Policy Based Routing FTP

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Policy Based Routing FTP

Beitrag von Bernie137 »

Hallo,

ich habe hier ein kleines Problem mit Policy Based Routing und FTP, dem ich bisher einfach nicht auf der Schliche gekommen bin.

Host A = 10.10.20.99, Windows 7, Browser egal, GW 10.10.0.4
Host B = 10.10.10.30, Windows Server 2008R2, Browser egal, GW 10.10.0.4

Router Lancom 1781EF+, 9.24.0334SU9, IP 10.10.0.4/16 mit folgender Firewall Regel:

Quelle: 10.10.20.99, 10.10.10.30 alle Dienste
Ziel: alles, Dienste ftp, http, https
Aktion zulassen
Regel für Firewall aktiv
Routing-Tag: 3
Prio: 255

Routing-Tag 3 ist die Route zu 10.10.0.6/16, ein anderes Gateway mit Firewall. Die Firewall Regel dort ist quasi anlalog zu der hier beschriebenen Regel, d.h. eine gemeinsam für beide Hosts.

Beim Aufruf der Site ftp.lancom.de von Host B funktioniert alles wunderbar. Am Host A beim Aufruf der Site ftp.lancom.de können die Browser einfach keine ftp Seite anzeigen (auch andere ftp Seiten), keine weitere Fehlermeldung.

Beim Trace von Host B sehe ich nur einen einzigen Eintrag:

Code: Alles auswählen

[IP-Router] 2018/04/24 13:01:38,855  Devicetime: 2018/04/24 13:01:39,374
IP-Router Rx (LAN-1, INTRANET, RtgTag: 3): 
DstIP: 62.153.130.142, SrcIP: 10.10.20.99, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 21, SrcPort: 17140, Flags: RA
Seq: 1456328212, Ack: 4102974010, Win: 0, Len: 0
Redirect to 10.10.0.6, LAN-1 Tx (INTRANET)): 
Route: 10.10.0.6, LAN-1 Tx (INTRANET): 
Hingegen von Host A:

Code: Alles auswählen

14fach
[IP-Router] 2018/04/24 12:30:48,543  Devicetime: 2018/04/24 12:30:49,200
IP-Router Rx (LAN-1, INTRANET, RtgTag: 3): 
DstIP: 62.153.130.142, SrcIP: 10.10.20.99, Len: 47, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 21, SrcPort: 14777, Flags: PA
Seq: 4073326977, Ack: 3968263395, Win: 252, Len: 7
Redirect to 10.10.0.6, LAN-1 Tx (INTRANET)): 
Route: 10.10.0.6, LAN-1 Tx (INTRANET): 

und dann geht es weiter mit

[IP-Router] 2018/04/24 12:30:48,543  Devicetime: 2018/04/24 12:30:49,200
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 62.153.130.142, SrcIP: 10.10.20.99, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 54096, SrcPort: 14778, Flags: S
Seq: 143811732, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (RIFU)

[IP-Router] 2018/04/24 12:30:48,743  Devicetime: 2018/04/24 12:30:49,225
IP-Router Rx (RIFU, RtgTag: 0): 
DstIP: 10.10.20.99, SrcIP: 62.153.130.142, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 14778, SrcPort: 54096, Flags: RA
Seq: 0, Ack: 143811733, Win: 0, Len: 0
Filter (limited)

[IP-Router] 2018/04/24 12:30:48,743  Devicetime: 2018/04/24 12:30:49,225
IP-Router Rx (RIFU, RtgTag: 0): 
DstIP: 10.10.20.99, SrcIP: 62.153.130.142, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 14778, SrcPort: 54096, Flags: RA
Seq: 0, Ack: 143811733, Win: 0, Len: 0
Route: LAN-1 Tx (INTRANET): 
Ich kann mir gerade überhaupt nicht erklären, warum das Verhalten der beiden Hosts so unterschiedliche Traces verursacht und warum bei Host A überhaupt so viele Pakete am Router auftauchen.

Hat jemand von Euch einen sachdienlichen Hinweis?

Viele Grüße
Bernie

Update: Tracepaket von Host B aktualisiert. War mir ein Copy&Paste Fehler unterlaufen.
Zuletzt geändert von Bernie137 am 25 Apr 2018, 10:06, insgesamt 1-mal geändert.
Man lernt nie aus.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Policy Based Routing FTP

Beitrag von Bernie137 »

Update: Nach Ausschalten der Windows 7 Firewall kommt nur ein einziges Policy Based Routing Paket, so wie es auch am Server 2008R2 funktioniert und es lassen sich nun am Windows 7 Client ftp Seiten öffnen. Nun suche nach dem Problem in der Windows 7 Firewall, was mir im Moment noch völlig unlogisch ist.

Code: Alles auswählen

[IP-Router] 2018/04/24 15:49:19,841  Devicetime: 2018/04/24 15:49:20,490
IP-Router Rx (LAN-1, INTRANET, RtgTag: 3): 
DstIP: 62.153.130.142, SrcIP: 10.10.20.99, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 21, SrcPort: 29722, Flags: S
Seq: 4024312421, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Redirect to 10.10.0.6, LAN-1 Tx (INTRANET)): 
Route: 10.10.0.6, LAN-1 Tx (INTRANET): 
Gruß Bernie
Man lernt nie aus.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Policy Based Routing FTP

Beitrag von backslash »

Hi Bernie137
Nun suche nach dem Problem in der Windows 7 Firewall, was mir im Moment noch völlig unlogisch ist.
im schlimmsten Fall ist es der ICMP-Redirect... [ironie] denn Redirects sind böse und Ping-Blocking und Stealth-Mode machen deinen Rechner sicher [/ironie]...

Gruß
Backslash
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Policy Based Routing FTP

Beitrag von Bernie137 »

Hi Backslash,
im schlimmsten Fall ist es der ICMP-Redirect
Also was soll ich sagen...? Du hast den Finger drauf!

Erst habe ich mich von diesem MS-KB irre leiten lassen. Aber das 6 Jahre alte Patch lässt sich auch nicht mehr installieren.

Nachdem ich die Windows Firewall Regel "Netzwerk - Umleiten (ICMPv4 ausgehend)" aktiviert hatte, funktioniert nun der FTP Zugriff wie gewünscht, Danke für den Tipp.
FTP-Zugriff.jpg
Gruß Bernie
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Man lernt nie aus.
Antworten