Ρύθμιση ZyXEL Prestige650HW για NAT services

[Frontier]

Καλησπέρα σε όλους στο forum, αυτό είναι το πρώτο post μου εδώ.

Είμαι κάτοχος ενός ZyXEL Prestige 650HW-31 (over POTS) και από την Δευτέρα που συνδέθηκα με αυτό στο δίκτυο της Tellas, είμαι απόλυτα ικανοποιημένος (λειτουργεί 3 μέρες τώρα με ικανοποιητικές ταχύτητες, 43-55KB/s στο download).

Επιθυμώ να στήσω έναν απλό ftp server στο μηχάνημά μου καθώς και έναν VNC server για απομακρυσμένη πρόσβαση. Το λειτουργικό σύστημα είναι Windows XP Professional με SP1.

Έχοντας διαβάσει προσεκτικά το εγχειρίδιο του ZyXEL (το μεγάλο, αυτό με τις κοντά 300 σελίδες), έκανα τα εξής βήματα προκειμένου να υλοποιήσω αυτό που θέλω:

1. Καταχώρηση στατικού domain στο DynDNS.org, το οποίο εισήγαγα με όλες τις απαραίτητες παραμέτρους στην αντίστοιχη περιοχή ρυθμίσεων του Prestige. Το σύστημα δουλεύει και το "στατικό" host μου κάνει resolve κανονικά στο αντίστοιχο δυναμικό της Tellas.
2. Ορισμός μιας IP για το desktop PC που θα κάνει host τους servers. Η IP είναι εκτός της περιοχής που κάνει assign ο DHCP server (το Prestige), δηλ. αν ξεκινούν τα IPs των clients από την 192.168.1.40, το IP του desktop PC είναι 192.168.1.30.
3. Ρύθμιση του NAT, χρησιμοποιώντας το προφίλ SUA και ορίζοντας το IP του desktop PC ως default server (στο πινακάκι που εμφανίζει όταν κάνουμε edit, ο πρώτος κανόνας: default, default, 192.168.1.30).
4. Ρύθμιση του firewall ώστε να επιτρέπονται από τις εισερχόμενες συνδέσεις (WAN to LAN) μόνο αυτές που ανήκουν στις υπηρεσίες FTP (ports: 20,21) και VNC (ports: 5500, 5800, 5900). Όλες οι υπόλοιπες εισερχόμενες συνδέσεις, απορρίπτονται.

Παρ'όλες τις παραπάνω ρυθμίσεις, δεν καταφέρνω να "δω" τους τοπικούς servers από το "ανοικτό" internet. Έχω διαβάσει ξανά και ξανά τα σχετικά κεφάλαια στο εγχειρίδιο - μήπως μου ξεφεύγει κάτι - αλλά κανένα αποτέλεσμα. Το firewall - ακόμα και αν το κάνω disable - κάνει block τα incoming connections στο port 21, ενώ για τα VNC ports δεν παίρνει χαμπάρι (όχι ότι γίνεται σύνδεση με τον αντίστοιχο server βέβαια).

Θα παρακαλούσα αν γίνεται να με βοηθήσει κάποιος, με αναλυτικά βήματα - αν γίνεται - προς αποφυγή παρεξηγήσεων και λαθών.

Σας ευχαριστώ εκ των προτέρων.

[georgeadams]

Δοκίμασε να βάλεις νέο κανόνα στο NAT δηλώνοντας τις συγκεκριμένες ports που θέλεις να δρομολογούνται από και προς το PC σου (τις ίδιες που έχεις βάλει και στο firewall).

Ακόμα, για το FTP, ενεργοποίησε το passive mode στο πρόγραμμα server που χρησιμοποιείς και "άνοιξε" και τις θύρες του passive mode στο firewall και στο NAT (εκτός από τις 20 και 21).

VNC δεν έχω δοκιμάσει, αλλά το FTP δουλεύει κανονικά σε μένα...

[alefgr]

Κάτι ακόμα.

Έλεγξε μήπως το port 21 είναι κατηλυμένο από το ίδιο το Zyxel για remote control μέσω Internet. Εάν ναί, ή άλλαξε port με κάποιο άλλο ελεύθερο, ή επέτρεψε σύνδεση μόνο μέσω LAN (που είναι και το ασφαλες).

[Frontier]

Παιδιά τίποτα. Το port 21 είναι ελεύθερο - όπως είπε και ο alefgr - αφού έχω ρυθμίσει τόσο τον web configurator όσο και το telnet να δέχονται "κλήσεις" μόνο από το LAN. Ό,τι και να βάζω, ακόμα και να κλείνω το firewall, δεν περνάει τίποτα - πάντα μπλοκάρεται το port 21

4 ημέρες τώρα το ίδιο παραμύθι, έχω αρχίσει να απελπίζομαι.
Μήπως φταίει η Tellas;

Μήπως μπορείτε να μου δώσετε περισσότερες λεπτομέρειες (π.χ σε ποια menu να πάω), γιατί αρχίζω να πιστεύω ότι κάτι δεν κάνω καλά (και νομίζω ότι το κάνω καλά); Σας ευχαριστώ.

[alefgr]

Υποθέτω ότι όταν λες δοκιμή από το "ανοικτό" internet, ενοείς κλήση από άλλο μηχάνημα με ανεξάρτητη συνδεση στο Internet... Γιατί είναι άλλο πράγμα δοκιμή από μέσα με την WAN address και άλλο πράγμα από έξω.

Εαν πραγματικά το ελέγχεις απ'έξω, βγάζεις εκτός το firewall και κάνεις ανακατεύθυνση του port 21 μέσω NAT στον εσωτερικό σου FTP server και παρ'όλα αυτά δεν περνάνε τα πακέτα τότε έλεγξε μήπως κόβοντε στο μηχάνημα που τρέχεις τον server. Μήπως τρέχει κανένα software firewall (πχ: ZoneAlarm)?

[formula1]

Θα ήθελα την βοήθειά σας σχετικά με τα NAT settings στο Zyxel 650Η που έχω.

Μπορεί κάποιος να μου πει αναλυτικά την διαδικασία για να ανοίξουμε τα Ports που θέλουμε και ποια ports να ανοίξω.

Μιας και έχουμε πάρα πολλοί Zyxel θα ήταν χρήσιμος ένας οδηγός για τα NAT settings

[cyborg]

Δεν ξέρω αν θα σε βηοθήσω με την απάντηση μου, αλλά δοκίμασε κάτι που μου είχαν προτείνει κι εμένα όταν είχα παρόμοιο πρόβλημα με το 650R-31.
Στα NAT Settings, έβαλα SUA Only και μετά στα Details η πρώτη σειρά που λέει All Ports, έβαλα το ip του υπολογιστή (πχ. 192.168.1.33 που είναι το default).
Από κάτω έβαλα στο Start Port τον αριθμό 1, στο Ending Port το 65355 και δίπλα πάλι το ίδιο ip.
Τώρα δεν ξέρω αν παίζει ρόλο, αλλά στην επιλογή Security από το menu, απενεργοποίησα όσα με ενδιέφεραν και στο Remote Management τα έβαλα όλα στο All.
Δεν ξέρω αν το menu είναι το ίδιο και στο δικό σου modem, αλλά ελπίζω να σε βοήθησα.

[Frontier]

@cyborg: Με την τελευταία σου κίνηση (να βάλεις σε ALL όλες τις ρυθμίσεις στo remote management) όχι μόνο απενεργοποίησες το firewall, αλλά άνοιξες και την πρόσβαση των ρυθμίσεων του ZyXEL σου στον οποιοδήποτε, είτε είναι τοπικός (πίσω από το ZyXEL) είτε απομακρυσμένος (internet) χρήστης.

Στο δικό μου πρόβλημα μάλλον έφταιγε το ότι κάνω τις δοκιμές από το εσωτερικό δίκτυο (πίσω από το ZyXEL), χρησιμοποιώντας το δυναμικό hostname, κάτι που όμως δεν ξεγελά το ZyXEL αφού βλέπει ως αρχική IP την τοπική και όχι αυτή του WAN (άσχετα με το NAT που έχω κάνει).

Θα κάνω δοκιμές με ένα φίλο και θα γράψω τα αποτελέσματα εδώ.

[alefgr]

Για τον Frontier.

Αν θες να κάνεις δοκιμές από μέσα με WAN IP address, τότε πρέπει να κάνεις ενεργό το loopback στο NAT.

Για να το κάνεις αυτό, πάς απο Telnet στο 24, μετά 8 και δίνεις εντολή:

ip nat loopback on

[Frontier]

Παιδιά, με τη βοήθειά σας λειτούργησαν όλα
Σας ευχαριστώ πολύ για το χρόνο σας.

[lazar]

τραβάς φίλε, αυτά που τράβηξα κι εγώ.
Η λύση ήταν το ip nat loopback on, που λέει ο φίλος μας ο alefgr. Διότι όλοι έχουμε το δίκτυο στο zyxel και νομίζουμε ότι δίνοντας εξωτερική ip το άλλο pc ψάχνει τον server απ' έξω. Αμ δε!
Και μια λεπτομέρεια που παρατήρησα: εξακολουθούσα να βλέπω το server με μπλοκαρισμένη τη remote κλήση στο port 80. Ωστόσο αυτό ήταν από μέσα. Για να μπω απ' έξω έπρεπε αλλάξω τη ρύθμιση. Επομένως για απόλυτο test πρέπει να κοιτάς από σύνδεση εξωτερική, ή κάνεις ένα test στο netcraft.com για να δεις τι βλέπει.

[alefgr]

Υπάρχει μόνο μια μικρή λεπτομέρια που δεν έχει διευκρινιστεί. Από που περνάει πρώτα ένα πακέτο που προέρχεται από WAN. Από το NAT ή το Firewall? Αν περνάει πρώτα από το NAT τότε αλλάζει η διεύθυνση του αποδέκτη απο WAN σε LAN οπότε στο Firewall στην δήλωση του φίλτρου για Destination IP, βάζουμε την διεύθυνση του εσωτερικού server και όλα πάνε καλά. Αν όμως είναι έτσι, τότε γιατί όταν ελέγχουμε εκ των έσω με WAN IP περνάει το πακέτο ακόμα και αν δεν έχουμε δώσει το ΟΚ στο Firewall?

Ίσως είναι μια καλή ερώτηση για να απαντηθεί από την ίδια την Zyxel.

[Frontier]

Στην ερώτηση του alefgr, απ'ότι είδα στο manual του Prestige (το μεγάλο) αναφέρεται ότι - και μάλιστα εμφανίζεται με διάγραμμα - ότι ένα πακέτο που έρχεται από το WAN προς το LAN, πρώτα περνά από τα DEVICE FILTERS (όχι τα φίλτρα που φτιάχνουμε εμείς, αλλά κάποια δικά του στα οποία δεν έχουμε πρόσβαση) και μετά από το ΝΑΤ. Τα δικά μας φίλτρα ΠΙΘΑΝΟΤΑΤΑ είναι μετά το NAT, αλλιώς δεν θα είχε νόημα να τα δημιουργούμε. ΠΡΟΣΟΧΗ: μπορούμε να γράψουμε και εμείς δικά μας device filters τα οποία να τρέχουν πριν το ΝΑΤ - μάλιστα παίζει ρόλο και η σειρά που τα εφαρμόζουμε (menu 11.1 - IP filter config).

Ομολογουμένως, το συγκεκριμένο κομμάτι του manual είναι λίγο ομιχλώδες ως προς το όλο θέμα. Γεγονός πάντως είναι ότι αν δηλώσει κανείς ακριβώς τις θύρες που τον ενδιαφέρουν στο firewall και με το SUA όλα παίζουν ΟΚ, χωρίς να χρειαστεί να πειράξει φίλτρα. Τα φίλτρα χρειάζονται για περισσότερο έλεγχο σε περίπτωση που έχουμε ένα μεγάλο εύρος θυρών ανοικτό (π.χ 20-80) και όχι μεμονωμένες (π.χ 21, 23 κλπ).

[alefgr]

Συμφωνώ για τα φίλτρα αλλά θέλω να δώσω σε όλους να καταλάβουν ότι δεν είναι ακριβώς το ίδιο πράγμα όταν δοκιμάζουμε ένα rule απ'έξω απ' ότι από μέσα με εξωτερική διεύθυνση. Το μόνο κοινό στις δύο περιπτώσεις είναι έλεγχος του NAT και όχι του Firewall.