTP RRS feed

  • Общие обсуждения

  • Доброго времени суток!

    Есть такая проблема: на win server 2012 установлена роль RemoteAccess, соответственно её силами подняты VPN (l2tp) и NAT.

    За этим шлюзом есть локальная сеть с несколькими FTP-серверами, пробиться к которым нет никакой возможности. Фаерволл шлюза сконфигурирован так чтобы принимать любые подключения с определённых внешних IP на любые свои внутренние адреса. 

    Если перекинуть ftp сервера на 22ой порт - всё работает, но переключать гору клиентов на другой порт - не радостное занятие.

    Пробовал включать проксирование фтп - результат тот же. без ната на этом шлюзе всё работает прекрасно, с натом - ни в какую. даже локально установленная на него FileZilla слушает 21ый порт (netstat подтвердил), но попасть на неё можно только через интерфейс во внутренней сети, с внешнего -telnet кончается :

    telnet host 21
    Trying host...
    Connected to host.
    Escape character is '^]'.
    Connection closed by foreign host.

    В сторону чего рыть?

    21 августа 2013 г. 10:12

Все ответы

  • Ftp средствами IIS?

    Клиенты тоже за натом? Вам светит только пассивное подключение, причем для этого используются порты 1024-65535, их тоже надо натить. При пассивном подключении Ftp-сервер какой адрес возвращает локальный или внешний?

    21 августа 2013 г. 10:44
  • Ftp силами FileZilla server, причём тот что на шлюзе ставился только для экспериментов, результаты эксперимента те же.

    IIS ставился без FTP, открытым 21 порт он не держит.

    клиенты и за натом и со внешней стороны ( фтп должен быть досутпен и для внутренней сети и для внешеней, для внутренней т.е. той сети что ЗА натом и в одной локалке с сервером проблем не наблюдается). проблема только на внешнем интерфейсе и при подключении сторонних клиентов через ВПН в заНАТную сеть.

    не совсем понял с " 1024-65535, их тоже надо натить" - натим. пассив и актив заканчиваются одинаковым ничем: пассивного подключения не получается: 

     ftp -p host
    Connected to host.
    421 Service not available, remote server has closed connection.
    ftp> exit

    судя по логам самой же FileZilla, до неё попытка подключиться даже не долетает.

    • Изменено SORceRER_XB 21 августа 2013 г. 12:50
    21 августа 2013 г. 12:47
  • При активном подключении подключение осуществляется НА клиента. При пассивном сервер говорит на какой порт подключаться, порт который скажет сервер находится по умолчанию в диапазоне 1024>

    Высчитывается по формуле xxx*256+yyy, то есть если

    227 Entering Passive Mode (xxx.xxx.xxx.xxx 191,244), получится что подключение будет на

    XXX.XXX.XXX.XXX с портом 49140 (191*256+244). Это все справедливо для IIS по-крайней мере.

    Думаю в вашем сервере принцип тот же, посмотрите поддержку firewall на Filezilla, и обратите внимание на логи на клиенте, какой ip и какие порты он вам предлагает?

    21 августа 2013 г. 12:53
  • "судя по логам самой же FileZilla, до неё попытка подключиться даже не долетает."

    ftp -pd 192.168.10.125 
    setupsockbufsize: rcvbuf_size determined as 65536
    setupsockbufsize: sndbuf_size determined as 32768
    Connected to 192.168.10.125.
    421 Service not available, remote server has closed connection.

    на стороне сервера логи при попытке подключения чисты кристально, как будто попытки подключения и нету.

    с фаерволлом всё нормально, сервер слушает на всех интерфейсах
    • Изменено SORceRER_XB 21 августа 2013 г. 13:04
    21 августа 2013 г. 13:04
  • Телнетом до 21 порта добиваете? На внешний адрес он "подНАТен"?

    21 августа 2013 г. 13:06
  • "telnet host 21
    Trying host...
    Connected to host.
    Escape character is '^]'.
    Connection closed by foreign host."

    из самого первого поста, внешний интерфейс совсем-совсем прямой и белый. при убирании задачи по нату на этом узле - всё работает отлично.

    21 августа 2013 г. 13:10
  • Ftp стоит на сервере с ролью RRAS? Или он в локальной сети?
    21 августа 2013 г. 13:12
  • И так и эдак - результат один. Все фаервоолы повыключал - картина мира та же.
    21 августа 2013 г. 13:15