Avatar billede joe_dalton Nybegynder
11. december 2009 - 13:41 Der er 4 kommentarer

Problemer med ftp igennem Cisco VPN

Hej eksperter

Vi har en af de svære.

Vi har site to site VPN hvor der skal ftp traffic igennem.

Problemet er at når man opretter forbindelse til ftp serveren uden om VPN virker det perfekt, men lige så snart man lade traffiken smutte igennem VPN dør forbindelsen når velkommen billedet komme og man har indtastet Brugernavn. Password bliver man aldrig spurgt om.

Er der nogen af jer som har prøvet det før eller har en idé hvad det kan være galt?

Lidt teknisk info:
Router: Cisco 2801
IOS image: c2801-advipservicesk9-mz.124-15.T9.bin

IKE Auth: SHA1
IKE Encr: AES-192
IKE KeyLifetime: 28800
IKE DH Group: 2
IKE Aggressive mode: NO

IPSec Auth: SHA1
IPSec Encr: AES-192
IPSec Key Lifetime: 86400
PFS: Yes
DH Group: 2

Config:
crypto isakmp policy 10
encr aes 192
authentication pre-share
group 2
lifetime 28800
crypto isakmp key <PSKSlettet> address <ip slettet>
!
!
crypto ipsec transform-set SVPN esp-aes 192 esp-sha-hmac
!
crypto map VPN 5 ipsec-isakmp
set peer <IPSlettet>
set transform-set SVPN
match address SVPN

interface FastEthernet0/0
ip address <IP Fjernet> 255.255.248.0
duplex auto
speed auto
crypto map SVPN

ip access-list extended SVPN
permit ip host <FTP Server> host <Remote Host 1>
permit ip host <FTP Server> host <Remote Host 2>
Avatar billede skau Nybegynder
11. december 2009 - 14:00 #1
Har du husket at lave en route på det net ftp serveren er på som leder trafikken tilbage igen, går en traceroute fra din ftp server tilbage igennem vpn eller går den via internettet (typisk en lokal route problem på serveren) ?
og har du husket at åbne dataporten (port 20) udover ftp porten (21)
Avatar billede joe_dalton Nybegynder
11. december 2009 - 14:31 #2
Der er en route på FTP serveren der leder igennem VPN routeren. Al trafik sendes fra routeren til fjernnettet, som vi ingen kontrol har over. Jeg ved dog, at der er blokeret for ping og traceroute igennem tunnelen på fjernnettet.
Avatar billede skau Nybegynder
11. december 2009 - 15:10 #3
Er der åbnet for port 20 ?
Avatar billede Noone Nybegynder
11. december 2009 - 22:54 #4
Hvis du kigger på ovenstående configuration fra routeren, kan du se at der er masser af åbning (Al trafik til og fra de specificerede hosts er inkluderet i accesslisten, i vores ende)

I øvrigt er der ved FTP først behov for port 20 EFTER login, men i det her tilfælde bliver login slet ikke gennemført. Den dør fra den anden ende (En leverandør) allerede efter brugernavnet er blevet sendt til vores server. Altså inden vores server beder om password.

(joe_dalton er en kollegas bruger)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester