Port freigeschaltet wird noch immer gefiltert
 

Bin schon den ganzen Tag dabei um den Fehler auf Router zu finden, ich sollte ein Port 5000 freischalten und habe mir ein Port erstellt anschliessend bei Wan to Lan ein Regel erstellt, damit man mittels eines Programm der über Port 5000 TCP ins Datenbank kommt. ich habe auch Lan to Wan ein Regel erstellt, funkt aber nicht.

Wäre sehr dankbar, wenn mir jmd helfen kann.

Wie hast du das getestet?

Funktioniert der Zugriff innerhalb des LAN?
Welcher Router?

Ja, der Zugriff funkt innerhalb der LAN. Getestet hab ich per telnet 212.xxx.xx.xx 5000

Router ist Zyxel Zywall 10

Aber schon von außerhalb des LANs?

ja, die mit 212 beginnen sind eh ein öffentliche ip.

Das schon, aber von innerhalb des LANs kannst (i.d.R.) trotzdem nicht einen forgewardeten Port auf dem Router testen.

Hab mir kurz das Manual angeschaut. Hast du - neben der Firewall-Regel - das Portforwarding auch eingerichtet?

Was steht in den Logs?

was meinst du mit portforwarding, wo richtet man das ein?

in den logs steht nix.

Action for Matched Packets steht Forward

So wie ich das Manual verstehe ist das 'Zugriff erlauben'.
Forwarding richtest lt. Manual (9-9, NAT) unter SUA/NAT ein.

Das könnte ich noch versuchen, ich weiss noch nicht ganz, wie ich das konfigurieren muss, kannst du mir bitte den Link geben, wo du das durchgelesen hast. Danke!

ftp://ftp.europe.zyxel.com/zywalls/d...UsersGuide.pdf
Manual v3.61 ~ 12 MB

So wie ich das Manual verstehe ist das 'Zugriff erlauben'.

Stimmt, dass i da was einrichten muss, danke!

Habe bei Default Server die IP mit 212.xxx.xxx.xxx eingegeben, bei stat Port und End Port 5000, soll ok sein. Wenn ich bei Server IP Adress die interne IP von Server eingebe, dann ist offen, aber telnet reagiert nicht. Wenn ich den internen Gateway eingebe, dann ist der Port nicht offen.

Weiss jemand, welche IP i da genau eingeben muss?

bei default server trägst gar nichts ein.

Werden intern öffentliche oder private ip adressen verwendet? Bei privaten musst zuerst eine firewall regel (wan2lan) erstellen und dann bei sua nat die entsprechenden ports an den gewünschten internen server weiterleiten. Wenn du mehrere öffentliche ip hast, musst am zyxel das fullfeature sua aktivieren. Wie das geht ist mir aber zu mühsam hier zu beschreiben, lies dir mal das handbuch durch dort steht eh alles was du wissen musst.

intern werden private ip adressen verwendet, ich hab natürlich ein port erstellt anschliessend wan to lan ein regel erstellt, dann hab ich die interne ip adresse von server in SUA/NAT und Port 5000 eingetragen. lt. nmap und symantec security check ist port 5000 offen, jedoch reagiert telnet nicht.

ob ich 2 öffentliche ip adressen hab kann ich net genau sagen, da bei mir die ip adresse und das gateway öffentlich ist, die ersten 24 bits sind bei beiden gleich.

Von welchem Rechner probierst du telnet aus? Wenn der Scan den Port als offen anzeigt, sollte es eigentlich funktionieren.

telnet wohin? Zum router? Wennst von der wan schnittstelle auf den router via telnet zugreifen willst musst dass extra aktivieren. Dass geht aber nicht über webinterface, dazu musst die entweder per telnet oder via terminal+nullmodemkabel verbinden dort gibts dann irgendwo ein system maintenance menü (24.11 glaub ich).

Von welchem Rechner probierst du telnet aus? Wenn der Scan den Port als offen anzeigt, sollte es eigentlich funktionieren.

Von mein interne Rechner von Server, ist egal von wo ich das versuche, telnet an die ip von router geht, wenn man Port dazugibt geht net.

So hab ich mir gedacht, dass offen sein muss, ist leider nicht ....

sonst würde das Programm auch funktionieren.

Ist das Symantec Security check zuverlässig oder telnet von Windows aus? Also von intern und extern wurde schon versucht.

komischerweise kann ich per telnet mit beiden ip adressen (intern und extern) wenn ich im Hause bin, wo der router ist zugreifen, jedoch von ferne aus kann ich nicht per telnet über öffentliche ip zugreifen. im Anhang sollte ein Screenshot über menü 24.11 sein.

Von einem Rechner im LAN hinter dem Router aus, geht das nicht. Du musst das von einem Rechner von ausserhalb probieren.

Von einem Rechner im LAN hinter dem Router aus, geht das nicht. Du musst das von einem Rechner von ausserhalb probieren.

Warum soll das net gehen? Ist das nicht so, wenn ich die öffentliche IP eingebe, dass durch die Regeln der Firewall hinaus und wieder über die Firewall Regeln herrein?

Ja, 2 Bekannte von mir haben schon versucht, der eine mit nmap von Uni und der andere v. eine Firma mittels telnet. Lt. mnap ist offen, telnet funktioniert leider net.

http://www.fli4l.de/german/extern/ar...forwarding.txt

Seltsam.
Check nochmal alles durch:
- Dienst läuft und ist per telnet vom Lan erreichbar
- Portforwarding WANip:5000 zu LANip:5000 ist eingerichtet
- WAN2LAN Firewall Regel ist eingerichtet
- nmap zeigt offenen Port 5000 an
Dann telnet auf WANip:5000 probieren. Wenn es nicht funktioniert, ev. die Logs des Routers kontrollieren, vielleicht geben die was her.

Dienst läuft und ist per telnet vom Lan erreichbar Portforwarding WANip:5000 zu LANip:5000 ist eingerichtet WAN2LAN Firewall Regel ist eingerichtet nmap zeigt offenen Port 5000 an Dann telnet auf WANip:5000 probieren. Wenn es nicht funktioniert, ev. die Logs des Routers kontrollieren, vielleicht geben die was her.

Ergebnis: a) Telnetdienst läuft intern Problemlos man kann die mittels interne und öffentliche IP ins Router, wennn ein Bekannter von aussen ins Router mit telnet will kommt promt eine Userabfrage. Wer weiss was man da eingibt? Normalerweise muss man einfach das Passwort eingeben.
b)Portforwarding ist eingerichtet, sonst wär Port nicht offen.
c)Wan to Lan Firewallregel ist eingerichtet.
d) nmap sowie Symantec Security Seite zeigen den offenen Port 5000 an. nmap von aussen.
e) nur telnet wanip:5000 reagiert nicht.

Was mir noch aufgefallen ist: Wenn ich das Firewall der Router ausschalte, dann sind immer noch dieselben Ports offen bzw. geschlossen?

ICMP, telnet und Port 5000 sind offen, die anderen geschlossen.

Warum muss man username von aussen per Telnet eingeben und was?

Ich meinte, du sollst testen, ob du den 'Datenbank'?-Dienst auf Port 5000 im Lan per telnet erreichst, nicht den telnet-Dienst am Router.

BTW: Zugriffe vom Internet auf die Dienste auf dem Router würde ich nicht unbedingt zulassen.

blöde frage, weiß die datenbank applikation eigentlich schon, dass sie auf port 5000 auf telnetverbindungsversuche lauschen soll?

Ich meinte, du sollst testen, ob du den 'Datenbank'?-Dienst auf Port 5000 im Lan per telnet erreichst, nicht den telnet-Dienst am Router.

Ja, wenn ich intern mit telnet auf <Server IP Adresse>5000 dann klappt´s.

Hab mit nmap die internen IP´s überprüft. Port 5000 läuft nur auf Server, also die IP von Gateway nicht sowie andere Rechner im Netzwerk nicht.

Was sagen die Logs von der Zywall, wenn du versuchst von aussen per telnet auf port 5000 zuzugreifen?

Jetzt endlich funktioniert es mit Port 5000 schon, aber was dran schuld war, konnte ich bis jetzt leider noch nicht herausfinden.

Eigentlich wollte ich ssh freischalten und
dann taucht Port 22 im Symantec Security auf und zeigt geschlosen an, so ein Chaos!

Die Logs hab ich erst aktiviert......

:)