[matzet]

ja auf dem server läuft dns. hab jetzt mal den eigenen fritzbox-ftp-server aktiviert. resultat: nichts!
wegen passive-mode. hatte auch schon die ports 990/989 offen. es funktioniert alles sehr sauber im heimnetz aber nicht im öffentlichen.

[RalphS]

- FTPs gibt es so nicht mehr (das ist nicht dasselbe wie SFTP).
- Normal brauchst Du interne DNS-Server nicht freizugeben - kann auch ein Sicherheitsproblem werden --- nicht nur für Dich, sondern für andere Netzteilnehmer. Zumindest dann, wenn Du von der DNS-Konfiguration nicht so die Ahnung hast (wie es mir scheint).

- Wenn sogar der Fritzbox-eigene FTP-Server nicht im Netz erreichbar ist, haut noch irgendwas anderes nicht hin.

- Heimnetz- und Internet-Konfiguration ist NICHT dasselbe. Ich geh einfach mal davon aus, daß Du den Zugriff auf den (Fritz-)FTP-Server insbesondere auch fürs Internet freigegeben hast; wenn dem so ist, und nicht noch irgendwas anderes auf der Box läuft, und auch die testweise Deaktivierung sämtlicher Portfreigaben nichts hilft (um besagten Fritz-FTP zu erreichen)... mh. Würde ich glatt vermuten, daß da der ISP querschießt. Aber andererseits sagtest Du ja schon, daß es mal ging.

-- Kann man auf Deiner Fritz-Box einen Rechner in die DMZ stecken? Wenn ja, probier das mal und schau, ob es dann funktioniert.
ACHTUNG ACHTUNG ACHTUNG, Riesensicherheitsloch, insbesondere, da da Serverdienste drauf laufen... und ich würde DRINGENDST empfehlen, den DNS-Server zumindest solange zu deaktivieren (ehrlich gesagt würd ich ihn da von außen komplett unzugänglich machen).

[matzet]

PS: langsam glaub ich das es was mit dem dns zu tun hat. weil nslookup spuckt das aus:

> 192.168.178.108
Server: server01.contoso.int
Address: 192.168.2.151

Name: Server01.fritz.box
Address: 192.168.178.108

Müsste nicht eigentlich bei beiden namen ".contoso.int" stehen, obwohl es zwei unterschiedliche lan´s sind?

Ja schon geschehen. Die ports sind nur testweise freigegeben. mir ist schon klar das es ein erhöhtes sicherheitsrisiko darstellt. ja habe dmz schon mal aktiviert. das mit dem isp ist wirklich ne möglichkeit. werde mal meine alte lte-easybox von vodafxxx dranhängen und mal schauen ob sich was tut.

das mit dem isp war schon ein bissl komisch. hatte von dem erst ne nat-verbindung mit 100.100.xxx.xxx. hab mich dann aber wieder umstellen lassen, da andere im anbieterforum geschrieben haben das es über dies nicht funktioniert. hatte dann kurze zeit später wieder ne öffentliche nummer: 179.xxx.xxx.xxx

[RalphS]

Ähm, was ist denn da was? Poste mal bitte Deine Netzwerktopologie.

[matzet]

Server: server01.contoso.int
Address: 192.168.2.151
das ist mein heimnetz. die ip verweist auf den dns server.
die netzwerkkarte hängt per kabel an einem switch der mit den netzwerkdosen im haus verbunden ist.

Name: Server01.fritz.box
Address: 192.168.178.108
das ist die zweite netzwerkkarte, welche per kabel an der fritzbox hängt --> folglich am internet :-)

Dieser Beitrag wurde von matzet bearbeitet: 25. Mai 2013 - 10:17

[Paradise]

Eine NAT Verbindung vom ISP?
NAT ist Network Adress Translation und hast du in der FritzBox
oder aufm Server.

Darf man fragen was du für einen Anschluss hast und wo?
Es hört sich so an als hättest du den Provider gewechselt.
Da stehen die Chancen gut/schlecht das du vielleicht IPv6
hast?

[matzet]

privatanbieter encoline.
Ja der anbieter hat eine verbintung zu mir (von Ihm aus) per nat hergestellt.
aber einige anderen encoline-nutzern ging es auch so. die haben sich dann wie ich wieder umstellen lassen, nur das es bei denen wieder ging und bei mir nicht. :-)



war vorher wie gesagt bei vodafone.

sollte es irgendwie zu keiner lösung kommen, werde ich noch ne netzwerkkarte einbauen und diese ebenfalls mit der fritzbox verbinden. serverintern werde ich sie einem hyper-v system auf dem xp ( :-) ) läuft zuweisen. werd auf dem xp einen ftp einrichten und per vpn die daten die auf dem server ( server01.contoso.int) liegen darüber bereitstellen. müsste doch gehen?

Dieser Beitrag wurde von matzet bearbeitet: 25. Mai 2013 - 10:25

[Paradise]

Wenn du doch von außen nicht mal auf die FritzBox kommst, warum
solltest du dann auf XP das virtuell in S2012 läuft kommen?

Man weiß ja auch nicht was da alles läuft bei dir.
AD, Domain Controller, DNS, DHCP?

Normal sollte es ja so sein:
FritzBox:
Internal IPv4 address: 192.168.0.1
Subnet Mask: 255.255.255.0

Server:
IPv4 address: 192.168.0.2
Subnet Mask: 255.255.255.0

[RalphS]

Aha, also hast Du auf dem Server01 zwei Netzwerkkarten in zwei Netzen, richtig?

Prüf mal, ob der FTP-Server (auch) auf der richtigen IP lauscht (also der im 192.168.178/24 Netz).

Wozu die XP-VM? VPN direkt auf den Server und gut. Wenn möglich, kein PPTP verwenden, sondern L2TP + IPSec - sonst fällt Dir womöglich GRE auf die Füße und dann geht es wieder nicht.

[Paradise]

Wenn der Server multihomed ist (zwei Netzwerkkarten) und DNS ist an
dann geht das nicht.
DHCP, DNS, DC, Wins sind bei mehreren Netzwerkkarten untersagt.

Ich muss dazu sagen es ist machbar aber mit viel Aufwand verbunden
und man muss wissen was man tut.

[RalphS]

Mh? Warum sollte das nicht gehen?

Klar tut es das.

Aber ich stimme zu. Man muß wissen, was man tut. Ein DC mit DHCP drauf wird das wohl hoffentlich nicht sein... aber, insbesondere eine dedizierte Netzwerkkarte ist da durchaus der richtige Weg, das LAN vom WAN (hier: Internet) zu trennen.

Ich grins natürlich immer noch re: contoso.int.

[Paradise]

Von MS nicht unterstützt und geht standardmäßig nicht.
Es wird überall davon abgeraden.
Es gilt die Register zu bearbeiten, die richtigen Einstellung
auch an den NICs zu setzen in DNS muss auch viel gefrickelt werden.

Ja es geht. Ich habe es am laufen.
DHCP in der FritzBox ist bei mir aus.
Auf dem S2012 läuft RRAS, DHCP, DNS...
Sämtlicher traffic im Haus geht bei mir durch den Server.

http://msmvps.com/bl...e-adapters.aspx
http://networkadmink...ows-server.aspx

[matzet]

nein keine angst. habe insgesammt 2 physische server. auf dem einen läuft dhcp,wds,und remoteapp. dieser server (Server02 mit ip 192.168.2.200 befindet sich im 2.netz)ist per kabel am server01 angebunden. auf dem server 01 (wo der ftp funktionieren soll) ist dns,ad und jetzt der ftp drauf.

ja über contoso.int --> was anderes is mir nicht eingefallen :-D

wie gesagt es ging ja mal, jedoch hatte ich da noch server 2008r2 am laufen.

ps. ftp reagiert auf beide adressen. habe mein notebook über das wlan der fritzbox laufen, folglich hat es eine adresse mit 192.168.178.x. siehe da der ftp reagiert. geh ich über 192.168.2.x rein geht es auch. jedoch nicht über die ddns-adresse

Dieser Beitrag wurde von matzet bearbeitet: 25. Mai 2013 - 11:45

[RalphS]

Hab jetzt noch mal genauer geschaut.

- Nirgendwo steht was davon, daß der OP nen DC am laufen hat.
- Multihoming ist was gänzlich anderes. Hier hängt einfach ein Server zwischen LAN und WAN - wenn da kein Routing drauf läuft, wäre das sicherheitstechnisch sogar besser als die Alternative. Zumindest wenn ich das nicht gänzlich falsch verstanden hab, in etwa so:

NET (wan1)> Fritzbox > (nic1)Server > (nic2) LAN

mit dem Ergebnis, daß WAN *und* LAN auf den Server zugreifen können (entsprechende Fbox-Konfiguration vorausgesetzt) und daß der Zugriff vom LAN über den Server aufs WAN nur dann möglich ist, wenn dieser als Router konfiguriert ist.


PS. Schlage vor, den FTP vom DC zu trennen und entweder ersteren oder zweiteren auf Server2 zu verlegen.

PPS. Sieht ganz so aus, als wäre die FBox der Übeltäter; in welcher Form auch immer. Oder natürlich "irgendwer" zwischen Client und Fritzbox.

Frage ist halt: was passiert mit den eingehenden Paketen? Wo bleiben die: kommen die Ports nicht durch, hängen sie an der Box-NAT, an der Server-Firewall... oder kommen die Pakete zwar rein, aber die Antworten nicht raus?

Da wird wohl nur ein eingehender Check der Logs weiterhelfen, schätze ich. Das und (falls nicht bereits geschehen) ein komplettes deaktivieren der Server-Firewall.

PPPS. Durchaus möglich, daß das Problem direkt an der AD-DS Konfiguration hängt. So Domain-Controller sind per Design abgesichert; der SOLL überhaupt nicht von außen erreichbar sein, sondern NUR aus seiner Domain (bzw weitergehend dem AD-Forest).

Dieser Beitrag wurde von RalphS bearbeitet: 25. Mai 2013 - 11:55

[matzet]

kommando zurück. also der ftp lauscht am netzwerk mit der adresse 192.168.2.x und nicht an der fritzbox seitigen (192.168.178.x)

das müsste doch der fehler sein? wie bekomm ich es hin das es an beiden netzen lauscht?
ich versteh nur nicht ganz warum es dann erst ging?

wenn ich den ftp an die fritzbox adresse häng. passiert gar nichts. kann mich also auch logischer weise im heimnetz nicht anmelden. andersrum ist es genauso, es sei denn ich stell mit dem notebook ne vpn her, dann gehts. aber ich will nicht jedes mal ne vpn herstellen um das der ftp funktioniert

Dieser Beitrag wurde von matzet bearbeitet: 25. Mai 2013 - 11:56