Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra/Cable

Problema con ONO, Cisco EPC3825, FTP y comando PASV

BocaDePez
BocaDePez

Hola, tengo un problema con el modo pasivo de mi FTP, el cual voy a detallar a ver si podemos solucionarlo entre todos.

Ayer, jueves 28 de abril, me instalaron un Cisco EPC3825, ya que el anterior Netgear GC3100D-RG estaba dando bastantes problemas. Yo dispongo de un servidor FTP bajo FileZilla Server, en Windows XP, al cual le tengo asignado un rango de puertos para el modo pasivo (50100-50200) y los cuales he redireccionado al equipo que aloja este servidor, así como los puertos 20 y 21. El problema radica en que, cuando un cliente establece una conexión, y envía el comando PASV, no recibe respuesta del servidor (Sin embargo, todos los demás comandos reciben respuesta correctamente).

El modo activo funciona correctamente, pero preferiría utilizar el modo pasivo para no tener que reconfigurar todos los clientes (aparte de que desde los navegadores web, se utiliza el modo pasivo para listar los directorios).

¿Alguien mas que disponga de este router ha tenido problemas parecidos o lo ha conseguido configurar el modo pasivo correctamente? ¿alguna sugerencia o pauta a seguir para intentar solucionarlo? No dudéis en pedirme cualquier información adicional.

Gracias por adelantado, saludos.

BocaDePez
BocaDePez

La verdad es que no tiene mucho sentido. Se supone que cuando el cliente manda el comando PASV, tiene que recibir del servidor FTP una respuesta PASV OK con la IP y el nuevo puerto habilitado.

Los routers que hacen NAT deben tener un módulo especial para tratar las sesiones FTP e interceptar dicha respuesta para devolver al cliente la IP pública y un puerto diferente habilitado temporalmente para escucha en el propio router.

¿Estás monitorizando el cliente remoto, para ver qué información le está llegando? ¿Recibe el PASV OK? Si lo recibe, ¿lo hace con la IP pública o con la privada?

BocaDePez
BocaDePez

Se me olvidó decir que el paquete PASV OK tiene el identificador 227, pero supongo que eso ya lo sabrás.

vukits

presupongo que has desactivado el firewall del router :-/

BocaDePez
BocaDePez

El cliente no llega a recibir el PASV OK, y sí, está el Firewall activado, aunque solo dice que previene de ataques DoS. Voy a probar desactivando el Firewall y ver si encuentro a alguien para hacer pruebas, ya que desde dentro de mi propia red, aun conectándome con la IP pública funciona todo correcto. Os mantengo informados.

BocaDePez
BocaDePez

Aun deshabilitando el Firewall, sigue dando el mismo problema. El cliente no recibe la respuesta al PASV, aunque el servidor si la envía... ¿Alguna idea de por que puede pasar esto?

🗨️ 9
vukits

ya que desde dentro de mi propia red, aun conectándome con la IP pública funciona todo correcto.

yo, personalmente, evitaría usar NAT Loopback ..

saludos

🗨️ 8
BocaDePez
BocaDePez

¿Qué es Nat Loopback? ¿De donde puedo activar/desactivar esa funcionalidad?

🗨️ 7
vukits

NAT Loopback

no sé cómo se desactiva en el Cisco .. usa el buscador a ver si hay suerte (o un usuario te lo dirá)

🗨️ 6
BocaDePez
BocaDePez
🗨️ 1
vukits
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 1
vukits
vukits

¿has probado a poner el servidor FTP como DMZ host?

BocaDePez
BocaDePez

He probado tanto desde fuera de la red como desde dentro, así como designando el servidor como DMZ. Desde dentro de la red va todo perfecto, pero desde fuera, ya sea habilitando o deshabilitando el DMZ, el comando PASV no recibe respuesta. Gracias a todos por el interés que estáis poniendo sobre mi problema. Un saludo.

🗨️ 5
BocaDePez
BocaDePez

Es raro, sí. La cosa sería asegurarse de que al servidor FTP le llega el comando PASV y éste manda esa respuesta y que fuese el router quien la bloquea. Como no te pongas a analizar el tráfico con Wireshark o similares... pero es un jaleo.

🗨️ 4
BocaDePez
BocaDePez

Al servidor le llega el comando PASV, y este envía respuesta. Aun deshabilitando totalmente el antivirus, al cliente no le llega respuesta. Es cosa de el router hacia fuera, de la red, porque como ya comenté, dentro de la LAN funciona perfectamente.. ¿Nadie de por aquí tiene este router y se ha visto en la necesidad de montar un servidor FTP? ¿Y alguien que no lo tenga y tenga un servidor FTP tras ONO, me puede verificar que funciona y con que router lo consigue? ¿Si paso el router a cablemodem seguiré teniendo el mismo problema?

Gracias por adelantado, saludos.

🗨️ 3
BocaDePez
BocaDePez

Si pasas el router a cablemódem, no tendría que realizar ninguna función NAT en absoluto, que es lo que tiene pinta de estar fallando estrepitosamente.

Hace casi 2 meses un usuario se quejaba de que en su EPC3825 le habían cambiado el firmware y le habían dejado de funcionar cosas:

Nuevo firmware Cisco EPC3825

Mira a ver si coincide. Llama a Ono y pregunta, y si no que te pongan un router diferente, que con ese no puedes trabajar.

BocaDePez
BocaDePez

Vale, mejor me callo, que Ono solo tiene 2 tipos de routers (¡manda huevos!) y el otro ya te dio problemas. :-O

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

¿Alguna otra solución antes de que vuelva a llamar a ONO para decirle lo mucho que me gusta y lo contento que estoy con su servicio? :|

🗨️ 8
vukits

lo que te han comentado.. convertirlo a cablemodem y pincharle un router neutro...

o conseguir un epc3000 y activarlo por 39€ ...

🗨️ 7
BocaDePez
BocaDePez

Bueno, en cuanto tenga un rato hago copia de la configuración del Cisco EPC3825, le meto mano, y pruebo a ver si va. De todas formas, esta tarde llamaré a ONO para pedir explicaciones, ya que no es normal que pase esto... Os mantengo informados, saludos.

P.D.: De todas formas, me gustaría que, si alguien lee esto, tiene un servidor FTP tras ONO, y le funciona el comando PASV, me comente bajo que router está y como lo ha logrado, ya que yo me estoy volviendo loco...

🗨️ 6
yomimmo
1

Yo con el Netgear he tenido configurado un servidor FTP usando FileZilla, ya que este servidor te permite configurar de forma efectiva como debe responder el servidor a las peticiones pasivas cuando se encuentra en un equipo con NAT.

No todos los servidores FTP funcionan correctamente en modo pasivo con un equipo sin ip publica.

yomimmo

(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> Connected, sending welcome message...

(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> 220 FileZilla Server version 0.9.37 beta written by Tim Kosse (Tim.Kosse@gmx.de) Please visit sourceforge.

(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> USER anonymous

(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> 331 Password required for anonymous

(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> PASS *****************

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 230 Logged on

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> SYST

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 215 UNIX emulated by FileZilla

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> FEAT

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 211-Features:

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MDTM

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> REST STREAM

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> SIZE

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MLST type*;size*;modify*;

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MLSD

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> UTF8

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> CLNT

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MFMT

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 211 End

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> PWD

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 257 "/" is current directory.

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> TYPE A

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 200 Type set to A

(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> PASV

(000001)03/05/2011 19:37:51 - anonymous (62.43.71.182)> 227 Entering Passive Mode (192,168,123,11,253,232)

(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> PORT 62,43,71,182,16,83

(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> 200 Port command successful

(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> LIST

(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> 150 Opening data channel for directory list.

(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> 226 Transfer OK

(000001)03/05/2011 19:38:18 - anonymous (62.43.71.182)> QUIT

(000001)03/05/2011 19:38:18 - anonymous (62.43.71.182)> 221 Goodbye

(000001)03/05/2011 19:38:18 - anonymous (62.43.71.182)> disconnected.

Lo he puesto en marcha unos momentos para comprobarlo y me sigue funcionando con la R06b, antes lo probe con las versiones R04- R05 y he querido comprobar que seguia funcionando con la ultima actualizacion

🗨️ 4
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Comprobado, es cosa del router. Lo he convertido a cablemodem y he puesto un router neutro de los que tenía por casa, y desde la oficina he podido acceder perfectamente en modo pasivo.

Deduzco que al Netgear GC3100D-RG que tenía anteriormente le pasará lo mismo que a este Cisco. Yomimmo, ¿has podido mirar lo que te comenté esta mañana?

Saludos.

BocaDePez
BocaDePez

Supongo que habéis desistido con este tema, ¿no? :|

🗨️ 3
BocaDePez
BocaDePez

(Vaya, adiós mensaje previo...)

Me instalaron un EPC3825 la semana pasada. Tengo un servidor FTP FileZilla Server también, que corre bajo Windows Vista en este caso.

Mismo problema que tú: El cliente puede conectarse y logarse, pero no recibe respuesta en modo pasivo. Con el anterior (Un Cisco EPC3000) no tenía ningún problema.

Y ni santa idea de lo que hacer.

🗨️ 2
Curro1

Pregunta tonta: además de abrir el puerto de entrada al FTP, habréis prefijado en la aplicación del servidor FTP, el rango para entradas en Pasivo, y habréis abierto ese rango de entradas en pasivo en el router, no??? (Ej: 42200-42300).
En el servidor FTP, lo normal, es que tenga un apartado donde se configura el "Passive Mode", y su rango en puertos "Passive Port Range", para que accedan en pasivo estando tras tu NAT, y luego, a abrir ese rango en el router, para que puedan entrar.

Lo pregunto, porque a mí me ocurría eso mismo con 2 routers Linksys que tuve con adsl, que cuando ponía un puerto distinto del 21, el FTP no iba en pasivo, porque el firewall del router no entendía que tenía que abrir esos puertos también, al entrar la solicitud por un puerto ajeno al 21. Sin embargo, no tenía que abrir puertos en otros routers, qué curioso.

🗨️ 1
BocaDePez
BocaDePez

El FTP es un protocolo algo complejo. Bueno, no excesivamente complejo, pero que los firmwares de los routers deben gestionar a propósito para realizar correctamente NAT/PAT. Supongo que en ese sentido unos firmwares serán mejor que otros, pero sorprende que en pleno 2011 ese tema no esté completamente superado.

BocaDePez
BocaDePez

hola, esto he echo yo y me funciona (link roto)

🗨️ 1
BocaDePez
BocaDePez

Gracias, tal vez le sirva a alguien en el futuro. Vamos, lo que viene siendo un "Port Triggering" de toda la vida, con el rango de puertos habilitados en tu servidor.