Не работает FTP через NAT (даже в пассиве!)
 

Ситуация:


1. Есть офис, в нем инет. Но халявный - только российский.
2. Есть сервер на М10, на нем win2003.
3. Есть желание - ходить на сервер из офиса по VPN, чтобы для офиса траф был российский, а с сервака - уже в инет.

Что сделано:
1. На сервере поднят RRAS.
2. VPN по PPTP (сделано 32 порта)
3. NAT - включен для Local Area Connection
4. Internal интерфейс подключен как внутренний (там же, в разделе NAT)
5. Все VPN клиенты (и Internal интерфейс) получают IP из списка 10.0.0.2-10.0.0.254 (MASK 255.255.255.0)

В итоге: Все пашет, инет есть.

Проблема:

ФТП не работает ни в какую. Естественно рассматривается ТОЛЬКО ПАССИВНЫЙ РЕЖИМ. На собственных серваках (юниксовых) получаем "425 Bad Ip Connection", на других внешних (пробовал recordings.ru) - просто после передачи команды PASV и LIST - превышается интервал ожидания.

Мое понимание пассивного режима FTP (поправьте если что):

1. Клиент коннект на 21 порт сервера. (в NAT появляется запись типа "внутр_IP, внутр_порт, внешн_IP, внешн_порт, удаленный_IP, порт 21")
2. Клиент передает команду PASV
3. Сервак открывает у себя порт для данных (типа 3782) и ждет подключения клиента.
4. Клиент подключается на этот порт (в NAT: "внутр_IP, внутр_порт, внешн_IP, внешн_порт, удаленный_IP, порт 3782")
5. Клиент по 21-му порту передает LIST и ждет данных по дата-подключению

Где здесь может быть глюк?
И как посмотреть все маппинги NAT? (те, что показываются стандартно, через WMI - либо не все, либо глючно показываются, во время соединения с разными серверами половины маппингов нет)

PS: На сервере нет никакого фаервола (насколько я понимаю), basic firewall тоже отключен.

Я тут покопал сайт майкрософта на эту тему, нарыл, что в 2000-м сервере был такой баг с фтп:
http://support.microsoft.com/kb/329895/

Но! Про 2003-й там ни слова. Искал дальше и нашел вот что:

http://www.microsoft.com/technet/com...7_tn_ws03.mspx

там описывается, что можно включить ФТП прокси:

> MS_Pawan (Expert):
> Q: I am unable to use any FTP site (like ftp://ftp.microsoft.com/reskit/) in the IE address bar on any computer and the only thing they have in common is NAT on W2K3. I get an error trying to open the folder on ALL O/Ses. What should I look at?
> A: Jerold, If the client machines behind NAT then execute command "Netsh routing ip nat add ftp" to enable ftp editor. To revert to old behavior do "netsh routing ip nat delete ftp". While doing this make sure ALG service is started.

Таким образом у меня получилось заставить работать FTP в АКТИВНОМ режиме ))) ROFL
Пока я че-то мудрил изучая netsh - удалил оба интерфейса из NAT (Internal и Local Area Network, который подключен к инету)... Потом просто добавил их заново - и все заработало.

Вот такой загадочный Windows.

Проблема решена.