NAT - Portrangeangabe für Pseudoports (2900G) möglich?

NAT, Open Ports, Port Redirect, Address Mapping, Port Trigger, Instant Messenger, Netmeeting, Serveranwendungen wie FTP und Gameserver, Peer2Peer, eDonkey, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

NAT - Portrangeangabe für Pseudoports (2900G) möglich?

Beitragvon hrzlbrnft » Sa 04.12.2004 - 11:48

Hallo,

ich habe hier einen Vigor 2900 G im Einsatz. Das Gerät funktioniert soweit auch einwandfrei, allerdings habe ich folgendes Problem:

Ich habe eine Webpräsenz bei einem mittelständischen Provider, über den auch unser Emailverkehr abgewickelt wird (SMTP, POP3).

Am Router hängen intern diverse Rechner dran, nach außen hin macht er NAT - klar.

Nun hat unser Provider leider seine Firewall so eingestellt, dass sie alle Verbindungen zu ihr - auch auf die offenen Ports wie HTTP, POP3, SMTP usw. - äußerst übel nimmt, die von Sourceports < 1024 aufgebaut werden. Sie blockt dann die entsprechende IP-Adresse für 15 Minuten.

Es kam schon mehrmals zu Blockierungen, da der Vigor eben beim Aufbauen der Verbindungen auch irgendwann mal Pseudoports nach außen hin aus dem betreffenden Bereich nimmt. Sollte bei normalen Providern ja nicht so das Problem sein, allerdings ist unserer da leider sehr restriktiv. :evil:

Nun ist es allerdings aus diversen Gründen leider auch nicht möglich, den Provider zu wechseln, momentan behelfen wir uns eben dadurch, dass wir dann den Router neu einwählen lassen, aber das kann es auf Dauer natürlich nicht sein.

Ist es möglich, dass ich dem Vigor 2900G sage, er soll generell bei NAT für seine Pseudoports nur Ports >1024 benutzen? Wenn ja, wie kann ich das einstellen?

Firmware ist übrigens v2.5.4.1, Deutsche Version.

Gruß,
Hrzlbrnft
hrzlbrnft
Grünschnabel
 
Beiträge: 5
Registriert: Sa 04.12.2004 - 11:39

Beitragvon cne51 » Sa 04.12.2004 - 12:31

Hi,

das ist mir nicht bekannt wei die von dir genannten Pseudo ports nicht genutzt werden sollen, ausser Filter zu erstellen die die komplette Kommuniaktion darüber zu blocken.

Da aber alle Router so arbeiten, anders geht das mit NAT auch nicht, vermute ich eher dass dein Provider keine Router zulässt und der Tarif nur als Einzelplatzzugang erlabut ist.

Wenn du den Provider nit öffenlich nennen möchtest, kannst du mir auch ne IM senden mit den Daten und ich les mal nach was in den AGBs enthalten ist.
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

Re: NAT - Portrangeangabe für Pseudoports (2900G) möglich?

Beitragvon matthiasg » Sa 04.12.2004 - 12:48

hrzlbrnft hat geschrieben:Nun hat unser Provider leider seine Firewall so eingestellt, dass sie alle Verbindungen zu ihr - auch auf die offenen Ports wie HTTP, POP3, SMTP usw. - äußerst übel nimmt, die von Sourceports < 1024 aufgebaut werden. Sie blockt dann die entsprechende IP-Adresse für 15 Minuten.
...
Ist es möglich, dass ich dem Vigor 2900G sage, er soll generell bei NAT für seine Pseudoports nur Ports >1024 benutzen? Wenn ja, wie kann ich das einstellen?

Firmware ist übrigens v2.5.4.1, Deutsche Version.


also das darf auf keinen fall sein, die ports < 1024 sind für die WKS (well known services) vergeben. ein client, und das ist der vigor, wenn er NAT macht, darf keinesfalls ports aus diesem bereich verwenden. (kann ich auch beim vigor nicht nachvollziehen). wenns so wäre, wärs ein massiver bug.

vermutlich kommen die source ports <1024 von internen servern auf die von aussen zugegriffen wird? da kann der vigor ggf. auch nichts dran machen.

das wäre dann ggf. ein problem der leistungsbeschreibung/agb wie cne51 schon schrieb. auf jeden fall wärs auch ein komischer isp.

am besten auch im log oder ggf. per analyzer genau nachsehen, was da passiert.
Benutzeravatar
matthiasg
Power-User
 
Beiträge: 169
Registriert: Mi 21.04.2004 - 09:35
Wohnort: köln

Beitragvon hrzlbrnft » Sa 04.12.2004 - 13:28

Danke erstmal für die prompte Antwort.

Allerdings scheine ich mich ein wenig mißverständlich ausgedrückt zu haben; also: es geht nicht um meinen Internetprovider; der ist T-Online und da funktioniert alles,wie es soll.

Es geht um meinen Webhoster; der ist nicht T-Online, eine mittelständische Firma eben und was die Zugriffe auf seine Rechner angeht hat er eine recht restriktiv eingestellte Firewall; auch was die Zugriffe auf die bei ihm offenen Ports anbelangt, auf denen HTTP usw. laufen.

Hier mal ein Beispiel aus meinem Vigor (Diagnose, dann NAT-Address und Portmappingtabelle), was bei dem Webhoster konkret die Kondition in der Firewall getriggert hat:

Code: Alles auswählen
-------------------------------------------------------------------------------
     Private IP :Port #Pseudo Port         Peer IP :Port  Ifno  Status   
-------------------------------------------------------------------------------
  192.168.25.20  2176          139  XXX.XXX.XXX.XX    80     3  4     
  192.168.25.20  2177          395  XXX.XXX.XXX.XX    80     3  4     



D.h. konkret: mein Rechner mit der internen IP 192.168.25.20 (Windowsgurke) benutzt für eine ausgehende HTTP-Anfrage den Sourceport 2176, der Vigor macht daraus den Pseudoport 139 und daran stört sich die Firewall, da das < 1024 ist.

Da der Vigor den möglichen Bereich der Pseudoports zyklisch durchläuft, ist er paarmals täglich in dem Bereich < 1024 und damit ist dann erstmal die Firewall bei dem Webhoster aktiv und blockt für ca. 15 Minuten alle weiteren Anfragen von der IP komplett ab. :evil:

Da behelfen wir uns dann eben wenn wirs merken mit neuer Einwahl bei T-Online, aber Sinn der Sache kann das ja nicht sein.

Und meine Frage war eben daher, ob ich diesen Pseudoportbereich, aus dem der Vigor dynamisch seine Ports holt, einschränken kann. Wenn ich aber matthiasg richtig verstanden habe, so ist das nicht möglich...? :shock:
hrzlbrnft
Grünschnabel
 
Beiträge: 5
Registriert: Sa 04.12.2004 - 11:39

Beitragvon matthiasg » Sa 04.12.2004 - 16:27

hrzlbrnft hat geschrieben:...
Code: Alles auswählen
-------------------------------------------------------------------------------
     Private IP :Port #Pseudo Port         Peer IP :Port  Ifno  Status   
-------------------------------------------------------------------------------
  192.168.25.20  2176          139  XXX.XXX.XXX.XX    80     3  4     
  192.168.25.20  2177          395  XXX.XXX.XXX.XX    80     3  4     



D.h. konkret: mein Rechner mit der internen IP 192.168.25.20 (Windowsgurke) benutzt für eine ausgehende HTTP-Anfrage den Sourceport 2176, der Vigor macht daraus den Pseudoport 139...


weia, das sieht nach einem dicken bug aus! (139 ist ja zB netbios) wie ists denn mit der aktuellen firmware für den 2900? vielleicht ist der fehler da ja schon weg. sonst wär das eine e-mail an draytek wert...
Benutzeravatar
matthiasg
Power-User
 
Beiträge: 169
Registriert: Mi 21.04.2004 - 09:35
Wohnort: köln

Beitragvon nobody » Sa 04.12.2004 - 18:13

FW 2.5.4.3
Auch nicht unbedingt besser:
Code: Alles auswählen
  192.168.49.1 49371        64324  xxx.xxx.xxx.xxx 20481     3  1     
   192.168.49.1 49376           69 xxx.xxx.xxx.xxx  6881     3  1     
   192.168.49.1 50437         9541    xxx.xxx.xxx.xxx  6881     3  3     
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon hrzlbrnft » Sa 04.12.2004 - 19:49

Hm, zumindest scheine ich mit dem Problem nicht alleine dazustehen. Was tun? Draytek nerven, bis eine neue FW erscheint?
hrzlbrnft
Grünschnabel
 
Beiträge: 5
Registriert: Sa 04.12.2004 - 11:39

Habe das selbe Problem

Beitragvon Draconis » Do 28.04.2005 - 18:13

Habe jetzt erst den Thread gefunden.
Bei mir ist es das selbe Problem und es hat auch sehr lange gedauert, bis ich herausgefunden habe warum ich meine e-mails sporadisch nicht mehr abrufen kann.

Gibt es denn schon eine Lösung?? Vielleicht eine ältere FW?

Habe übrigens Vigor 2500We mit Firmware 2.54_1u1
Draconis
Grünschnabel
 
Beiträge: 3
Registriert: Mi 27.04.2005 - 19:03


Zurück zu Anwendungen und Server

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron