darthi
Goto Top

FTP Server Problem - Ein User kommt nicht drauf

Hallo zusammen,

wir haben hier ein ganz merkwürdiges Problem.
Ein Mitarbeiter von uns kann nicht auf unseren FTP Server verbinden mit der Meldung:
Code:

257 "/" is your current location  
SYST
215 UNIX Type: L8
Host type (S): UNIX (standard)
PASV
! Receive error: connection reset

PORT 192,168,1,33,192,125
! Send error: connection reset
! Receive error: connection reset


! port cmd failed.
! DoDirList failed 0

Wir haben bisher schon einiges versucht und ausgeschlossen:
- Es liegt nicht an seinem FTP Benutzer, von wo anders funktioniert die Verbindung einwandfrei und er hat das Problem mit allen Benutzern.
- Es liegt nicht an der externen Verbindung zum FTP Server, da jeder andere auch problemlos verbinden kann.
- Auf andere FTP Server kann der Mitarbeiter problemlos verbinden.
- Verschiedene FTP Programme geben die gleiche Fehlermeldung.
- Wir haben bei dem Mitarbeiter einen anderen Rechner daheim getestet = gleicher Fehler.

Vor allem letzteres scheint darauf hinzuweisen, dass seine IP Adresse geblockt wird. Nach einem Router Neustart bei ihm war das Problem aber leider immer noch da.

Da es nur bei ihm auftritt, lässt sich das Problem eigentlich nur auf seinen Router eingrenzen. Wieso kommt er dann aber auf andere FTP Server problemlos drauf? Kenn jemand eine Einstellung in Routern, welche passive Verbindungen zu bestimmten FTP Servern blocken?

Vielleicht hat ja jemand Lösungansätze oder kennt das Problem.

Vielen Dank!

Content-ID: 114064

Url: https://administrator.de/forum/ftp-server-problem-ein-user-kommt-nicht-drauf-114064.html

Ausgedruckt am: 29.12.2024 um 00:12 Uhr

aqui
aqui 17.04.2009 um 08:42:28 Uhr
Goto Top
Leider bist du sehr oberflächlich und beschreibst nicht WIE er auf den FTP Server gelangt. Passiert das über einen VPN Zugriff ???
Oder machst du lediglich banales Port Forwardind oder hat der FTP Server eine öffentliche IP ??
Oder....passiert das nur im internen Netz ??

Du solltest mal einen Paket Sniffer wie den Wireshark nehmen und dir den Verbindungsaufbau von seinem PC zum Server ansehen !
Da siehst du in der Regel sofort wo das Problem ist:
http://www.wireshark.org/
darthi
darthi 17.04.2009 um 08:46:54 Uhr
Goto Top
Hallo aqui,

sorry, hier ein paar mehr Details.
Der Mitarbeiter gelangt über das Internet auf den FTP. Wir haben hier eine Standleitung und forwarden den 21 Port auf unseren FTP. Bei allen anderen externen Kräften funktioniert es einwandfrei.

Der Mitarbeiter kommt auch auf den FTP Server drauf bis zu dem Punkt "/ is your current location" funktioniert alles einwandfrei (die Verbindung steht). Dann fliegt er allerdings mit den oben gezeigten Fehler wieder runter. Laut dem Log des FTP Servers ist der User eingeloggt und loggt sich wieder aus.
D3S3RT
D3S3RT 17.04.2009 um 09:04:02 Uhr
Goto Top
mal von passive modus auf aktiv gestellt ? da macht meiner immer Probleme.
darthi
darthi 17.04.2009 um 09:08:45 Uhr
Goto Top
Aktiv kann von extern nicht funktionieren, da dann für den FTP Server noch mehr Ports freigeschaltet werden müssten.

edit: Wir haben es trotzdem einmal probiert, da kommt eigentlich das selbe raus:
257 "/" is your current location  
SYST
215 UNIX Type: L8
Host type (S): UNIX (standard)
PORT 192,168,1,33,227,31
! Receive error: connection reset
! port cmd failed.
! DoDirList failed 0
aqui
aqui 17.04.2009 um 09:21:59 Uhr
Goto Top
Richtig active geht generell nicht wenn ein NAT Gateway überwunden werden muss... Siehe hier:

http://www.alenfelder.com/Informatik/pass-akt-ftp.html

Hast du mal den Versuch mit einem Browser z.B. Firefox und ftp://<ziel_ip> gemacht.
Irgendwie sieht es so aus als ob mit den Zugriffsrechten oder der Benutzersteuerung was nicht stimmt.
Du solltest sniffern...da siehst du es sofort !!
darthi
darthi 17.04.2009 um 09:26:03 Uhr
Goto Top
Ja so sah es für mich auch aus.
Von anderen Orten funktioniert der User aber einwandfrei. Außerdem hat dieser Mitarbeiter das Problem mit allen FTP Benutzern.
Andere FTP Clients habe ich auch getestet. Bisher gab es den Windows Exporer, Filezilla und WS FTP.
Wenn er über die Konsole verbindet, dann kommt er auch drauf und fliegt nicht sofort wieder. Allerdings kann er kein ls machen und angeblich ist "/" ein gesperrter Bereich.

Ich würde gerne Sniffen, nur das wird schwierig, da der FTP Server ein FreeNAS ist und kein GUI besitzt. Leider habe ich auch keinen Hub hier um parallel auf einem normalen Rechner zu sniffen. face-sad
aqui
aqui 17.04.2009 um 09:30:55 Uhr
Goto Top
So so... FreeNAS besitzt kein GUI !!! Wo kommt denn diese Weisheit her ??
Natürlich hat der ein GUI, denn darüber wird er ja komplett administriert oder wie machst du das ???
Ferner kannst du mit Putty oder TeraTerm per SSH aufs FreeNAS und die da direkt die Systemlogs ansehen !!

Hast du mal beim FreeNAS ins Log gesehen was der so mitschreibt zu dem Benutzer ???
Du kannst auch ohne Hub sniffern wenn du einen Monitor Port an deinem Switch einrichtest und an diesem snifferst !
Oder...du nimmst ein Live Linux und bootest mit 2 Netzwerkkarten wie hier beschrieben:
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
Zur allergrößten Not installierst du den Wireshark oder den MS NetMonitor
http://www.microsoft.com/downloads/details.aspx?familyid=f4db40af-1e08- ...
auf eben diesem Client PC und snifferst den Traffic direkt an ihm selber mit...

Das ist doch im Handumdrehen gemacht !!
darthi
darthi 17.04.2009 um 09:39:33 Uhr
Goto Top
Ich administriere ihn über das Webinterface und über die Konsole. Er hat also kein X, auf dem Wireshark laufen könnte.

Das mit dem Log habe ich ja schon oben geschrieben. Dort steht nur drin, dass der User eingeloggt und wieder ausgeloggt wurde.
Apr 16 16:33:19 	pure-ftpd: (xxx@yyy.de) [INFO] Logout.
Apr 16 16:33:15 	pure-ftpd: (?@yyy.de) [INFO] xxx is now logged in

Dumme Frage, aber wie richte ich einen Monitor Port an einem Switch ein?

Ich denke ich sniffe über den Client PC mit, das ist für mich die beste Lösung. Das werde ich nachher machen, wenn ich mich über GoToMeeting auf dem Rechner einlogge.

Danke erstmal.
aqui
aqui 17.04.2009 um 10:02:01 Uhr
Goto Top
Gar nicht, wenn du nur einen doofen, nicht managebaren Switch hast !

Wenn du einen managebaren hast kannst du diesem über sein Konsolinterface sagen das er dir bitte den Port wo das NAS draufhängt an Port x spiegelt.
Dort schliesst du dann einen PC/Laptop mit deime Wireshark Sniffer an und siehst dir dann mal den Taffic von und zum NAS an...so einfach ist das !
Fällt natürlich weg bei einem Dummbatz Switch vom Blödmarkt vom Grabbeltisch !!
darthi
darthi 17.04.2009 um 10:03:18 Uhr
Goto Top
Wir müssen doch alle sparen, also haben wir nur einen einfachen...
aqui
aqui 17.04.2009 um 10:37:37 Uhr
Goto Top
Siehst ja was dabei rauskommt wenn man an den wichtigen Dingen des (IT) Lebens unnötig spart....
darthi
darthi 17.04.2009 um 16:08:07 Uhr
Goto Top
So Wireshark makiert mir die Antwort auf das PASV Kommando rot. Diese wiederholt sich dann nach kurzer Zeit noch einmal.
Sie lautet
361	4.536127	xx.xx.xx.xx	192.168.1.33	TCP	ftp > 51645 [RST] Seq=522 Win=0 Len=0
aqui
aqui 17.04.2009 um 16:33:19 Uhr
Goto Top
Kann es sein das der FTP Client (oder auch der Server) keinen passive Modus supportet oder dieser nicht aktiviert ist im Setup ???
k4rsten
k4rsten 18.04.2009 um 10:19:41 Uhr
Goto Top
Du nutzt Pureftpd kann es sein das du beim anlegen des Users einen Schalter vergessen hast ?
Oder generell in Pureftpd ein Schalter fehlt ?
Existiert der Benutzer überhaupt ?

Ist nur eine Spekulation von mir ........
darthi
darthi 18.04.2009 um 10:31:57 Uhr
Goto Top
@aqui:
Doch FTP Server supportet passiven Modus. Alle anderen externen Mitarbeiter kommen ja auch problemlos über das Internet drauf.
Wir haben ja verschiedene FTP Clients und sogar einen anderen Rechner bei dem Mitarbeiter getestet. Es zeigt sich überall das selbe Problem.

@k4rsten:
Nein, kein Schalter vergessen.
Der User funktioniert von überall anders aus. Außerdem hat dieser Mitarbeiter dieses Problem mit jedem User.

Das Problem ist wirklich merkwürdig. Es kann halt nur sein, dass der Linksys Router von dem Mitarbeiter unseren FTP irgendwie blockt oder unser FTP Server die Verbindung von diesem Router...
aqui
aqui 21.04.2009 um 09:49:46 Uhr
Goto Top
Ja, das ist das einzige was übrigbleibt. Es kann nur mit dem Useraccount zu tun haben, denn das bestätigt der FTP Zugangsversuch mit einem anderen PC und dem gleichen ergebnis.

Mach doch mal folgendes:
Lade und installier dir auf einem anderen beliebigen PC den Cerberus FTP Server:
http://www.cerberusftp.com/

Nimm den normalen Client dieses Kollegen und versuche einen Zugriff auf den Cerberus.
Wenn der klappt ist es ganz sicher die Useraccount Konfig für den Kollegen und nichts anderes.
Da du ein flaches, doofes Layer 2 Netz betreibst ohne Routing und Filterung ist es so gut wie ausgeschlossen, das das netzwerk der Grund ist !!
darthi
darthi 21.04.2009 um 10:21:33 Uhr
Goto Top
Noch mal...
- Er kommt nur von seinem lokalen Netzwerk bei sich zu Hause nicht auf unseren FTP Server. Hier ist es irrelevant welchen User Account er benutzt.
- Auf andere FTP Server kommt er von sich zu Hause drauf.
- Sein User Account funktioniert von jedem anderen Internetanschluss oder im lokalen Netzwerk problemlos!
aqui
aqui 21.04.2009 um 11:04:06 Uhr
Goto Top
OK, sorry das war verschütt gegangen.

Dann liegt es zu 100% an seinem Router zuhause bzw. an dessen NAT Firewall.

Vermutlich arbeitet sein Client nicht im Passive Modus oder sein Router kann mit FTP nicht umgehen.
Er sollte mal eine Port Forwarding Regel von TCP Port 20 und 21 auf seine lokale PC IP Adresse im Router einstellen !
Nur mal testhalber und checken obs dann geht.

Normalerweise ist das bei einem FTP Client im Passive Modus nicht nötig nur mal testhalber.
Ein anderer Test wäre mal den Firefox zu nehmen und mit ftp://<ftp_server_adresse> auf den Server zuzugreifen.
Der Browserbasierende FTP Client im Firefox nutzt immer zwangsweise den Passive Modus !!!

Sollten alle Stricke reißen hilft ggf. ein Firmware Update seines Heimrouters (...über dessen Marke und Modell du uns ja komplett im Unklaren lässt face-sad ) oder...
In letzter Instanz nur dessen Austausch face-sad
darthi
darthi 21.04.2009 um 11:23:38 Uhr
Goto Top
Portforwarding haben wir getestet. Haben seinen Client zu Hause einfach mal Exposed Host (alle Verbindungen werden an seinen Client geforwarded) freigeschaltet. Funktionierte auch nicht.

WIr haben diverse Clients getestet und alle haben das selbe Problem. Die Clients kommen auf den FTP drauf und fliegen dann sofort wieder runter (siehe oben) bzw. können kein ls Kommando ausführen. Passiver Modus ist überall aktiviert. Der PASV Befehl wird ja anscheinend nicht einmal zu Ende ausgeführt, da mit ihm der Rausschmiss kommt.

FTP wird ja anscheinend grundsätzlich von seinem Router unterstützt, da er ja im passiven Modus auch auf andere FTP Server verbinden kann. Komischerweise nur auf unsere nicht...

Ich habe eben das hier im Netz gefunden: http://www.softwaretipsandtricks.com/forum/windows-xp/211-xp-linksys-ro ...

Unser Mitarbeiter hat auch einen Linksys Router, jedoch einen wesentlich neueren. Anscheinend möchten diese Router aber den FTP Befehl irgendwie selbst verarbeiten und managen. Vermutlich gibt es deswegen das Problem.
Bei einer aktiven Verbindung bekommen wir auch das PORT Kommando (siehe oben) und danach den Rausschmiss, genauso wie in dem anderen Forenbeitrag. Nur funktioniert halt bei uns nichtmal die passive Verbindung zu unseren FTP.
Ich werde das mit dem Firmware Update mal anregen.

Deine sonstigen Gedankengänge hatte ich auch alle schon, nur leider konnte ich eigentlich alle Möglichkeiten eliminieren. face-sad
darthi
darthi 23.04.2009 um 15:41:32 Uhr
Goto Top
So, also Router ist anscheinend auf den neusten Stand...