Draytek 2820n Passive FTP Firewall Rules

[paparoup]

Καλημέρα,

Προσπαθώ αυτές τις μέρες να κάνω μια εφαρμογή να πάρει ενημερώσεις από έναν εξωτερικό FTP. Το σενάριο είναι εσωτερική ip 192.168.x.x static χωρίς firewall (windows κατεβασμένο , antivirus απενεργοποιημένο) εξωτερική ip 62.87.x.x που είναι εγκατεστημένος ο FTP. Αρχικά λοιπόν είδα με ενα netstat οτι στέλνει δύο random ports αρα θεωρώ οτι είναι passive mode configuration. Στο draytek 2820n λοιπόν άνοιξα πόρτες για έλεγχο απο 1-65535(όλες τις πορτες αρχικα καθαρά για έλεγχο) αλλα και πάλι δεν μπορεί να συνδεθεί και να πάρει τα update. Μετα προσπάθησα και πάλι για έλεγχο να ανοιξω ενα κανονα WAN->LAN που να επιτρέπει απο την εξωτερική Ip στην εσωτερική σε όλες τις πόρτες που είχα ανοιξει πρίν και πάλι τπτ. Τέλος σε ενα κανόνα WAN->LAN που να επιτρέπει τα πάντα απο παντού σε όλες τι πόρτες και πάλι δεν καταφερα να κάνω update. Σαν να μην παίρνει υπόψιν καθόλου τους κανόνες και να κόβει την κίνηση προς τα μέσα. Αν κανω disable το firewall του draytek το update γίνεται κανονικά. Τι δεν βλέπω στην όλη διαδικασία, θα με βοηθούσε αρκετά οποιαδήποτε ιδέα

Ευχαριστώ για τον χρόνο σας

[babis3g]

πηγαινε στο System Maintenance >> Management > Allow management from the Internet και κανε τικ το FTP & HTTP server αν σε βοηθησει (πατα οκ και θα ζητησει κατω χαμηλα μυνημα για επανακινηση για να παισει)

[paparoup]

Καλησπέρα,

Ευχαριστώ για την απάντηση , θα το δοκιμάσω αλλά μήπως το συγκεκριμένο είναι αν έχεις σεταρισμένο εσύ κάποιον FTP ή Web Server? το ρωτάω γιατί το restart ενός router σε μια εταιρία δεν είναι και ότι πιο εύκολο αλλά αν είναι αναγκαίο θα γίνει. ευχαριστώ ομως είναι κάτι που το είχα δεί αλλα δεν το εχω τεστάρει ακομα

[babis3g]

κανονικα ναι ειναι αν εχεις εσυ καποιον εξωτερικο σερβερ αλλα το Allow management from the Internet νομιζω γενικα εχει να κανει με οτιδηποτε προσβαση εξω απο το τοπικο δικτυο
Δοκιμασε και το LAN Access Control>Allow management from LAN για FTP & HTTP αλλα αυτο ειναι για το εσωτερικο δικτυο και λογικα πρεπει να ειναι enable απο default, αν το εκλεισες ανοιξε το
Βεβαια δεν ειμαι σιγουρος 100% για την περιπτωση σου αλλα αυτα στο μενου εκει παιζουν μεγαλο ρολο στο μπλοκαρισμα των συγκεκριμενων σερβερς στο τοπικο και εξωτερικο δικτυο

[paparoup]

Οκ θα τα ελέγξω και θα ποσταρω ξανα.Ευχαριστώ

- - - Updated - - -

Μπα, δεν λειτουργησε ουτε με αυτό.
Καμμια άλλη ιδέα?

[babis3g]

Αφου δεν εχει πειραχτει το default FTP port 21 η δεν ανοιχτοικαν εκει αλλες πορτες να γινει conflict ... να σου πω την αληθεια προσωπικα δεν εχω ασχοληθει παραπανω με FTP & servers αλλα αφου αν κλεισεις το firewall δουλευει, κοιτα μηπως δεν χρειαζεται rules, κανε τα rules disable η delete
Αν δεν ξερει καποιος αλλος φιλος, κανε ενα bing/google search ... Draytek Passive FTP Firewall rules (οπως εβαλες τον τιτλο) ... χωρις το μοντελο για να βγαλει καμποσα γιατι ολα ιδια μενου εχουν και ισως φανει κατι

Τωρα μπορει να παιζει ρολο και το λογισμικο αν θελει αναβαθμηση, αλλα δεν το λεω να το κανεις οποσδηποτε και να σε ταλαιπωρησω και να μην δουλεψει ουτε και με αυτο, απλος σαν τελευταιο αν βρεις καποιες λυσεις και δεν δουλεψουν
αν θελεις να επιχειρησεις κατι τετοιο πρπει να βαλεις πρωτα το 3.3.5.2 γιατι μπορει να γινει confict στα μενου και μετα το 3.3.7.5

Because the functions and WUI on Firmware Version 3.3.5 (and before) are different with Firmware
Version 3.3.7.2 and later, we strongly suggest you to download the file (V3.3.5.2) from the
following FTP first.
ftp://ftp.draytek.com/Vigor2820/Firmware/
Upgrade your router with Version 3.3.5.2 first, and last, upgrade the router with Version 3.3.7.2 (or
later).

Επειδή οι ​​λειτουργίες και περιβάλλον χρήσης για το Firmware Version 3.3.5 (και πριν) είναι διαφορετικες με το Firmware
Έκδοση 3.3.7.2, σας προτείνουμε ανεπιφύλακτα να κατεβάσετε το αρχείο (V3.3.5.2) από το FTP πρώτα.
ftp://ftp.draytek.com/Vigor2820/Firmware/
Αναβάθμιστε το router σας με Έκδοση 3.3.5.2 πρώτα, και τελευταία, την αναβάθμιση του router με την έκδοση 3.3.7.2 (ή
αργότερα).

[paparoup]

Καλημέρα και ευχαριστώ για το χρόνο,

Εχω δοκιμάσει τα πάντα πλέον και έχω καταλήξει στο ότι είναι θέμα του passive ftp mode της εταιρίας που πρέπει να συνδεθεί για τις ενημερώσεις ή ισως να μην μπορεί να το υποστηρίξει το Draytek ή καπου εκεί κοντά είναι το πρόβλημα. Εφτιαξα και αλλους κανόνες απο αλλα μηχανήματα και αλλες πορτες και δουλεύουν κανονικά και μόνο με την εξωτερική εφαρμογή δεν δουλεύει. Θα ενημερώσω το τμήμα τους αλλιώς αν δεν βρώ άκρη και απο κει θα δω μήπως τελικά κάνω upgrade το firmware.
Ευχαριστώ πολύ

[babis3g]

Επειδη απο οτι καταλαβα εχεις επιχειρηση, αν κανεις αναβαθμηση θα χρειαστει να κανεις με την σωστη σειρα που ανεφερα (πρωτα αναβαθμηση σε 3.3.5.2 και μετα 3.3.7.5) και θα χρειαστει να βαλεις το *rst* file το οποιο επαναφερει ολα στις εργοστασιακες ρυθμισεις ... θα χασεις ολες τις ρυθμισεις και ξανα απο την αρχη γιατι αν εχεις πολυ παλιο λογισμικο περασμενο, χρησιμοποιωντας το παλιο το backup μπορει να περασουν bugs/conflicts απο την παλια εκδοση (πιθανον λογω διαφορετικων λειτουργεικων που ειχε το παλιο μενου)
Βεβαια απλα πρενας το παλιο backup, αλλα απλος αναφερω ποιο ειναι το σωστο για να υπαρχουν στο καινουριο (τελευταιο) λογισμικο μηδεμινα λαθη απο conflict του μοντεμ

Θα ελεγα αφου εισαι καπου κοντα με την συγκεκριμενη ρυθμιση να επικοινωνησεις πρωτα με την αλλη εταιρια σερβερ που εχεις το προβλημα και μετα με την λεξις (εχουν την αντιπροσωπια και την τεχνικη υποστηριξη) αν βρουν καποια λυση πριν το αναβαθμησεις

[paparoup]

Δεν το συζητάω ότι η αναβάθμιση θα είναι το τελευταίο και αναγκαστικό βήμα μιας και απο οτι ειδα στο στο release της έκδοσης δεν υπάρχει κάτι σχετικό με passive mode και άρα το πρόβλημα μου ίσως να μην λύνεται ουτε με το upgrade. Θα προσπαθησω να επικοινωνησω με την τεχνικη υποστήριξη της Λεξις Πληροφορική που είναι η επίσημη αντιπροσωπεία οπως αναφέρεις και μετα θα επικοινωνησω με την εταιρια που μου δημιουργεί το πρόβλημα.
Ευχαριστώ και πάλι

[iliteo]

Καλημέρα,
... Αν κανω disable το firewall του draytek το update γίνεται κανονικά.
...

Δεν είναι το θέμα μόνο στις πόρτες.
Εφ όσον τις άνοιξες όλες και πάλι δεν λειτούργησε.
Δες αν μπορείς να κάνεις add ένα roule στο firewall του draytek που να επιτρέπει κάθε επικοινωνία με την τάδε IP του server στις πόρτες από 1024 και πάνω.
ή να επιτρέπει την κίνηση ftp τουλάχιστον - και στις πόρτες 20,21.
κάπου εκεί νομίζω είναι το μπλοκάρισμα.

[babis3g]

Αλλη μια προσπαθεια
Δοκιμασες στο Objects Setting >> IP Object / Service Type Object μηπως χρειαζεται και εκει κατι?
Η μεσω DMZ?

Επισης στο filter rules αν εχεις pass immediately

- - - Updated - - -

και αλλο ενα ... εκτος απο να μπει στο φιλτρο (αν υπαρχει) επιλογη pass immediately
μηπως αν φτιαξεις καποιο φιλτρο μετα θελει να πας στο firewall (general setup) & να το κανεις add?

[paparoup]

Δεν είναι το θέμα μόνο στις πόρτες.
Εφ όσον τις άνοιξες όλες και πάλι δεν λειτούργησε.
Δες αν μπορείς να κάνεις add ένα roule στο firewall του draytek που να επιτρέπει κάθε επικοινωνία με την τάδε IP του server στις πόρτες από 1024 και πάνω.
ή να επιτρέπει την κίνηση ftp τουλάχιστον - και στις πόρτες 20,21.
κάπου εκεί νομίζω είναι το μπλοκάρισμα.

Βασικά εχω κανει ολους τους πιθανους συνδυασμούς ,ανοιγμα range πορτων οπως προτεινεις και rule στο firewall που να επιτρέπει την κινηση απο την εξωτερικη στην εσωτερική και πάλι τπτ και αυτο ειναι το πιο περιεργο απ'ολα. Ενω με το ίδιο rule απο αλλο server πχ μπορω να συνδεθω κανονικα ή να μην με αφήσει ανάλογα το pass/block του κανόνα.

Δοκιμασες στο Objects Setting >> IP Object / Service Type Object μηπως χρειαζεται και εκει κατι?

Οχι αυτο δεν το έχω δοκιμάσει και θα το τσεκαρω. DMZ δεν θέλω να ενεργοποιήσω γιατι αν δεν κανω λαθος θα είναι σαν να είναι το μηχανημα server και να φαίνεται αυτο στην εξωτερικη ip ενω αυτο το μηχανημα ειναι απλα ενας εσωτερικος client.

Επισης στο filter rules αν εχεις pass immediately

Ναι το εχω διπλοτσεκάρει

μηπως αν φτιαξεις καποιο φιλτρο μετα θελει να πας στο firewall (general setup) & να το κανεις add?

Το filter ειναι στο ίδο set κανονων βασικα οποτε χρειαζεται απλα ενεργοποιηση και τπτ αλλο.

Ευχαριστώ για τις ιδέες παντως

[iliteo]

μήπως έχεις ενεργοποιήσει το SPI? δεν το ξέρω το ρούτερ.. πάντως κάτι στο firewall δείχνει!

[babis3g]

μήπως έχεις ενεργοποιήσει το SPI? δεν το ξέρω το ρούτερ.. πάντως κάτι στο firewall δείχνει!

ειναι απο το επομενο μοντελο 2830 αλλα τα μενου ειναι ολοιδια
http://tw.draytek.com:12830/
Αριστερα ΝΑΤ & κατω Firewall

===================================================
δοκιμασε με me port redirection αν εχεις αυτο δοκιμασε με open ports
η διαφορα ειναι στο πρωτο ειναι για ενα και το open ports για πολλα (range ip)
ριξε μια ματια και εδω αν βοηθησει κατι

IP Filter Samples - FTP server
http://www.draytek.com/index.php?opt...id=293&lang=en

http://www.draytek.com/index.php?opt...id=293&lang=en
http://www.draytek.com/index.php?opt...id=293&lang=en
http://www.draytek.com/index.php?opt...e-1796&lang=en
http://www.draytek.com/index.php?opt...e-1797&lang=en

- - - Updated - - -

εαν παλι δεν βρεις λυση πηγαινε στο Diagnostics >> Syslog Explorer
κανε τικ to web syslog, syslog type διαλεξε firewall ... μπορει κατι να εμφανιστει
για το διαβασμα του log εδω
https://www.draytek.co.uk/archive/kb...ewalllogs.html

[paparoup]

Ευχαριστώ και πάλι για τα λινκ και το χρόνο,

Να καταλάβω κάτι? Το SPI ποτε θεωρείται ενεργοποιημένο ακριβώς? δλδ εχω καταλάβει οτι για το ανοιγμα πορτών ή σειρά είναι η εξης, τουλάχιστον για το draytek, port redirection -> open ports -> DMZ. Μετα απο κει και πέρα έχεις το Firewall -> general setup

ειναι απο το επομενο μοντελο 2830 αλλα τα μενου ειναι ολοιδια
http://tw.draytek.com:12830/
Αριστερα ΝΑΤ & κατω Firewall

, μεγαλη βοήθεια το παραπάνω λινκ για οποιον δεν βλέπει το μενου και ευχαριστώ, το οποιο παρουσιάζει δύο φίλτρα το Call και το Data. Εδω απότι έχω καταλάβει και μιλώντας με την τεχνική υποστήριξη της Λεξις, οπως προτάθηκε παραπάνω, δεν έχουν καποια σημασία είτε ειναι enabled ειτε ειναι disabled. Και το λέω γιατι το περίεργο είναι οτι ενω to Data filter απο enable το κανω disable και δεν έχω καμμια πορτα ανοιχτή, δεν μπορω να μπω πχ με vnc που τρέχει στην 5900, σωστά μεχρι εδώ γιατι δεν την έχω ανοιξει, αλλα η εφαρμογή δημιουργεί κανονικά connection με τον εξωτερικο server και μπορεί να παρει update!! Δλδ μηπως παιδεύομαι τσαμπα και οντως το Data Filter πρεπει να είναι disabled αφου ετσι κι αλλιως δεν με προστατεύει, συμφωνα τουλάχιστον με το τωρινό configuration?
Εχω δοκιμάσει να δω τα syslogs, έχω δοκιμάσει να κόψω ολες τις κινήσεις προς τα μέσα και να αφήσω μόνο την κίνηση του εξωτερικου FTP. νομιζω πως πλέον μου μένει το IP objecting ή απλα να κάνω disable το data filter και μιας και δεν έχω καμμια πορτα ανοιχτή να θεωρήσω οτι τουλάχιστον δεν θα απεχει πολύ η τωρινή πολιτική ασφαλείας με αυτην που είχα οταν το Data filter ήταν enabled.
Συγνώμη αν σας μπέρδεψα