11
Passives FTP am NAS konfigurieren
Hallo an alle Wissenden hier,
ich habe seit einigen Tagen versucht Zugriff von intern (LAN) und extern (WAN) auf mein NAS zu bekommen.
Dabei waren mir die Hinweise hier im Forum eine große Hilfe (Danke aqui!). Allerdings habe ich einige Punkte nicht ganz begriffen (oder sie sind mit meinen Komponenten nicht umsetzbar).
Folgendes ist der aktuelle Stand:
NAS: Buffalo Linkstation QuadPro, stat. IP im LAN (192.168.0.20), Ordner auf dem NAS angelegt und für FTP und "testuser" lesend/schreibend freigegeben
davor läuft ein Router: Netgear WGT624v1 (192.168.0.1) = Gateway und DNS-Serv., WAN-IP ist fix (kein DDNS notwendig), Portforwarding (20-22, 80, 81) auf xx.xx.0.20
Was ich bisher geschafft habe, ist über aktives FTP (und SEFTP) von intern und extern auf den FTP-Ordner zuzugreifen. (mit Filezilla und WindowsExplorer jeweils mit Umstellung auf aktives FTP)
Ich habe jetzt aber gelesen, dass ich beim Client am besten auf passiv umstellen sollte (was in den meisten Browsern auch Standard ist). Wenn ich das mache kommt immer die Meldung "Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." (habe mit Filezilla getestet.), oder es passiert nichts (beim IE, Firefox, Opera etc). Soweit ich das verstanden habe, müßte ich für die Nutzung von passivem FTP die vom Server zu nutzenden Ports auf der Linkstation angeben und dann im Router freigeben/forwarden.
Jetzt die Frage:
Weiß jemand, ob und wo ich das an der Buffalo-Büchse einstellen kann? Kann es sein, dass der poplige Netgear nicht in der Lage ist meinen Plan zu unterstützen? Welchen Router würdet ihr dann empfehlen (vielleicht einen, bei dem ich auch DDNS-Provider frei angeben kann)?
Sorry wenn ich Fachbegriffe falsch verwendet habe, aber ich hoffe mein Anliegen kommt rüber.
Danke schonmal für Eure Mühe und Antworten.
Gruß
bonito
ich habe seit einigen Tagen versucht Zugriff von intern (LAN) und extern (WAN) auf mein NAS zu bekommen.
Dabei waren mir die Hinweise hier im Forum eine große Hilfe (Danke aqui!). Allerdings habe ich einige Punkte nicht ganz begriffen (oder sie sind mit meinen Komponenten nicht umsetzbar).
Folgendes ist der aktuelle Stand:
NAS: Buffalo Linkstation QuadPro, stat. IP im LAN (192.168.0.20), Ordner auf dem NAS angelegt und für FTP und "testuser" lesend/schreibend freigegeben
davor läuft ein Router: Netgear WGT624v1 (192.168.0.1) = Gateway und DNS-Serv., WAN-IP ist fix (kein DDNS notwendig), Portforwarding (20-22, 80, 81) auf xx.xx.0.20
Was ich bisher geschafft habe, ist über aktives FTP (und SEFTP) von intern und extern auf den FTP-Ordner zuzugreifen. (mit Filezilla und WindowsExplorer jeweils mit Umstellung auf aktives FTP)
Ich habe jetzt aber gelesen, dass ich beim Client am besten auf passiv umstellen sollte (was in den meisten Browsern auch Standard ist). Wenn ich das mache kommt immer die Meldung "Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." (habe mit Filezilla getestet.), oder es passiert nichts (beim IE, Firefox, Opera etc). Soweit ich das verstanden habe, müßte ich für die Nutzung von passivem FTP die vom Server zu nutzenden Ports auf der Linkstation angeben und dann im Router freigeben/forwarden.
Jetzt die Frage:
Weiß jemand, ob und wo ich das an der Buffalo-Büchse einstellen kann? Kann es sein, dass der poplige Netgear nicht in der Lage ist meinen Plan zu unterstützen? Welchen Router würdet ihr dann empfehlen (vielleicht einen, bei dem ich auch DDNS-Provider frei angeben kann)?
Sorry wenn ich Fachbegriffe falsch verwendet habe, aber ich hoffe mein Anliegen kommt rüber.
Danke schonmal für Eure Mühe und Antworten.
Gruß
bonito
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 240175
Url: https://administrator.de/contentid/240175
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
11 Kommentare
Neuester Kommentar
Mach dir doch keinen Stress. Wenn du von extern (und nur das ist hier relevant da du die NAT Firewall überwinden musst !) mit active FTP zugreifen kannst und das klappt ist doch alles bestens ! Was willst du mehr ?
Es ist allerdings verwunderlich, denn mit active FTP kannst du eine NAT Firewall oder generell IP Adress Translation niemals überwinden. FTP besteht immer aus 2 Ports dem Kommando Port und dem eigentlichen Daten Port. Siehst du dir den Verbindungs auf bau mal genau an:
http://www.slacksite.com/other/ftp.html
Siehst du das Dilemma. Der Client connected bei active FTP über TCP 21 und dann will der Server auf den Client einen Data Port Session mit Port TCP 20 aufmachen (Schritt 3 im obigen Diagram)
Da es aber keine bestehende inbound Session mit TCP 20 gibt sieht die NAT Firewall das als unberechtigten Zugang von außen und blockt diesen Zugriff. Fazit: FTP funktioniert nicht.
Es gibt jetzt 2 Optionen:
1.) Intelligente Router (und dazu gehört NetGear wahrlich nicht !) erkennen einen outbound TCP 21 Session sehen an TCP 21 das es FTP ist und öffnen den inbound Zugang für TCP 20 auf diegleiche IP.
2.) Bei einem unintelligenten Router hilft also nur passive FTP wo du an Schritt 3 siehst das der Client die Data Session aufbaut, dann damit eine bestehende TCP 20 Session existiert und die Data Connection zustande kommt.
Option 2 ist bei billigen Consumer Equipment der Regelfall.
Es ist also wirklich fraglich ob du beim Zugriff von extern wirklich aktive FTP machst. Vermutlich nicht, denn alle Clients versuchen immer passive zuerst und wenn der Buffalo entsprechend customized ist nimmt der passive auch an.
Nimm dir ganz einfach einen Wireshark Sniffer und sniffer den Verbindungsaufbau mit. Dann siehst du es doch selber schwarz auf weiss WAS für eine ART FTP du wirklich machst !
Hätte den Thread dann (fast) überflüssig gemacht
Es ist allerdings verwunderlich, denn mit active FTP kannst du eine NAT Firewall oder generell IP Adress Translation niemals überwinden. FTP besteht immer aus 2 Ports dem Kommando Port und dem eigentlichen Daten Port. Siehst du dir den Verbindungs auf bau mal genau an:
http://www.slacksite.com/other/ftp.html
Siehst du das Dilemma. Der Client connected bei active FTP über TCP 21 und dann will der Server auf den Client einen Data Port Session mit Port TCP 20 aufmachen (Schritt 3 im obigen Diagram)
Da es aber keine bestehende inbound Session mit TCP 20 gibt sieht die NAT Firewall das als unberechtigten Zugang von außen und blockt diesen Zugriff. Fazit: FTP funktioniert nicht.
Es gibt jetzt 2 Optionen:
1.) Intelligente Router (und dazu gehört NetGear wahrlich nicht !) erkennen einen outbound TCP 21 Session sehen an TCP 21 das es FTP ist und öffnen den inbound Zugang für TCP 20 auf diegleiche IP.
2.) Bei einem unintelligenten Router hilft also nur passive FTP wo du an Schritt 3 siehst das der Client die Data Session aufbaut, dann damit eine bestehende TCP 20 Session existiert und die Data Connection zustande kommt.
Option 2 ist bei billigen Consumer Equipment der Regelfall.
Es ist also wirklich fraglich ob du beim Zugriff von extern wirklich aktive FTP machst. Vermutlich nicht, denn alle Clients versuchen immer passive zuerst und wenn der Buffalo entsprechend customized ist nimmt der passive auch an.
Nimm dir ganz einfach einen Wireshark Sniffer und sniffer den Verbindungsaufbau mit. Dann siehst du es doch selber schwarz auf weiss WAS für eine ART FTP du wirklich machst !
Hätte den Thread dann (fast) überflüssig gemacht
Hallo aqui,
Danke für die Antwort.
Ob es nun "echte aktive" FTP ist oder nicht, sei mal dahingestellt. Es geht im im wesentlichen darum, dass die User erst selbst aktiv werden müssen und unter Internetoptionen->Erweitert->"Passives FTP verwenden" deaktivieren müssen, damit sie mit Windows-Bordmitteln auf den Speicherwürfel kommen. Das jedem User zu erklären wird mich Nerven kosten. Daher die Frage.
Ich werde aber mal den Sniffer laufen lassen um zu sehen, was passiert. In der Zwischenzeit kann zumindest ich arbeiten ;o)
Grüße
bonito
Danke für die Antwort.
Ob es nun "echte aktive" FTP ist oder nicht, sei mal dahingestellt. Es geht im im wesentlichen darum, dass die User erst selbst aktiv werden müssen und unter Internetoptionen->Erweitert->"Passives FTP verwenden" deaktivieren müssen, damit sie mit Windows-Bordmitteln auf den Speicherwürfel kommen. Das jedem User zu erklären wird mich Nerven kosten. Daher die Frage.
Ich werde aber mal den Sniffer laufen lassen um zu sehen, was passiert. In der Zwischenzeit kann zumindest ich arbeiten ;o)
Grüße
bonito
Ob es nun "echte aktive" FTP ist oder nicht, sei mal dahingestellt.
Ahem..."unechtes active FTP" gibt es nicht !! Was sollte das auch sein ?!Passives FTP verwenden" deaktivieren müssen, damit sie mit Windows-Bordmitteln auf den Speicherwürfel kommen.
Ooops da wäre ja vollkommen verdrehte Welt. Eher andersrum wird ein Schuh draus !! Na ja Buffalo ist ja nun auch nicht gerade bekannt für intelligente und gute NAS.Da lohnt der Euro mehr für Synology oder QNAP da hat man soch abartiges Verhalten nie.
Wenn ein Client dem Server signalisiert er will passive FTP machen reagiert ein normaler Server auch darauf und macht das !
Keine Ahnung was Buffalo da macht. Die haben scheint es ein recht merkwürdiges Verständnis von FTP wenn es tatsächlich stimmt das du da schreibst ?!
Das jedem User zu erklären wird mich Nerven kosten
Ist ja auch Unsinn und macht kein mensch so...da hast du absolut Recht.
Hi bonito,
@aqui's Ausführungen ist wohl wenig hinzuzufügen.
Normalerweise macht der FTP-Server auf einem NAS aktives-FTP, es sei denn, man stellt etwas anderes ein.
Da sich das auf den Buffalo wohl nicht machen lässt, kannst Du nur versuchen das auf dem Client einzustellen.
Bei mir läuft (OpenMediaVault), bei entsprechender Firewall-Einstellung vorausgesetzt, ein FTP-Server mit aktiven FTP, dabei klappt der Zugriff sowohl mit aktiv als auch mit passiv-Einstellungen von Filezilla oder FireFTP aus.
Es ist nur Port 20/21 freigegeben, da diese Port's auf dem Server eingestellt sind.
Vielleicht kannst Du ja mal mitloggen, was bei Dir blockiert wird und welche Ports genutzt werden.
Gruß orcape
@aqui's Ausführungen ist wohl wenig hinzuzufügen.
Normalerweise macht der FTP-Server auf einem NAS aktives-FTP, es sei denn, man stellt etwas anderes ein.
Da sich das auf den Buffalo wohl nicht machen lässt, kannst Du nur versuchen das auf dem Client einzustellen.
Bei mir läuft (OpenMediaVault), bei entsprechender Firewall-Einstellung vorausgesetzt, ein FTP-Server mit aktiven FTP, dabei klappt der Zugriff sowohl mit aktiv als auch mit passiv-Einstellungen von Filezilla oder FireFTP aus.
Es ist nur Port 20/21 freigegeben, da diese Port's auf dem Server eingestellt sind.
Vielleicht kannst Du ja mal mitloggen, was bei Dir blockiert wird und welche Ports genutzt werden.
Gruß orcape
Hallo orcape,
ich habe jetzt noch ein bisschen rumgewerkelt und meine Hardwarereserven mal genutzt.
Was ich dabei feststellen konnte:
Für mich sieht es so aus, als wäre der Router die Bremse. Im Filezilla erhalte ich (bei entsprechender Konfiguration) auch teilweise die Meldung, dass die "Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." Scheint also so, als würde sich die Buffalo-Station immer mit der internen IP melden und diese wird dann nach draußen gegeben. Der Client kann natürlich von außerhalb die 192.168.0.20 nicht erreichen. Und die beiden Ports, die die Station mitliefert sind natürlich nicht offen, wenn stattdessen die WAN-IP genutzt werden soll. Ist ja auch alles verständlich. (Darum der Versuch mit der DMZ -> aber kein Erfolg).
Habt ihr ne Idee, wie ich das noch testen kann? Ist meine Einschätzung zum Router als Hindernis aus Eurer Sicht korrekt? Falls ja, welcher Router könnte das, was ich brauche?
Eine sonstige Vermutung wäre noch eine FW o.ä. bei meinem Internetanbieter (meine Wohnungsgenossenschaft/Vermieter). Wie kriege ich das raus?
Besten Dank schonmal für Eure Hilfe.
Ahoi
bonito
ich habe jetzt noch ein bisschen rumgewerkelt und meine Hardwarereserven mal genutzt.
Was ich dabei feststellen konnte:
- Wireshark zeigt mir im Log (dabei habe ich den Filter ausschließlich auf FTP gesetzt) zwar die Ports an, die beim passiven FTP geöffnet werden sollen, aber es ich nicht zu erkennen wer oder wo diese geblockt werden.
- ich habe das NAS am Netgear in die DMZ gehängt und auch damit keinen Erfolg (aktiv: ja, passiv: nein)
- ich habe den Router gegen einen alten SMC Barricade getauscht und auch dadurch keine Änderung
- passiver Test von intern (LAN) funktioniert -> ergo: der Speicherwürfel kann es
Für mich sieht es so aus, als wäre der Router die Bremse. Im Filezilla erhalte ich (bei entsprechender Konfiguration) auch teilweise die Meldung, dass die "Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." Scheint also so, als würde sich die Buffalo-Station immer mit der internen IP melden und diese wird dann nach draußen gegeben. Der Client kann natürlich von außerhalb die 192.168.0.20 nicht erreichen. Und die beiden Ports, die die Station mitliefert sind natürlich nicht offen, wenn stattdessen die WAN-IP genutzt werden soll. Ist ja auch alles verständlich. (Darum der Versuch mit der DMZ -> aber kein Erfolg).
Habt ihr ne Idee, wie ich das noch testen kann? Ist meine Einschätzung zum Router als Hindernis aus Eurer Sicht korrekt? Falls ja, welcher Router könnte das, was ich brauche?
Eine sonstige Vermutung wäre noch eine FW o.ä. bei meinem Internetanbieter (meine Wohnungsgenossenschaft/Vermieter). Wie kriege ich das raus?
Besten Dank schonmal für Eure Hilfe.
Ahoi
bonito
Hi bonito,
Um von remote zugreifen zu können, sollten die Ports freigegeben sein, sonst blockt das Dein NAT ab.
Das dürfte auch für die NETGEAR-billig DMZ zutreffen.
Ohne die Verwendung eines VPN-Tunnels würde ich das mit FTP gar nicht erst versuchen.
Leider bist Du mit dem NETGEAR hardwaretechnisch ja nicht gerade "gesegnet"....
Gruß orcape
Für mich sieht es so aus, als wäre der Router die Bremse.
...das wird wohl auch so sein.Um von remote zugreifen zu können, sollten die Ports freigegeben sein, sonst blockt das Dein NAT ab.
Das dürfte auch für die NETGEAR-billig DMZ zutreffen.
Ohne die Verwendung eines VPN-Tunnels würde ich das mit FTP gar nicht erst versuchen.
Leider bist Du mit dem NETGEAR hardwaretechnisch ja nicht gerade "gesegnet"....
Eine sonstige Vermutung wäre noch eine FW o.ä. bei meinem Internetanbieter (meine Wohnungsgenossenschaft/Vermieter). Wie kriege ich das raus?
wäre denkbar. Wie sieht denn Deine WAN-Verbindung aus.(Anbieter, IP etc.)Gruß orcape
Hi orcape,
laut whois verbigt sich hinter der IP des WAN-Gateways die "iQom Business Services GmbH".
Ich habe den Router auf "stay connected" gesetzt, wodurch sich die WAN-IP nicht nach 24h (oder so) ändert. An und für sich ganz praktisch, da der Netgear als DDNS-Provider nur DynDNS anbietet (und damit der Service kostet).
Das diese Brot-und-Butter-Router nicht das gelbe vom Ei sind war mir klar. Dass sie aber selbst die DMZ derart blocken (wo sie dort doch die wenigste Arbeit hätten
) überrascht mich dann doch.
Naja, ist dann wohl nichts. Wäre auch zu schön gewesen, mal einfach Daten mit Freunden zu teilen
Ob sich eine Fritzbox eher eignen würde? Oder muß es doch ein Linksys/Cisco Router werden (da geh ich mal von maximaler Konfigurierbarkeit aus)...
danke
bonito
Wie sieht denn Deine WAN-Verbindung aus.(Anbieter, IP etc.)
laut whois verbigt sich hinter der IP des WAN-Gateways die "iQom Business Services GmbH".
Ich habe den Router auf "stay connected" gesetzt, wodurch sich die WAN-IP nicht nach 24h (oder so) ändert. An und für sich ganz praktisch, da der Netgear als DDNS-Provider nur DynDNS anbietet (und damit der Service kostet).
Das diese Brot-und-Butter-Router nicht das gelbe vom Ei sind war mir klar. Dass sie aber selbst die DMZ derart blocken (wo sie dort doch die wenigste Arbeit hätten
) überrascht mich dann doch.Naja, ist dann wohl nichts. Wäre auch zu schön gewesen, mal einfach Daten mit Freunden zu teilen
Ob sich eine Fritzbox eher eignen würde? Oder muß es doch ein Linksys/Cisco Router werden (da geh ich mal von maximaler Konfigurierbarkeit aus)...
danke
bonito
Hi,
Ein Linksys (E-Serie) mit DD-WRT geflasht oder ein Mikrotik tut es auch und das um Längen preiswerter.
Oder wenn Du 200 € übrig hast, gleich ein ALIX-APU mit pfSense drauf.
Gruß orcape
Ob sich eine Fritzbox eher eignen würde?
..schon, aber eben auch nicht billig.Ein Linksys (E-Serie) mit DD-WRT geflasht oder ein Mikrotik tut es auch und das um Längen preiswerter.
Oder wenn Du 200 € übrig hast, gleich ein ALIX-APU mit pfSense drauf.
Gruß orcape
Hallo aqui, hallo orcape,
es hat jetzt zwar eine Weile gedauert, aber ich bin Euch (und den Mitlesern) noch eine Antwort schuldig:
Es lief auf die radikale Lösung hinaus: Netgear-Büchse gegen einen Mikrotik 2011 ausgetauscht und die Sache rennt. War ein guter Tipp und ich hab jetzt wieder ein Technikspielzeug, in dass ich mich einarbeiten kann. Uiuiuiui....viel zu lernen. Aber es macht Spaß. Da kann sich der kleine Bonito fast totkonfigurieren...
Danke Euch beiden auf jeden Fall nochmal und bis zur nächsten Frage
Grüße
bonito
es hat jetzt zwar eine Weile gedauert, aber ich bin Euch (und den Mitlesern) noch eine Antwort schuldig:
Es lief auf die radikale Lösung hinaus: Netgear-Büchse gegen einen Mikrotik 2011 ausgetauscht und die Sache rennt. War ein guter Tipp und ich hab jetzt wieder ein Technikspielzeug, in dass ich mich einarbeiten kann. Uiuiuiui....viel zu lernen. Aber es macht Spaß. Da kann sich der kleine Bonito fast totkonfigurieren...
Danke Euch beiden auf jeden Fall nochmal und bis zur nächsten Frage
Grüße
bonito
Hi,
Gruß orcape
Es lief auf die radikale Lösung hinaus: Netgear-Büchse gegen einen Mikrotik 2011 ausgetauscht und die Sache rennt.
...gute Wahl und was das dazu lernen betrifft, kann nie ein Fehler sein...Gruß orcape
...warum bin ich nicht überrascht, dass ich hier von kompetenten Leuten allzeit allerbeste Hilfe bekomme, egal ob ich um 3:37Uhr, 19:51Uhr oder 12:09Uhr posten würde???
...oder, wenn ich erst 3 Monate später antworte...ganz im Gegensatz zu Euch
Ahoi,
bonito
...oder, wenn ich erst 3 Monate später antworte...ganz im Gegensatz zu Euch
Ahoi,
bonito
