Fibra/Cable

Problema con ONO, Cisco EPC3825, FTP y comando PASV

BocaDePez 29 abril 2011 12:46

⋮

Hola, tengo un problema con el modo pasivo de mi FTP, el cual voy a detallar a ver si podemos solucionarlo entre todos.

Ayer, jueves 28 de abril, me instalaron un Cisco EPC3825, ya que el anterior Netgear GC3100D-RG estaba dando bastantes problemas. Yo dispongo de un servidor FTP bajo FileZilla Server, en Windows XP, al cual le tengo asignado un rango de puertos para el modo pasivo (50100-50200) y los cuales he redireccionado al equipo que aloja este servidor, así como los puertos 20 y 21. El problema radica en que, cuando un cliente establece una conexión, y envía el comando PASV, no recibe respuesta del servidor (Sin embargo, todos los demás comandos reciben respuesta correctamente).

El modo activo funciona correctamente, pero preferiría utilizar el modo pasivo para no tener que reconfigurar todos los clientes (aparte de que desde los navegadores web, se utiliza el modo pasivo para listar los directorios).

¿Alguien mas que disponga de este router ha tenido problemas parecidos o lo ha conseguido configurar el modo pasivo correctamente? ¿alguna sugerencia o pauta a seguir para intentar solucionarlo? No dudéis en pedirme cualquier información adicional.

Gracias por adelantado, saludos.

BocaDePez 29 abril 2011 14:54

⋮

La verdad es que no tiene mucho sentido. Se supone que cuando el cliente manda el comando PASV, tiene que recibir del servidor FTP una respuesta PASV OK con la IP y el nuevo puerto habilitado.

Los routers que hacen NAT deben tener un módulo especial para tratar las sesiones FTP e interceptar dicha respuesta para devolver al cliente la IP pública y un puerto diferente habilitado temporalmente para escucha en el propio router.

¿Estás monitorizando el cliente remoto, para ver qué información le está llegando? ¿Recibe el PASV OK? Si lo recibe, ¿lo hace con la IP pública o con la privada?

BocaDePez 29 abril 2011 14:56

⋮

Se me olvidó decir que el paquete PASV OK tiene el identificador 227, pero supongo que eso ya lo sabrás.

vukits 29 abril 2011 15:04

⋮

presupongo que has desactivado el firewall del router :-/

BocaDePez 30 abril 2011 10:20

⋮

El cliente no llega a recibir el PASV OK, y sí, está el Firewall activado, aunque solo dice que previene de ataques DoS. Voy a probar desactivando el Firewall y ver si encuentro a alguien para hacer pruebas, ya que desde dentro de mi propia red, aun conectándome con la IP pública funciona todo correcto. Os mantengo informados.

BocaDePez 30 abril 2011 19:45

⋮

Aun deshabilitando el Firewall, sigue dando el mismo problema. El cliente no recibe la respuesta al PASV, aunque el servidor si la envía... ¿Alguna idea de por que puede pasar esto?

✖

vukits 30 abril 2011 20:01

⋮

ya que desde dentro de mi propia red, aun conectándome con la IP pública funciona todo correcto.

yo, personalmente, evitaría usar NAT Loopback ..

saludos

✖

BocaDePez 30 abril 2011 20:05

⋮

¿Qué es Nat Loopback? ¿De donde puedo activar/desactivar esa funcionalidad?

✖

vukits 30 abril 2011 21:45

⋮

NAT Loopback

no sé cómo se desactiva en el Cisco .. usa el buscador a ver si hay suerte (o un usuario te lo dirá)

✖

BocaDePez 30 abril 2011 22:08

⋮

✖

vukits 30 abril 2011 22:19

⋮

BocaDePez 1 mayo 2011 10:18

⋮

✖

BocaDePez 1 mayo 2011 13:23

⋮

BocaDePez 1 mayo 2011 13:21

⋮

✖

vukits 1 mayo 2011 13:37

⋮

vukits 1 mayo 2011 15:40

⋮

¿has probado a poner el servidor FTP como DMZ host?

BocaDePez 2 mayo 2011 16:02

⋮

He probado tanto desde fuera de la red como desde dentro, así como designando el servidor como DMZ. Desde dentro de la red va todo perfecto, pero desde fuera, ya sea habilitando o deshabilitando el DMZ, el comando PASV no recibe respuesta. Gracias a todos por el interés que estáis poniendo sobre mi problema. Un saludo.

✖

BocaDePez 2 mayo 2011 16:20

⋮

Es raro, sí. La cosa sería asegurarse de que al servidor FTP le llega el comando PASV y éste manda esa respuesta y que fuese el router quien la bloquea. Como no te pongas a analizar el tráfico con Wireshark o similares... pero es un jaleo.

✖

BocaDePez 3 mayo 2011 09:04

⋮

Al servidor le llega el comando PASV, y este envía respuesta. Aun deshabilitando totalmente el antivirus, al cliente no le llega respuesta. Es cosa de el router hacia fuera, de la red, porque como ya comenté, dentro de la LAN funciona perfectamente.. ¿Nadie de por aquí tiene este router y se ha visto en la necesidad de montar un servidor FTP? ¿Y alguien que no lo tenga y tenga un servidor FTP tras ONO, me puede verificar que funciona y con que router lo consigue? ¿Si paso el router a cablemodem seguiré teniendo el mismo problema?

Gracias por adelantado, saludos.

✖

BocaDePez 3 mayo 2011 09:43

⋮

Si pasas el router a cablemódem, no tendría que realizar ninguna función NAT en absoluto, que es lo que tiene pinta de estar fallando estrepitosamente.

Hace casi 2 meses un usuario se quejaba de que en su EPC3825 le habían cambiado el firmware y le habían dejado de funcionar cosas:

Nuevo firmware Cisco EPC3825

Mira a ver si coincide. Llama a Ono y pregunta, y si no que te pongan un router diferente, que con ese no puedes trabajar.

BocaDePez 3 mayo 2011 09:55

⋮

Vale, mejor me callo, que Ono solo tiene 2 tipos de routers (¡manda huevos!) y el otro ya te dio problemas. :-O

✖

BocaDePez 3 mayo 2011 12:31

⋮

BocaDePez 3 mayo 2011 17:18

⋮

¿Alguna otra solución antes de que vuelva a llamar a ONO para decirle lo mucho que me gusta y lo contento que estoy con su servicio? :|

✖

vukits 3 mayo 2011 17:31

⋮

lo que te han comentado.. convertirlo a cablemodem y pincharle un router neutro...

o conseguir un epc3000 y activarlo por 39€ ...

✖

BocaDePez 3 mayo 2011 17:44

⋮

Bueno, en cuanto tenga un rato hago copia de la configuración del Cisco EPC3825, le meto mano, y pruebo a ver si va. De todas formas, esta tarde llamaré a ONO para pedir explicaciones, ya que no es normal que pase esto... Os mantengo informados, saludos.

P.D.: De todas formas, me gustaría que, si alguien lee esto, tiene un servidor FTP tras ONO, y le funciona el comando PASV, me comente bajo que router está y como lo ha logrado, ya que yo me estoy volviendo loco...

✖

yomimmo 3 mayo 2011 19:06

⋮

Yo con el Netgear he tenido configurado un servidor FTP usando FileZilla, ya que este servidor te permite configurar de forma efectiva como debe responder el servidor a las peticiones pasivas cuando se encuentra en un equipo con NAT.

No todos los servidores FTP funcionan correctamente en modo pasivo con un equipo sin ip publica.

yomimmo 3 mayo 2011 19:50

⋮

(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> Connected, sending welcome message...

(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> 220 FileZilla Server version 0.9.37 beta written by Tim Kosse (Tim.Kosse@gmx.de) Please visit sourceforge.
(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> USER anonymous
(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> 331 Password required for anonymous
(000001)03/05/2011 19:37:50 - (not logged in) (62.43.71.182)> PASS *****************
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 230 Logged on
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> SYST
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 215 UNIX emulated by FileZilla
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> FEAT
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 211-Features:
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MDTM
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> REST STREAM
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> SIZE
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MLST type*;size*;modify*;
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MLSD
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> UTF8
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> CLNT
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> MFMT
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 211 End
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> PWD
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 257 "/" is current directory.
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> TYPE A
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> 200 Type set to A
(000001)03/05/2011 19:37:50 - anonymous (62.43.71.182)> PASV
(000001)03/05/2011 19:37:51 - anonymous (62.43.71.182)> 227 Entering Passive Mode (192,168,123,11,253,232)
(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> PORT 62,43,71,182,16,83
(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> 200 Port command successful
(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> LIST
(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> 150 Opening data channel for directory list.
(000001)03/05/2011 19:38:12 - anonymous (62.43.71.182)> 226 Transfer OK
(000001)03/05/2011 19:38:18 - anonymous (62.43.71.182)> QUIT
(000001)03/05/2011 19:38:18 - anonymous (62.43.71.182)> 221 Goodbye
(000001)03/05/2011 19:38:18 - anonymous (62.43.71.182)> disconnected.

Lo he puesto en marcha unos momentos para comprobarlo y me sigue funcionando con la R06b, antes lo probe con las versiones R04- R05 y he querido comprobar que seguia funcionando con la ultima actualizacion

✖

BocaDePez 3 mayo 2011 19:52

⋮

✖

BocaDePez 3 mayo 2011 19:54

⋮

✖

yomimmo 3 mayo 2011 20:01

⋮

BocaDePez 4 mayo 2011 10:02

⋮

BocaDePez 4 mayo 2011 21:33

⋮

Comprobado, es cosa del router. Lo he convertido a cablemodem y he puesto un router neutro de los que tenía por casa, y desde la oficina he podido acceder perfectamente en modo pasivo.

Deduzco que al Netgear GC3100D-RG que tenía anteriormente le pasará lo mismo que a este Cisco. Yomimmo, ¿has podido mirar lo que te comenté esta mañana?

Saludos.

BocaDePez 6 mayo 2011 09:45

⋮

Supongo que habéis desistido con este tema, ¿no? :|

✖

BocaDePez 26 julio 2011 03:14

⋮

(Vaya, adiós mensaje previo...)

Me instalaron un EPC3825 la semana pasada. Tengo un servidor FTP FileZilla Server también, que corre bajo Windows Vista en este caso.

Mismo problema que tú: El cliente puede conectarse y logarse, pero no recibe respuesta en modo pasivo. Con el anterior (Un Cisco EPC3000) no tenía ningún problema.

Y ni santa idea de lo que hacer.

✖

Curro1 26 julio 2011 08:51

⋮

Pregunta tonta: además de abrir el puerto de entrada al FTP, habréis prefijado en la aplicación del servidor FTP, el rango para entradas en Pasivo, y habréis abierto ese rango de entradas en pasivo en el router, no??? (Ej: 42200-42300).
En el servidor FTP, lo normal, es que tenga un apartado donde se configura el "Passive Mode", y su rango en puertos "Passive Port Range", para que accedan en pasivo estando tras tu NAT, y luego, a abrir ese rango en el router, para que puedan entrar.

Lo pregunto, porque a mí me ocurría eso mismo con 2 routers Linksys que tuve con adsl, que cuando ponía un puerto distinto del 21, el FTP no iba en pasivo, porque el firewall del router no entendía que tenía que abrir esos puertos también, al entrar la solicitud por un puerto ajeno al 21. Sin embargo, no tenía que abrir puertos en otros routers, qué curioso.

✖

BocaDePez 26 julio 2011 12:16

⋮

El FTP es un protocolo algo complejo. Bueno, no excesivamente complejo, pero que los firmwares de los routers deben gestionar a propósito para realizar correctamente NAT/PAT. Supongo que en ese sentido unos firmwares serán mejor que otros, pero sorprende que en pleno 2011 ese tema no esté completamente superado.

BocaDePez 20 marzo 2012 10:20

⋮

hola, esto he echo yo y me funciona (link roto)

✖

BocaDePez 20 marzo 2012 12:33

⋮

Gracias, tal vez le sirva a alguien en el futuro. Vamos, lo que viene siendo un "Port Triggering" de toda la vida, con el rango de puertos habilitados en tu servidor.