Zwei Router im Netzwerk

[Zigster]

Guten Morgen Forum,

ich habe zwei kleine Probleme:

Ich habe zwei Router: Router 1 (wl500g) und Router 2 (wl500gp)
Beide benutzen Olegs FW, wobei nur an Nr. 2 eine HDD angschlossen ist

Nr.1 ist der Hauptrouter und per WAN ans DSL angeschlossen.
Nr.2 soll als FTP-Server (vsftpd) dienen und ist via LAN-Kabel von Nr.1 an einem LAN-Port (also nicht WAN) von Nr. 2 angeschlossen.

Problem A:
Nr.2 hat logischerweise Verbindung zum Internet, auch alle Rechner die an diesem hängen (Nr 1. ist ja das default gateway).
ABER: Nr.2 kann zwar das gateway anpingen, kommt selbst aber nicht ins Internet (kein ping zu google.de zb.).

Wie lässt sich das lösen ?

Problem B:
Ich habe vorher mit stupidftpd gearbeitet, aber habe es nicht hinbekommen, dass der stupidftpd auf Nr 2. von extern angesprochen werden kann, aus dem lokalen Netz kein problem, aber extern keine Chance (trotz Virtual Server Setting auf IP von Nr. 2 -- Ich vermute dass er supidftpd auf der falschen IP gelauscht hat).
Habe mich nun für vsftpd entschieden, wie richte ich den nun korrekt ein, dass vsftpd auch von "aussen" erreichbar ist.

Besten Dank für Unterstützung

[newbiefan]

Problem A:
Nr.2 kann zwar das gateway anpingen, kommt selbst aber nicht ins Internet (kein ping zu google.de zb.).

Wie lässt sich das lösen ?

Problem B:

Habe mich nun für vsftpd entschieden, wie richte ich den nun korrekt ein, dass vsftpd auch von "aussen" erreichbar ist.

Besten Dank für Unterstützung

Problem A
Stelle den DHCP Vergabebereich am Router 1 auf z.Bspl. 192.168.1.50 - 100
Schalte den 2. Router in den AP Mode und gib ihm eine fixe IP - nicht per DHCP z.Bspl. 192.168.1.2 (siehe Bild ProblemA)
Dann stellst du am 1.Router noch die NAT Setting unter Virtual Server auf FTP und deinen FTP-Server (192.168.1.2)
Und nun am 1. Router deine DynDns Einstellungen/Daten unter IP Config und Miscellaneous. Dazu musst du dir natürlich einen Account bei DynDns holen.
Problem B
Am 2. Router(AP) unter USB Application den FTP Server aktivieren und deine Benutzer anlegen.

Dann holst du dir einen ordentlichen FTP-Client wie Filezilla und probierst erst einmal im eigenen Netz und wenn es funktioniert, gehst du zu deinem Freund oder irgend ein Zugang ausserhalb von deinem Netz und probierst von dort.
Dein Server ist dann unter ftp://deinname.dyndns.org erreichbar.

Viel Spass

[Zigster]

Hi newbiefan,

danke für Deine Antwort, Problem ist dank Deiner Hilfe gelöst,

Problem B besteht leider noch:

Ich habe den vsftpd so eingerichtet wie hier beschrieben: http://www.wl500g.info/showthread.php?t=17674

Lokal komme ich auch auf ftp server (sowohl über die lokale Adresse als auch über *.dyndns.org).

Extern versuche ich das via Ipad/Handy zu erreichen, klappt leider nicht.

Nr. 1 hat im Virtual Server Bereich den Eintrag für Port 20:21 auf die IP von Nr. 2 eingerichtet (Port 21), trotzdem komme ich nicht via dndns auf den FTP

Nochmals Danke für Deine Unterstützung!!

[newbiefan]

Extern versuche ich das via Ipad/Handy zu erreichen, klappt leider nicht.

Nr. 1 hat im Virtual Server Bereich den Eintrag für Port 20:21 auf die IP von Nr. 2 eingerichtet (Port 21), trotzdem komme ich nicht via dndns auf den FTP

Nochmals Danke für Deine Unterstützung!!

Wenn der lokale Zugriff klappt, sollte es auch von extern gehen, sofern am 1. Router alles richtig eingestellt ist.
Versuche einmal folgendes auf der Console vom 1. oder 2.Router wenn du nach Wengi installiert hast:

Code:

curl http://whatismyip.org

merke dir diese IP
danach am 1.Router:

Code:

ifconfig

die IP's müssen die gleichen sein (vlan) - dann sollte es gehen.
Zur Sicherheit gehst du noch mit dem Browser auf http://www.nmap-online.com und machst einen Custom Scan und fügst nach sS und vor deiner IP noch ein: "sV"
Vergiss nicht "I agree terms of service" .........dann dauert es etwas, etwas Geduld ist gefragt. Wenn Port 21 offen ist und er dir sagt welchen FTP-Server du benutzt, dann geht es einwandfrei. Dann spinnt dein FTP-Client......
LG

[Zigster]

Hi newbiefan,

scheinbar hat nur dyndns gehangen, im webinterface von dyndns stand die lokale Ip drin (warum auch immer). In den Einstellung von Nr. 1 stehen die korrekten settings jedenfalls zu dyndns drin.

FTP klappt nun auch soweit, was mich allerdings gehörig erschreckt hat, ist die Tatsache, dass ich bei Aufruf von *.dyndns.org via Browser (NACHTRAG im lokalen Netz) plötzlich das WebIf von Nr. 1 gesehen habe, obwohl der WebAccess von WAN deaktiviert ist ... das muss unbedingt raus ... hab ich da was übersehen ?

Danke nochmals!

[newbiefan]

Hi newbiefan,

scheinbar hat nur dyndns gehangen, im webinterface von dyndns stand die lokale Ip drin (warum auch immer). In den Einstellung von Nr. 1 stehen die korrekten settings jedenfalls zu dyndns drin.

FTP klappt nun auch soweit, was mich allerdings gehörig erschreckt hat, ist die Tatsache, dass ich bei Aufruf von *.dyndns.org via Browser (NACHTRAG im lokalen Netz) plötzlich das WebIf von Nr. 1 gesehen habe, obwohl der WebAccess von WAN deaktiviert ist ... das muss unbedingt raus ... hab ich da was übersehen ?

Danke nochmals!

Eigentlich nicht, du hast ja nur Port 20:21 weiter geleitet. Mach' einmal im Webinterface vom 1.Router nach allen Einstellungen ein Apply und danach ein finished mit einem save&reboot. Danach sollten alle Einstellungen funktionieren. Falls doch nicht, lohnt manchmal ein downgrade der FW auf eine etwas ältere FW. Es kommen zwar selten Bugs vor, dennoch sind diese auch möglich......Das hast du richtig erkannt, wenn das Router-Webif nach aussen sichtbar ist, dauert es nicht mehr lange bis die ersten Hacker da sind und die hören nicht so einfach auf - die stellen dir den Router-DNS-Server mit Sicherheit auf eine Pishing-Seite!!!
Kontrolliere jedenfalls nach einwandfreier Funktion den DNS Server vom Router und vergleiche die IP's mit dem DNS-Server-IP's von deinem Provider! Sind diese nicht gleich, ist Feuer am Dach......
NACHTRAG: Im lokalen Netz routet dein 1.Router den DYNDNS Namen nach innen, das ist normal.....nur von extern wird's gefährlich.

[Zigster]

Hi newbiefan,

ja so wies es aussieht ist alles ok, nur von intern kommt man an das WebIf.

Eine Frage hätte ich noch, kann man den Shell-Zugriff auf Nr. 2 über Nr. 1 herstellen, sprich per Putty über den *.dyndns via Port XXXXX 'durchschleifen' ?

Nr. 2 hört per SSH auf einm anderen, anstelle des Standard, SSH-Port!

Es wäre nun wirklich gut, wenn das möglich wäre!

Dem vsftpd treibe ich irgendwie auch noch aus, dass er aus dem lokalen Netz erreichbar ist (bzw. nur für die Nr. 1)!

Nochmals herzlichen Dank!

NACHTRAG: SSH klappt ... war mein Fehler, der Port war nicht korrekt :-)

[newbiefan]

Eine Frage hätte ich noch, kann man den Shell-Zugriff auf Nr. 2 über Nr. 1 herstellen, sprich per Putty über den *.dyndns via Port XXXXX 'durchschleifen' ?

Nr. 2 hört per SSH auf einm anderen, anstelle des Standard, SSH-Port!

Es wäre nun wirklich gut, wenn das möglich wäre!

Dem vsftpd treibe ich irgendwie auch noch aus, dass er aus dem lokalen Netz erreichbar ist (bzw. nur für die Nr. 1)!

:-)

Du brauchst in keinem Fall einen zweiten ssh Port offen lassen. Es reicht, wenn du ssh (Dropbear) am 1. Router hast - ein 'ssh -p 22 admin@192.168.1.2' (-p steht für Portnummer, ist diese 22, kann man's weg lassen) auf der Console reicht.
Theoretisch kannst du sogar dein Webif usw. ganz einfach erreichen, siehe:
http://www.wl500g.info/showthread.php?t=18356

Wegen Zugriff von vsftpd sollte auch gehen, einfach googeln - falls du nicht weiter kommst helfen wir gerne weiter.
Schaue dir die vsftpd.conf Datei an und google speziell nach der Variablen local_enable
Dennoch spielt ein lokaler Zugriff meiner Meinung nach keine Rolle, man braucht ohnehin user&passwd.
Wichtiger ist da schon ein Schutz vor unerwünschten Hackern.
Ein kleiner Schutz bieten dies 2 zusätzlichen Zeilen in der vsftpd.conf:

Code:

delay_failed_login=15
max_login_fails=2

Wenn man noch besseren Schutz braucht, kann man avbf (avoid brute force) oder Teile davon verwenden.
Man muss nur aufpassen, es gibt avbf für den 2.4er und 2.6er Kernel.
LG

[Zigster]

Hi newbiefan,

danke für Deine Hinweise !!

Bis heute hat das Ganze auch super funktioniert...nur leider kam ich heute von aussen via ssh nicht mehr auf die Nr 1... also @home mal nachgesehen, was da los ist ... mein dropbear lauscht ja nicht auf dem Standardport (sagen wir mal 55522)

ps sagt mir nun, dass dropbear 2x als Prozess läuft, was ja nicht gut ist (obwohl der login auf diesem Port im lokalen Netz funktioniert):
In der /usr/local/sbin/post-boot steht auch nur einmal:

Code:

#!/bin/sh

dropbear -p 55522
#export PATH=/opt/bin:/opt/sbin:$PATH

nehme ich die Zeile raus, läuft dropbear gar nicht ...merkwürdig oder ?

Von aussen komme ich grad gar nicht mehr mehr auf die Box...

... Danke nochmals für Unterstützung :-)


PS: Wenn der dropbear läuft, dann lauscht er auf der internen UND auf der externen IP oder muss man das per Virtual Server Eintrag auf die lokale IP durchrouten ?

[newbiefan]

ps sagt mir nun, dass dropbear 2x als Prozess läuft, was ja nicht gut ist (obwohl der login auf diesem Port im lokalen Netz funktioniert):
In der /usr/local/sbin/post-boot steht auch nur einmal:

Code:

#!/bin/sh

dropbear -p 55522
#export PATH=/opt/bin:/opt/sbin:$PATH

nehme ich die Zeile raus, läuft dropbear gar nicht ...merkwürdig oder ?


PS: Wenn der dropbear läuft, dann lauscht er auf der internen UND auf der externen IP oder muss man das per Virtual Server Eintrag auf die lokale IP durchrouten ?

Also, jeder Zugriff auf deinen Router startet einen neuen Dropbear und wickelt den Zugriff mit dem neuen Dropbear ab. Das kann man leicht beobachten, indem man einfach mehrere, gleichzeitige Zugriffe durchführt und mit z.Bspl. htop (ipkg install htop) die Dropbears zählt...(immer Zugriffsanzahl+1), deshalb wirst du mindestens 2x Dropbear finden.
Nimmst du deinen Dropbear-Start aus der post-boot, läuft gar keiner (ist ja klar...) - du kannst aber in der neueren FW ssh (Dropbear) im Webinterface einstellen und enablen.
Was immer dein Einwahlrouter/Gateway ist - dort musst du den Dropbear-Port auf deinen Asus weiter leiten. Dropbear ist es egal von welchem Interface er angesprochen wird (also wan od. lan).

So gesehen läuft dein System absolut richtig.
Wegen dem fehlerhaften Zugriff von aussen: du musst an deinem System/Gateway/1.Router natürlich eine dauerhafte Verbindung in das Internet sicherstellen. Darüber hinaus werfen dich fast alle Provider nach mehreren Stunden aus dem Netz (Zwangstrennung), dann dauert es eventuell ein paar Minuten bis dein DynDNS-Name wieder aufgelöst wird.
LG
Newbiefan

[Zigster]

Hallo newbiefan,

Ok habe unter Virtual Server einen Eintrag auf der Nr. 1 angelegt, sodass bei externem Zugriff auf Port 55522 auf die lokale Adresse (192.168.x.x) per Tcp auf den Port weitergeleitet wird, auf dem dropbear lauscht.

Trotzdem komme ich nicht von außen auf die Nr. 1...fällt Dir noch irgendwas ein ?

Nochmals Danke!!!

PS: das mit der Zwangstrennung habe ich bei jedem Neustart des Routers geprüft - also ob die IP auch tatsächlich bei dyndns aktualisiert wurde...

[newbiefan]

Hallo newbiefan,

Ok habe unter Virtual Server einen Eintrag auf der Nr. 1 angelegt, sodass bei externem Zugriff auf Port 55522 auf die lokale Adresse (192.168.x.x) per Tcp auf den Port weitergeleitet wird, auf dem dropbear lauscht.

Trotzdem komme ich nicht von außen auf die Nr. 1...fällt Dir noch irgendwas ein ?

Ich greife von aussen auf meinen AP-Router zu, also nicht auf den 1.Router.
Von dort kann ich mich sowieso per SSH mit jedem anderen Gerät verbinden.
Und das mache ich mit: ssh root@192.168.x.x

Irgend etwas machst du mit deinen IP Einstellungen falsch. Kannst ja einmal ein paar Screenshots machen....
LG
Newbiefan

[Zigster]

Hi newbiefan,

habe den externen Zugriff auf Nr. 2 umgestellt, klappt ohne Probleme und von dort komme ich ich ja immer auch auf die Nr. 1 ... !!

Danke Dir für Deine exzellente Hilfe !!!