Zyxel FTP dietro NAT su porta alternativa

Discussione:

(troppo vecchio per rispondere)

`matte

2005-11-15 22:11:18 UTC

Ciao,
Ho uno zyxel 662HW, con gestione delle DMZ e tutto quanto, uso nat full
featured, e ho un problema. Ho necessita` di buttare su un server ftp
su porta 2424. Ora, mi sono accorto che da LAN riesco a accedere
tranquillamente al server, mentre da internet no. Questo perche` il
connection tracking dello zyxel sembra attivarsi sono quando si usa
la porta 21! Chiedo lumi, c'e` la possibilita` di fargli capire allo
zyxel che la porta 2424 deve trattarla come la 21? Ora il server ftp usa
la modalita` passiva, ovvero e` il client che apre il canale dati,
potrei risolvere usando la modalita` attiva, in teoria o sbaglio?
Purtroppo pero` potra` capitare qualche client nattato a sua volta,
quindi non cambierebbe niente.

Any solutions?

Ciao e grazie

--
err: signature too big

Riot@ct

2005-11-15 22:53:21 UTC

Permalink

Post by `matte
Ciao,
Ho uno zyxel 662HW, con gestione delle DMZ e tutto quanto, uso nat full
featured, e ho un problema. Ho necessita` di buttare su un server ftp
su porta 2424. Ora, mi sono accorto che da LAN riesco a accedere
tranquillamente al server, mentre da internet no. Questo perche` il
connection tracking dello zyxel sembra attivarsi sono quando si usa
la porta 21! Chiedo lumi, c'e` la possibilita` di fargli capire allo
zyxel che la porta 2424 deve trattarla come la 21?

ma se imposti la 21 funziona?
nelle default policy del firewall il traffico WAN to LAN lo hai messo in
forward, no?

se già non lo hai fatto scaricati l'user's guide del router dal sito di
zyxel...io me lo stavo appunto studiando e lo vedo utilissimo.

Post by `matte
Ora il server ftp usa
la modalita` passiva, ovvero e` il client che apre il canale dati,
potrei risolvere usando la modalita` attiva, in teoria o sbaglio?

si, in modalità dovrebbe andare ma...

Post by `matte
Purtroppo pero` potra` capitare qualche client nattato a sua volta,
quindi non cambierebbe niente.

...ma...appunto

Post by `matte
Any solutions?

ps: visto il tuo router, se leggi il mio post precedente (Che ne dite di
questo router?) forse potresti aiutarmi :p

Post by `matte
Ciao e grazie

`matte

2005-11-15 23:36:40 UTC

Permalink

Post by ***@ct

Post by `matte
zyxel che la porta 2424 deve trattarla come la 21?

ma se imposti la 21 funziona?

Certo che si, perche` fa il connection tracking.

Post by ***@ct
nelle default policy del firewall il traffico WAN to LAN lo hai messo in
forward, no?

Non e` il firewall il problema, ma il nat.

Post by ***@ct
se già non lo hai fatto scaricati l'user's guide del router dal sito di
zyxel...io me lo stavo appunto studiando e lo vedo utilissimo.

Ce l'ho ma non mi pare di averci trovato niente riguardo al mio caso,
forse ho cercato male, come al mio solito :-)

Post by ***@ct
ps: visto il tuo router, se leggi il mio post precedente (Che ne dite di
questo router?) forse potresti aiutarmi :p

E' un buon routerino secondo me e` un modello abbastanza completo per
uso SOHO, forse lo sto snobbando un po visto che sono abituato ad altri
prodotti ben piu` sofisticati. A casa ho un 660HW (penso sia uguale
tranne la dmz), e mi trovo benone.

Ciao

--
err: signature too big

desmo77

2005-11-16 20:57:52 UTC

Permalink

Ho il tuo stesso problema, ma con un altro router.

http://www.3com.com/prod/it_IT_EMEA/detail.jsp?tab=features&sku=3CRWDR100A-72

Richiedendo la connessione ftp all'indirizzo ip pubblico il sever risponde
con la richiesta di utente e password, inserendole, al client non perviene
il listato del contenuto del server ftp.

Indirizzo ip del server 87.3.... server 192.168.1.10, client 192.168.1.11.
Se mi collego con il client dalla stessa rete ma eseguendo il collegamento
con ftp 87.3...., il tutto funziona, ma se sposso il cliente in un'altra
rete, il collegamente si comporta come descritto sopra.

Se controllo il tutto con uno sniffer, posso notare che il server cerca di
rispondere al client 192.168.1.11 e non al suo indirizzo ip pubblico.

Non sono riuscito a capire se è un problema che bisogna mettere il server in
una DMZ o settare correttamente il server ftp.

--------------------------------
Inviato via http://arianna.libero.it/usenet/

Macs

2005-11-17 01:43:27 UTC

Permalink

Ciao

c'e` la possibilita` di fargli capire allo zyxel che la porta 2424
deve trattarla come la 21?

L'ALG FTP dello ZyXel lavora infatti in modalita' predefinita sulla
porta 21 -> tuttavia i firmware per la serie 662HW successivi a maggio
2005 hanno corretto i problemi di gestione FTP su non-standard port,
introducendo anche la possibilita' di modificare correttamente il
dynamic ALG FTP (in modo da non inibire sessioni su porte non standard).

Qualora l'aggiornamento firmware e l'eventuale modifica ALG non fossero
risolutive, potresti impostare il server FTP in LAN sulla porta 21 come
control port e regolare il resto lato port-forward.

In sintesi definiresti le seguenti regole di traduzione NAT/PAT :
==
- WAN 2424 --> LAN 21
- WAN 2423 --> LAN 20
- WAN PASV Port-range --> LAN PASV Port-range (definite sul server FTP)

--
|¯ \/¯ | /¯\ /¯__/¯__|<|> *FAX/Mail Server : +39 - 02700426582 <|
|¯|\/|¯|/¯_¯\|(__\__ \<|> *Casella Vocale : +39 - 0230312251 <|
|_| |_/_/ \_\___|___/<|> *FAQ ITGF http://plany.fasthosting.it <|
|>- RST - Plany/MACS -<|> *FAQ GCN http://faq.news.nic.it/ ____<|

Macs

2005-11-17 01:54:19 UTC

Permalink

Ciao

c'e` la possibilita` di fargli capire allo zyxel che la porta 2424
deve trattarla come la 21?

L'ALG FTP dello ZyXel lavora infatti in modalita' predefinita sulla
porta 21 -> tuttavia i firmware per la serie 662HW successivi a maggio
2005 hanno corretto i problemi di gestione FTP su non-standard port in
PASV mode.

Qualora - pur aggiornando il firmware - avessi ancora problemi col
mapping diretto, potresti impostare il server FTP sulla porta 21 come
control port e regolare il resto lato port-forward.

In sintesi definiresti le seguenti regole di traduzione NAT/PAT :
==
- WAN 2424 --> LAN/DMZ 21
- WAN 2423 --> LAN/DMZ 20
- WAN PASV Port-range --> LAN/DMZ PASV Port-range (sul server FTP)
==
per una connessione PASV mode (come indicato anche dalla KB ZyXel).

Macs

2005-11-17 02:00:31 UTC

Permalink

Ciao

c'e` la possibilita` di fargli capire allo zyxel che la porta 2424
deve trattarla come la 21?

L'ALG FTP dello ZyXel lavora infatti in modalita' predefinita sulla
porta 21 -> tuttavia i firmware per la serie 662HW successivi a maggio
2005 hanno corretto i problemi di gestione FTP su non-standard port.

Qualora - pur aggiornando il firmware - avessi ancora problemi col
mapping diretto, potresti impostare il server FTP sulla porta 21 come
control port e regolare il resto lato port-forward.

In tal caso queste sarebbero le regole di traduzione NAT/PAT :
==
- WAN 2424 --> LAN/DMZ 21
- WAN 2423 --> LAN/DMZ 20
- WAN PASV Port-range --> LAN/DMZ PASV Port-range (sul server FTP)

A quel punto seguirebbe solo la verifica in PASV (modalita' suggerita
dalla KB ZyXel per non-standard FTP) ed anche in Active Mode.

Macs

2005-11-17 02:42:41 UTC

Permalink

Ciao

c'e` la possibilita` di fargli capire allo zyxel che la porta 2424
deve trattarla come la 21?

L'ALG FTP dello ZyXel lavora infatti in modalita' predefinita sulla
porta 21 -> tuttavia i firmware per la serie 662HW successivi a maggio
2005 hanno corretto i problemi di gestione FTP su non-standard port.

Qualora - pur aggiornando il firmware - avessi ancora problemi col
mapping diretto, potresti impostare il server FTP sulla porta 21 come
control port e regolare il resto lato port-forward.

In tal caso queste sarebbero le regole di permesso/traduzione :
==
- WAN 2424 --> LAN/DMZ 21
- WAN PASV Port-range --> LAN/DMZ PASV Port-range (sul server FTP)
==
per una connessione FTP in PASV.

`matte

2005-11-17 23:22:06 UTC

Permalink

Post by Macs

c'e` la possibilita` di fargli capire allo zyxel che la porta 2424
deve trattarla come la 21?

Ecco qua, firmware vecchio, domani provo a aggiornarlo, grazie.
Bisogna settare qualche opzione o si accorge da solo che gli ho messo un
ftp su porta non standard?

Post by Macs
Qualora - pur aggiornando il firmware - avessi ancora problemi col
mapping diretto, potresti impostare il server FTP sulla porta 21 come
control port e regolare il resto lato port-forward.

Il firmware attuale non lo fa, ma comunque risolveri solo parte dei
miei problemi....

Ciao

--
err: signature too big

`matte

2005-11-18 18:39:30 UTC

Permalink

Ho mandato un email alla zyxel, infatti non ha funzionato
l'aggiornamento del firmware...accidenti.
Altri suggerimenti?

Ciao

--
err: signature too big

Macs

2005-11-18 19:05:48 UTC

Permalink

Ciao

Post by `matte
Ho mandato un email alla zyxel, infatti non ha funzionato
l'aggiornamento del firmware...accidenti.

Sarebbe utile sapere quale dei 2 scenari PASV - a firmware aggiornato -
non ti avesse funzionato correttamente :
==
* Scenario 1
- WAN 2424 --> LAN/DMZ 2424
- WAN PASV Port-range --> LAN/DMZ PASV Port-range (sul server FTP)

* Scenario 2
- WAN 2424 --> LAN/DMZ 21
- WAN PASV Port-range --> LAN/DMZ PASV Port-range (sul server FTP)
==
tenendo conto che sono impostabili entrambi a livello CLI/CI in ambito
NAT Full-Feature (ved. svrport/import).

Macs

2005-11-18 19:10:55 UTC

Permalink

Ciao

Post by `matte
Ho mandato un email alla zyxel, infatti non ha funzionato
l'aggiornamento del firmware...accidenti.

`matte

2005-11-19 15:29:42 UTC

Permalink

Post by Macs
Sarebbe utile sapere quale dei 2 scenari PASV - a firmware aggiornato -
==
* Scenario 1
- WAN 2424 --> LAN/DMZ 2424
- WAN PASV Port-range --> LAN/DMZ PASV Port-range (sul server FTP)
* Scenario 2
- WAN 2424 --> LAN/DMZ 21
- WAN PASV Port-range --> LAN/DMZ PASV Port-range (sul server FTP)
==
tenendo conto che sono impostabili entrambi a livello CLI/CI in ambito
NAT Full-Feature (ved. definizione Address Mapping svrport/intport).

Innanzitutto grazie per l'aiuto che mi stai dando, ora vorrei scrivere
due righe per chiarire la mia situazione. Mi scuso per le inesattezze
che posso aver detto precedentemente ma la situazione e` in sviluppo.

Ho un server ftp (ftpserver di apache, progetto in java), che sebbene
dica di supportare il passivo, questo non passa attraverso il nat. Non
so per quale ragione ma se mi passa per il router, il client riceve un
"425 Can't open passive connection. Passive mode refused.".
La configurazione per il passivo sarebbe fatta ad hoc, infatti funge
con vsfptd sullo stesso server dietro lo stesso router e sulla stessa
porta (2424 sia srv che int), ma non la posso usare causa il tipo di
server ftp che uso (e non posso cambiare).

Ho dei client tutti gestiti da me, che si connetteranno tramite gprs
omnitel e posso configurare a piacere, ma una volta fatto non posso
piu` toccarli perche` non ne avro` piu` accesso diretto.

_Il problema_ : Usando l'attivo (unica modalita` che mi resta), se setto
il server per usare la porta 21, tutto funge, se uso la porta 2424 non
va (timeout). Sto parlando sempre di srvport = intpor. A tal proposito,
sull'interfaccia web come nei menu' via telnet, nn ho trovato la
possibilita` di settare il port forward con srvport != intport, ma ho
visto qualcosa nel cli. Non so se il mio router lo fa a dire il vero,
anche se dalla tua frase si evince di si. Ora vado a vedere meglio, ma
se hai qualche dritta sono tutto orecchie.

In pratica ora potrei risolvere in due modi;

1) trovo il modo di abilitare l'ALG FTP su porta 2424
2) uso la srvport 21

Nel secondo caso, se fossi costretto ad usare la srvport 21 (quindi
sull'ip pubblico), avrei la necessita` minimo di forwardarla alla 2424
interna, per permettere al ftpserver in java di girare come utente e non
come root (se dovessi usare la porta 21).

Ciao

--
err: signature too big

`matte

2005-11-19 15:58:06 UTC

Permalink

Post by `matte
_Il problema_ : Usando l'attivo (unica modalita` che mi resta), se setto
il server per usare la porta 21, tutto funge, se uso la porta 2424 non
va (timeout). Sto parlando sempre di srvport = intpor. A tal proposito,
sull'interfaccia web come nei menu' via telnet, nn ho trovato la
possibilita` di settare il port forward con srvport != intport, ma ho
visto qualcosa nel cli. Non so se il mio router lo fa a dire il vero,
anche se dalla tua frase si evince di si. Ora vado a vedere meglio, ma
se hai qualche dritta sono tutto orecchie.
In pratica ora potrei risolvere in due modi;
1) trovo il modo di abilitare l'ALG FTP su porta 2424
2) uso la srvport 21
Nel secondo caso, se fossi costretto ad usare la srvport 21 (quindi
sull'ip pubblico), avrei la necessita` minimo di forwardarla alla 2424
interna, per permettere al ftpserver in java di girare come utente e non
come root (se dovessi usare la porta 21).

Ma....ma.....maaaa.... rileggendo ho notato che c'e` un errore di fondo,
per l'attivo su porta 2223 probabilmente la ragione per cui non va e`
che l'ALG sul *router client* non si accorge che c'e` una connessione
ftp su quella porta 2424 e non apre le porte giuste.....

Scusate per l'abbaglio che ho preso ma sto facendo tante di quelle prove
fra attivo e passivo e vari server e varie connessioni che non ci
capisco piu` niente :-)

Attualmente comunque, come client sto usando un 660HW ultimo firmware,
ma a lavori ultimati i client staranno dietro il router omnitel quindi
non posso risolvere agendo sul router dalla parte del client.

L'unica soluzione e`, a livello di server, fargli usare la porta 21
sull'ip pubblico. A questo punto l'unica cosa che necessito di fare e`
un forward sulla porta 2424 in dmz.

Ciao

--
err: signature too big

`matte

2005-11-19 16:45:18 UTC

Permalink

Post by `matte
L'unica soluzione e`, a livello di server, fargli usare la porta 21
sull'ip pubblico. A questo punto l'unica cosa che necessito di fare e`
un forward sulla porta 2424 in dmz.

ip nat server load 2
ip nat server edit 3 intport 2424
ip nat server save 2

Cosi` ovviamente funge, era una cosa che volevo evitare di fare ma visto
che non posso configurare l'ALG sui router omnitel.... :-D
Il port forwarding mi ha permesso di tenere la porta interna 2424 che
comunque e` quello che mi interessava forse di piu`, visto che mi
permette di far girare il server ftp java come utente normale.

Peccato che non vada in passivo :-(

Grazie molte per le dritte

Ciao

--
err: signature too big

Macs

2005-11-19 20:24:03 UTC

Permalink

Ciao

Post by `matte
ip nat server load 2
ip nat server edit 3 intport 2424
ip nat server save 2
Cosi` ovviamente funge

Good ;).

Post by `matte
Peccato che non vada in passivo :-(

Questo e' strano, assumendo che tale server sia in DMZ -> potresti in
tal caso aggiungere a tale NAT server set le regole di forwarding
invariato per l'intervallo di porte definito sul server FTP per le
sessioni PASV.

`matte

2005-11-19 22:33:54 UTC

Permalink

Post by Macs

Post by `matte
Peccato che non vada in passivo :-(

Le porte le forwardo eccome, tant'e` che vsftpd funge, il problema penso
sia solo l'ftpserver di apache che non e` nat-friendly.

Ciao

--
err: signature too big

Macs

2005-11-18 20:08:54 UTC

Permalink

Ciao

Post by `matte
Bisogna settare qualche opzione o si accorge da solo che gli ho messo
un ftp su porta non standard?

Premesso quanto indicato nell'altro mio messaggio di risposta, dipende
dallo scenario NAT/DMZ -> in uno scenario p.es. DMZ sull'IP LAN RFC-1918
192.168.0.11 questa configurazione (realizzata tramite CLI/CI) e'
funzionante senza problemi per l'FTP in PASV Mode la seguente :
==
NAT mapping : svrport 2424 intport 21 192.168.0.11
DMZ default : 192.168.0.11
==
con server FTP mantenuto in ascolto sulla porta standard di controllo.

In caso invece di IP non definito su DMZ, devi definire le regole di
forwarding/mapping anche per l'intervallo delle porte PASV definite sul
server FTP.

In ogni caso, una volta definite le regole, puoi controllare anche i log
del server FTP in uso oltre a quelli sul router (visibili da interfaccia
CI Mode) per le traduzioni NAT/PAT.

Riot@ct

2005-11-17 10:15:40 UTC

Permalink

scusa se mi reintrometto...ma a livello di connessione adsl come va il
router?

`matte

2005-11-17 23:03:15 UTC

Permalink

Post by ***@ct
scusa se mi reintrometto...ma a livello di connessione adsl come va il
router?

Non e` ottima, a volte scarico a palla dalla dmz e la lan non accede
piu` a internet finche non ho finito, inoltre appena avviato quasi mai
riesce a tirar su la connessione, devo andare nel menu 21,4 (mi pare) e
fare il reboot), appena riavviato la conn. va su subito. Se intendi come
velocita` invece mi pare normalissimo, quindi bene. Ps questi prob non
li ho su un 660 ne' su un 650R.

Ciao

--
err: signature too big

Riot@ct

2005-11-19 01:13:47 UTC

Permalink

Post by `matte
Non e` ottima, a volte scarico a palla dalla dmz e la lan non accede
piu` a internet finche non ho finito, inoltre appena avviato quasi mai
riesce a tirar su la connessione, devo andare nel menu 21,4 (mi pare) e
fare il reboot), appena riavviato la conn. va su subito.

cacchio, però questa è una gran pecca...una gran seccatura...cioè, tu mi
dici che se la dmz è impegnatissima con internet (scaricare, etc..) la
lan si isola da internet? cacchio che grosso punto a sfavore!!!

sarebbe da vedere se il nuovo firmware ha corretto questi problemi!!!

Post by `matte
Se intendi come
velocita` invece mi pare normalissimo, quindi bene. Ps questi prob non
li ho su un 660 ne' su un 650R.

a quali problemi ti riferisci? che non prende la connessione? (visto che
non ha dmz il 660)

io invece con un 660 non riesco più a tirar su la connessione e da più o
meno sempre ha sofferto sempre di perdita di portante e\o riavvio del
router, per non parlare del wi-fi che praticamente non va più :O

Post by `matte
Ciao

Macs

2005-11-19 07:28:43 UTC

Permalink

Ciao

se la dmz è impegnatissima con internet (scaricare, etc..) la lan si
isola da internet? cacchio che grosso punto a sfavore!!!

E' un problema comunque aggirabile, adeguando le policy QoS di gestione
banda sia a livello generale che a livello di routing delle connessioni
tramite IPPR - IP Policy Routing = in questo modo eviti che i server in
DMZ o i client in LAN si ritrovino ad "arrancare" per insufficienza di
banda.

io invece con un 660 non riesco più a tirar su la connessione e da più
o meno sempre ha sofferto sempre di perdita di portante e\o riavvio
del router

Presuppondendo che sia il router in uso sulla linea da cui hai scritto
il messaggio a cui sto rispondendo, quali sono le impostazioni di
encapsulation/multiplexing della linea e come sono definiti filtri a
livello di protocollo UDP sulla WAN ?

Faccio queste domande per 2 ragioni :
==
A. Problemi riscontrati in passato con 650HW su linea PPPoE/LLC (e che
"magicamente" sparivano switchando su linea PPPoA/VC).

B. Problemi nel rinnovo DHCP (a lease scaduto) per impostazioni filtri
che comportino un KO della richiesta di rinnovo.

per non parlare del wi-fi che praticamente non va più :O

Dopo aver visto come ZyXel aveva implementato il supporto wireless
nella serie 650H (ed i relativi problemi), ho iniziato a preferire
- giusto per scrupolo - soluzioni che prevedessero il collegamento di AP
esterni.

Riot@ct

2005-11-19 13:47:50 UTC

Permalink

Post by Macs
E' un problema comunque aggirabile, adeguando le policy QoS di gestione
banda sia a livello generale che a livello di routing delle connessioni
tramite IPPR - IP Policy Routing = in questo modo eviti che i server in
DMZ o i client in LAN si ritrovino ad "arrancare" per insufficienza di
banda.

si, sicuramente...ma è sempre un problemuccio che ha...xrò tenendo conto
la sua fascia di mercato o cmq di utenza a cui è rivolto è un problema
che volendo può starci se aggirabile con QoS.

Post by Macs
Presuppondendo che sia il router in uso sulla linea da cui hai scritto
il messaggio a cui sto rispondendo, quali sono le impostazioni di
encapsulation/multiplexing della linea e come sono definiti filtri a
livello di protocollo UDP sulla WAN ?

no..al momento sto scrivendo da un normalissimo modem usb adsl per di
più vecchiotto :-)
comunque ho le uniche impostazioni che tiscali mi permette di avere e cioè,
encapsulation\multiplexing PPPoA - VC e ATM QoS type UBR.

Post by Macs
==
A. Problemi riscontrati in passato con 650HW su linea PPPoE/LLC (e che
"magicamente" sparivano switchando su linea PPPoA/VC).

tiscali solo PPPoA/VC mi permette

Post by Macs
B. Problemi nel rinnovo DHCP (a lease scaduto) per impostazioni filtri
che comportino un KO della richiesta di rinnovo.

cioè? e come hai risolto?

Post by Macs
Dopo aver visto come ZyXel aveva implementato il supporto wireless
nella serie 650H (ed i relativi problemi), ho iniziato a preferire
- giusto per scrupolo - soluzioni che prevedessero il collegamento di AP
esterni.

idem

Macs

2005-11-19 20:37:55 UTC

Permalink

Ciao

xrò tenendo conto la sua fascia di mercato o cmq di utenza a cui è
rivolto è un problema che volendo può starci se aggirabile con QoS.

Sicuramente e' una delle ragioni (assieme all'ottimizzazione di reti
VPN branch-hq) che mi ha spinto a conoscere/utilizzare meglio le
funzionalita' di IP Policy Routing di tali apparati.

Post by Macs
B. Problemi nel rinnovo DHCP (a lease scaduto) per impostazioni
filtri che comportino un KO della richiesta di rinnovo.

cioè? e come hai risolto?

Rendendo meno "paranoiche" le impostazioni di Protocol Filter In/Out
sull'interfaccia WAN per le connessioni TCP/UDP associate alle porte
Well Known Services < 1024 (in particolare quelle UDP 68<-67 e 68->67),
e definendo apposite regole di permesso prioritarie che evitassero il
blocco delle comunicazioni di DHCP renew con l'indirizzo IP dedicato del
provider.

Riot@ct

2005-11-19 22:15:15 UTC

Permalink

Post by Macs
Rendendo meno "paranoiche" le impostazioni di Protocol Filter In/Out
sull'interfaccia WAN per le connessioni TCP/UDP associate alle porte
Well Known Services < 1024 (in particolare quelle UDP 68<-67 e 68->67),
e definendo apposite regole di permesso prioritarie che evitassero il
blocco delle comunicazioni di DHCP renew con l'indirizzo IP dedicato del
provider.

ah...ok...ma non credo stia li il problema o meglio,
avendo pure resettato il router allo stato di default e dunque senza
nessuna regola in tal senso il router o meglio il modem interno del
router non riesce ad agganciare la portante...le rarissime volte che
l'aggancia dopo un tot la perde o comunque al primo
spegnimento\accensione si ripresenta lo stesso problema.
sinceramente incomincio ad avere il sospetto che qualcosa si sia fritta :-\

avevo visto due modelli cable\router della netgear che mi sembrano
validi per un uso soho semi-professionale (non cose stratosferiche in
ogni caso)...server ftp, web-server(ma non qualcosa di stratosferico),
vpn (non spinta),samba:

Netgear FVS114 e Netgear FVS318...dalle features mi sembrano validi e
dinamici...il primo sta tra le 80-90€ mentre il secondo sulle 150€...non
ho capito però se la differenza sta solo nello switch, il primo a 4 il
secondo a 8, perchè in tal caso me ne frego (sempre uno switch devo
mettere).
che ne dici\te? parere?

Macs

2005-11-20 08:51:34 UTC

Permalink

Ciao

o meglio il modem interno del router non riesce ad agganciare la
portante...le rarissime volte che l'aggancia dopo un tot la perde o
comunque al primo spegnimento\accensione si ripresenta lo stesso
problema.

Premessa la necessaria configurazione su ZyNOS 3.40 di idle-timeout=0 e
di Nailed-Up Connection= Yes su PPPoA, puoi controllare dal menu System
Maintenance sia le indicazioni contenute nel log che il debug della
interfaccia WAN tramite console CI :
==
ras > sys trcl cl
ras > sys trcl sw on
ras > sys trcp ch mpoa00 bothway
ras > device dial 1
==
arrestandolo col comando :
==
ras > sys trcp sw off

avevo visto due modelli cable\router della netgear che mi sembrano
validi per un uso soho semi-professionale (non cose stratosferiche in
ogni caso)...server ftp, web-server(ma non qualcosa di stratosferico),
Netgear FVS114 e Netgear FVS318

Il primo ha alcuni problemi, compresi lock-up e VPN-hang, anche con
l'ultima versione ufficiale 1007 di firmware -> e' disponibile una
versione beta della 1009 che li risolve in parte, recuperabile per vie
traverse :
==
- http://forum1.netgear.com/support/viewtopic.php?p=51201#51201

Sul secondo non mi risultano particolari issue generalizzate con le
ultime versioni ufficiali di firmware -> unica particolarita' = esistono
ben 3 versioni note del FVS318 (+ una 4° in arrivo), dove la v3 e'
quella suggerita (sia per prestazioni migliori throughput/VPN che per
aggiornabilita' futura del firmware).

ho capito però se la differenza sta solo nello switch, il primo a 4 il
secondo a 8, perchè in tal caso me ne frego (sempre uno switch devo
mettere).

Differiscono - oltre che nella gestione firewall SPI - anche lato VPN,
soprattutto se e' utilizzato per tunnel VPN branch-office oltre che per
roaming mobile users.

Riot@ct

2005-11-20 12:32:55 UTC

Permalink

Post by Macs
Premessa la necessaria configurazione su ZyNOS 3.40 di idle-timeout=0 e
di Nailed-Up Connection= Yes su PPPoA,

qui ovviamente tutto ok!!!

Post by Macs
puoi controllare dal menu System
Maintenance sia le indicazioni contenute nel log che il debug della
==
ras > sys trcl cl
ras > sys trcl sw on
ras > sys trcp ch mpoa00 bothway
ras > device dial 1
==
==
ras > sys trcp sw off

mmmm...si, ora gli do un occhio anche se sono molto scettico visto anche
i poblemi col wi-fi...ma tentare non nuoce.
farò sapere ;-)

Post by Macs

Post by ***@ct
Netgear FVS114 e Netgear FVS318

mmmmm...peccato....dalle features sembrava discreto...magari con
firmware futuri migliorano.

Post by Macs
Sul secondo non mi risultano particolari issue generalizzate con le
ultime versioni ufficiali di firmware -> unica particolarita' = esistono
ben 3 versioni note del FVS318 (+ una 4° in arrivo), dove la v3 e'
quella suggerita (sia per prestazioni migliori throughput/VPN che per
aggiornabilita' futura del firmware).

dunque mi consigli tra i due nettamente il secondo? effettivamente
rivedendolo meglio sembra che ha ben oltre di più che uno switch a 8.
l'importante è che abbia un discreto firewall 'dinamico' e un buon
throughput generale e possibilità di management della banda in taluni
casi...effettivamente mi orienterei su quet'ultimo.

Post by Macs
Differiscono - oltre che nella gestione firewall SPI - anche lato VPN,
soprattutto se e' utilizzato per tunnel VPN branch-office oltre che per
roaming mobile users.

interessante

Riot@ct

2005-11-20 14:01:07 UTC

Permalink

Post by Macs
Ciao
puoi controllare dal menu System
Maintenance sia le indicazioni contenute nel log che il debug della
==
ras > sys trcl cl
ras > sys trcl sw on
ras > sys trcp ch mpoa00 bothway
ras > device dial 1
==
==
ras > sys trcp sw off

non riesco proprio a capire il problema, sembrerebbe che non ci fosse
portante ma invece c'è visto che con altri apparecchi funziona.
qui un log:
Sat Jan 01 00:16:45 2000 PP17 WARN Last errorlog repeat 14 Times
Sat Jan 01 00:16:45 2000 PP14 WARN netMakeChannDial: err=-30001
rn_p=9478bda4

che ovviamente si ripete in loop :O

Post by Macs

Post by ***@ct
avevo visto due modelli cable\router della netgear che mi sembrano
validi per un uso soho semi-professionale (non cose stratosferiche in
ogni caso)...server ftp, web-server(ma non qualcosa di stratosferico),
Netgear FVS114 e Netgear FVS318

Il primo ha alcuni problemi, compresi lock-up e VPN-hang, anche con
l'ultima versione ufficiale 1007 di firmware -> e' disponibile una
versione beta della 1009 che li risolve in parte, recuperabile per vie
==
- http://forum1.netgear.com/support/viewtopic.php?p=51201#51201
Sul secondo non mi risultano particolari issue generalizzate con le
ultime versioni ufficiali di firmware -> unica particolarita' = esistono
ben 3 versioni note del FVS318 (+ una 4° in arrivo), dove la v3 e'
quella suggerita (sia per prestazioni migliori throughput/VPN che per
aggiornabilita' futura del firmware).

Post by ***@ct
ho capito però se la differenza sta solo nello switch, il primo a 4 il
secondo a 8, perchè in tal caso me ne frego (sempre uno switch devo
mettere).

Differiscono - oltre che nella gestione firewall SPI - anche lato VPN,
soprattutto se e' utilizzato per tunnel VPN branch-office oltre che per
roaming mobile users.

Macs

2005-11-21 08:11:04 UTC

Permalink

Ciao

Post by ***@ct
non riesco proprio a capire il problema, sembrerebbe che non ci fosse
portante ma invece c'è visto che con altri apparecchi funziona.
Sat Jan 01 00:16:45 2000 PP17 WARN Last errorlog repeat 14 Times
Sat Jan 01 00:16:45 2000 PP14 WARN netMakeChannDial: err=-30001
rn_p=9478bda4

In effetti quello e' un problema a livello di sync dell'apparato, e puo
essere causato p.es. da :
==
- problemi HW dello ZyXel
- incompatibilita' nelle comunicazioni con remote node/DSLAM
- impostazioni non both-direction nelle comunicazioni con il remote node

In aggiunta al trace dei pacchetti, puoi controllare da interfaccia CI
mode l'output del comando :
==
ras > wan adsl diag
==
che riporta le info dettagliate sullo stato della portante.

Riot@ct

2005-11-21 10:22:23 UTC

Permalink

Post by Macs
In aggiunta al trace dei pacchetti, puoi controllare da interfaccia CI
==
ras > wan adsl diag
==
che riporta le info dettagliate sullo stato della portante.

purtroppo già provato ed in ogni caso non riuscendo ad agganciare la
portante non è in grado di restituirmi i valori della portante.
quindi credo sia proprio un problema hw visto che tra l'altro già da un
pezzo aveva incominciato a scricchiolare con la parte hw dell'wi-fi.

riguardo al post precedente sul netgear credo che prenderò il fvs318
anche se in realtà ero più propenso a tirar su ipcop su un pc con 4
schede ethernet, il problema però è reperire il pc e la locazione :-(

Macs

2005-11-21 11:33:28 UTC

Permalink

Ciao

Post by ***@ct
purtroppo già provato ed in ogni caso non riuscendo ad agganciare la
portante non è in grado di restituirmi i valori della portante.

Ovviamente serve che lo stato sia up per avere i dati completi = lo
indicavo - a connessione avvenuta - come sistema per verificare alcune
cose a livello di protocollo linea (compresi gli errori indicati).

Riot@ct

2005-11-21 12:18:28 UTC

Permalink

Post by Macs
Ovviamente serve che lo stato sia up per avere i dati completi = lo
indicavo - a connessione avvenuta - come sistema per verificare alcune
cose a livello di protocollo linea (compresi gli errori indicati).

si lo so ma purtroppo oramai non aggancia più la portante nemmeno
sporadicamente.

credo che qualcosa a livello di hw si sia guastato.

comunque grazie per l'aiuto.

`matte

2005-11-19 15:36:30 UTC

Permalink

Post by ***@ct
cacchio, però questa è una gran pecca...una gran seccatura...cioè, tu mi
dici che se la dmz è impegnatissima con internet (scaricare, etc..) la
lan si isola da internet? cacchio che grosso punto a sfavore!!!

Si purtroppo succede, ma ti/ci hanno suggerito come risolvere :-)
Io non ho quasi mai traffico dalla lan alla dmz quindi non mi tocca piu`
di tanto, certo che quando capita senti l'ufficio che bestemmia :-D

Post by ***@ct
sarebbe da vedere se il nuovo firmware ha corretto questi problemi!!!

Non ho ancora provato

Post by ***@ct
a quali problemi ti riferisci? che non prende la connessione? (visto che
non ha dmz il 660)

Esatto, comunque col nuovo firmware mi prende la connessione subito.
Pero` con l'ultimo firmware e` nato un problema seccantissimo, ovvero la
dmz si freezza molto spesso per un tempo che varia da pochi secondi a
qualche minuto, facendo ovviamente crollare tutte le connessioni verso
il server in dmz. Pero` se il server tenta di uscire su internet, non ha
problemi. Strano. Ho risolto mettendo il pen-ultimo firmware, che e`
comunque successivo a maggio 2005 (vedi prob di ALG risolti, o almeno
cosi` dicono :-D)

Post by ***@ct
io invece con un 660 non riesco più a tirar su la connessione e da più o
meno sempre ha sofferto sempre di perdita di portante e\o riavvio del
router, per non parlare del wi-fi che praticamente non va più :O

Brutta cosa, io cmq il wifi non l'ho mai usato.

Ciao

--
err: signature too big