Dlink-804HV прошивка 1.43
На wan-интерфейсе реальный ip.
В моей LAN фтп-сервер, на д-линке для него поднят виртуальный сервер.

Проблема в следующем:
Нельзя зайти из моего LANa на фтп, испульзуя адрес wan (соединение с сервером происходит, но, висит на команде LIST. Судя по идентичным дампам со стороны сервера и со стороны клиентской машины, траффик по 21-му порту пропускается весь). Не могут ко мне на сервер зайти также люди из локальной сети провайдера, находящейся за д-линком (этот пункт может и от провайдера зависить, предыдущая проблема непонятна в большей степени).

Если заходить на фтп из моей LAN, используя его внутренний адрес, все работает прекрасно. Что странно, все очень отлично работает, если на фтп заходить из интернета... Товарищи, у которых есть реальный IP в локальной сети моего провайдера, тоже беспрепятственно заходят на сервер (т.е. не просто заходят, а могут пользоваться благами сервиса ).

Пробовал:

1. Выключать DHCP на роутере - не помогло.
2. Заходить и в пассивном и активном режимах на сервер... но успешно получается только с реального ip через виртуальный сервер, либо из LAN на внутренный адрес.

Поможите чем можете. Спасибо.

Из локальной сети через WAN адрес не зайти. Ограничение устройства, так как в нем негде прописать перенаправление адреса.

Ну зайти-то можно... не понятно, почему не все TCP-сегменты проходят и не может выполнится команда LIST (она начинает выполняться сразу после команды PASV зачем-то). Странно, что перед этой командой клиент не получает какой-то ACK и не отправляет запрос PORT. Смотрел дампы, когда заходят из инета и в пассивном режиме - сервер отсылает ACK, клиент PORT... сервер принимает порт и уж дальше клиент посылает LIST и все пошло поехало....

Было б неплохо tcpdump в роутер вшить... хоть посмотреть можно было бы, че к чему.

проброс 20 порта не отрабатывается. отсюда все проблемы.

LCFeaR
У Вас на WAN интерфейсе просто Static IP или pptp?
Если pptp таблица маршрутизации прописана? Может он ответы на запросы подключения в туннель шлет вместо локальной сети?

У меня на WAN статик-ip настроен.

А можете прояснить эту мысль?
ИМХО, Вы опять "туман нагнали"
При обращении из LAN1 на порт WAN:port, переадресованный в LAN2:port2, требуется DoubleNAT, неужели он есть в этом устройстве? Иначе тупо не откроется TCP-сессия, т.к. надо оттранслировать и адрес назначения, чтобы этот пакет был корректно принят на LAN:port2, и адрес отправителя (иначе ответный пакет пойдёт напрямую на LAN, но от имени несоответствующего адреса - его ждут от WAN:port, а он придёт от LAN2:port2)

LCFeaR, это работать по идее НЕ ДОЛЖНО или я чего-то не понимаю. Ждём ответа от Зайцева.

_________________
Администрация форума! А зачем "втихаря" менять подписи в профиле пользователя? Не лучше ли делать что-то более полезное?

Не в кассу. Вы в курсе, что 20 - это ИСХОДЯЩИЙ порт активных сессий? Ну и куда его "пробрасывать"?
RTFM

_________________
Администрация форума! А зачем "втихаря" менять подписи в профиле пользователя? Не лучше ли делать что-то более полезное?

Злобный
Нет, через LAN при обращении на ip-адрес WAN работать не должно. Я отвечал на второй вопрос.




Не могли бы Вы привести пример ip-адреса товарища из сети провайдера и Ваш WAN адрес?

Мой WAN-адрес из подсети 80.87.171.128/26
У друзей из локалки IP из диапазона частных адресов А-класса (10.0.0.0), например, 10.11.12.198/24. Думаете пров мог хреново че-то намаршрутизить?
После того, как выяснилось, что из LAN через WAN-адрес обратно в LAN много чего не прокинешь с этим устройством, вариант, что провайдер может тупить, снова возымел силу ))) Но не факт на самом деле... )

LCFeaR, а что Вы называете LAN-ом? Т.к. речь идёт о роутере, то я (и многие другие) воспринимаю это как LAN-подсеть этого роутера. А Вы часом не применяете этот термин двояко - так как я сказал и/или ещё и как домовая сеть провайдера?

Мой ответ о невозможности относился именно к невозможности входа из LAN-подсети этого роутера на WAN-порт, который отображён (PortForwardind aka VirtualServer) обратно в LAN-подсеть.

Если Вы имели ввиду подключение из домовой сети (её также называют MAN - Middle Area Network), то такое возможно. Но наверняка с исключениями, то есть может не для всех режимов WAN, но для StaticIP должно работать (ес-но, если трафик из MAN корректно доходит до порта WAN, но это не проблема роутера)

_________________
Администрация форума! А зачем "втихаря" менять подписи в профиле пользователя? Не лучше ли делать что-то более полезное?

Злобный
Когда я писал LAN - имел ввиду именно LAN роутера. Если бы на роутере была возможность позахватывать пакеты каким-нить tcpdump, я бы это непременно сделал, и проверил бы корректность траффика до WAN-порта из сетки провайдера (MAN, если хотите).
Буду теперь тыкать провайдера...
Информации о невозможности возврата из LAN в LAN через WAN-порт мне достатночно, но непонятно, почему при таком раскладе некоторые пакеты все же ходят по такому пути... (LANпорт1-WANпорт-LANпорт2... сниффил одновременно на машинах с 1-го и со 2-го портов, причем пакеты приходят с source-IP=WAN-IP и там и там. Повторяю - TCP-сессия открывается, но не все сегменты ходят, видимо.

ясен красен знаю. но если натя соединение по 21 порту получаем на фтп сервере адрес клиента реальный вместо натовского то передачи данных не происходит потому как фтп как слепой тычется в недоступный ему адрес для передачи данных.

вот это я и имел ввиду.

_RAW_, автор пишет о пассивном режиме, откуда там 20 порт?

_________________
Администрация форума! А зачем "втихаря" менять подписи в профиле пользователя? Не лучше ли делать что-то более полезное?

Сорри, но без лога перехвата сессии верится с трудом. А заниматься самому постановкой эксперимента тоже сейчас ни к чему.

_________________
Администрация форума! А зачем "втихаря" менять подписи в профиле пользователя? Не лучше ли делать что-то более полезное?