jochem
Goto Top

Wie einen FTP-Server zu Hause über das Web erreichbar machen?

Moin zusammen,

ich kämpfe seit ein paar Tagen mit meiner Server-Konfiguration zu Hause.

Gegeben ist ein Speedport W500V, ein NAS (QNAP-TS212) mit installiertem FTP-Server sowie eine IP-Kamera (Foscam-Clone) mit eigenem Web-Server. Über No-IP ist ein Domain-Name eingerichtet, so daß die Server von außen erreichbar sind. Alle Geräte (IP-Kamera und NAS) sind über WLAN mit dem Speedport verbunden.

Bilder von der IP-Cam werden auf den FTP-Server des NAS übertragen. Lokaler Zugriff aus dem privaten Netz ist sowohl auf den Web-Servr der IP-Cam als auch den FTP-Server möglich. Ein Zugriff auf die IP-Cam aus dem Internet ist möglich. Der entsprechende Port 80 wird im Speedport an die interne IP-Adresse des Web-Servers der IP-Cam durchgereicht.

Auf dem NAS ist der Server-Dienst für FTP eingerichtet. Lokal ist der Zugriff möglich, aber nicht über das Internet. Der Port 21 wird im Speedport an die interne IP-Adresse des NAS durchgereicht, aber eine Verbindung über das Internet mittels Filezilla kann nicht hergestellt werden.

Nach meinem Kenntnisstand sollte es so rein theoretisch funktionieren, praktisch tut es das aber nicht. Wo liegt mein Denkfehler?

In diesem Zusammenhang noch eine weitere Frage: Ich lese fast überall, daß bei der Einrichtung eines privaten Servers die Dienste nicht über die Standard-Ports angeboten werden sollen. Für einen Web-Server, der den http-Dienst zur Verfügung stellt, also nicht zwingend Port 80, sondern z. Bsp. 50180.
Wie konfiguriere ich die Anwendung nun am sinnvollsten?
Sage ich dem Web-Server, daß er auf Port 50180 "hören" soll und leite dann diesen Port an die Interne IP-Adresse des Server weiter?
Oder lasse ich den Server intern auf Port 80 "lauschen" und gebe nach draußen den Port 50180 frei, der dann im Speedport per redirection auf Port 80 weitergeleitet wird?
Welche Vor- bzw. Nachteile bieten die einzelnen Vorgehensweisen? Wo kann ich etwas dazu nachlesen?

Gruß J face-smile chem

Nachtrag: Benutzerberechtigungen sind auf dem FTP-Server eingetragen. Auflösung der No-IP-Domäne in die IP-Adresse funktioniert. Filezilla meldet Zeitüberschreitung beim Zugriff.

Content-ID: 211523

Url: https://administrator.de/forum/wie-einen-ftp-server-zu-hause-ueber-das-web-erreichbar-machen-211523.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

MrNetman
MrNetman 15.07.2013 um 17:19:57 Uhr
Goto Top
Zwei Fragen, zwei Antworten.

  • Die DYNDNS oder NO-IP Namensauflösung zeigt auf deinen Router, nicht auf deinen wie immer gearteten Server.
Also muss der Router die Anfragen auf einem bestimmten Port an den Server innerhalb deines Netzes weiter leiten. Dafür ist die Portweiterleitung zuständig. Da trägt man die IP des Servers, das Protokoll und den Port ein.
Danach werden die Pakete direkt durch gereicht.

  • Eine anderen als den Standard-FTP-Port stellt man am FTP Server, in diesem Falle hier dein NAS ein. Wenn es möglich ist so eine Einstellung vorzunehmen, dann kannst du das tun und die Portweiterleitung entsprechend ändern.
Kleiner Nachteil: Im Browser gibts du jetzt nicht mehr ftp://meincamerabilder.de ein sondern: ftp://meinecamerabilder.de:5021 ein

Gruß
Netman
Jochem
Jochem 15.07.2013 aktualisiert um 18:36:29 Uhr
Goto Top
Moin,

sorry, aber die Antworten sind in keinster Weise zielführend.

Warum schreibe ich wohl:

Der entsprechende Port 80 wird im Speedport an die interne IP-Adresse des Web-Servers der IP-Cam durchgereicht.
und
Der Port 21 wird im Speedport an die interne IP-Adresse des NAS durchgereicht ....

? Bestimmt nicht, um dann

Also muss der Router die Anfragen auf einem bestimmten Port an den Server innerhalb deines Netzes weiter leiten.

als Antwort zu erhalten.

Kleiner Nachteil: Im Browser gibts du jetzt nicht mehr ftp://meincamerabilder.de ein sondern:
ftp://meinecamerabilder.de:5021 ein

Ganz tolles Tennis! Und das wars nun?

Die Fragestellung war doch die, welche Vor- oder Nachteile sich ergeben, wenn ich (z. Bsp. für den FTP-Dienst)
a) den Standardport 21 nach außen gebe und diesen intern an den Server weiterreiche
b) den Standardport 21 nach außen gebe und intern auf 5021 weiterleite
c) Port 5021 nach außen gebe und diesen Port intern an den Server weitergebe
d) Port 5021 nach außen gebe und Port 21 intern an den Server weitergebe
oder einfach gefragt, was die Vor- und Nachteile bei Weiterleitung bzw. Umleitung von Ports sind.

Kopfschüttelnden Gruß J face-smile chem
certifiedit.net
certifiedit.net 15.07.2013 um 18:33:45 Uhr
Goto Top
Warum solltest du das bei FTP machen?

Bei SSH, ok: Sicherheit, da standardmäßig erstmal 22 abgeklappert wird, aber FTP sollte anders abgesichert werden und ggf komplett deaktiviert werden.

Interne Umleitung bringt von 20/21 auf intern 5020/5021 überhaupt nichts außer Aufwand.

Grüße
Jochem
Jochem 15.07.2013 um 18:45:37 Uhr
Goto Top
Moin,

ok, ist ja auch nur als Beispiel gedacht. Also laß ich die Standard-Ports 20/21 und gebe die an den internen Server weiter.

Reicht die "Absicherung" in Form von Benutzerrechten auf dem Server oder gibt es noch etwas anderes?

Nur blick ich noch nicht durch, warum der Server, trotz Port-Weiterleitung, auf Anfragen vom FTP-Client nicht antwortet. Irgendwelche Ideen diesbezüglich?

Gruß J face-smile chem
certifiedit.net
certifiedit.net 15.07.2013 um 18:51:05 Uhr
Goto Top
Sorry, aber irgendwie scheinst du, irgendwas, noch nicht korrekt konfiguriert. Alles aktiviert? Firewall ovgl?
Jochem
Jochem 15.07.2013 aktualisiert um 18:59:34 Uhr
Goto Top
Moin,

FTP-Service ist auf dem NAS aktiviert und über den Standardport 21 erreichbar. jedenfalls von intern.

In der Firewall sind keine Sperren drin.

Port-Weiterleitung ist eingetragen.

Benutzer mit Admin-Rechten ist auf dem FTP-Server eingerichtet. Verzeichnis ist für eine Benutzergruppe freigegeben. Benutzer mit Schreib-/Leserechten auf das freigegebene Verzeichnis ist eingerichtet und in der Benutzergruppe eingetragen.

So langsam gehen mir die Ideen aus.

Gruß J face-smile chem
keine-ahnung
keine-ahnung 15.07.2013 um 18:59:10 Uhr
Goto Top
Zitat von @Jochem:
Hi,
sorry, aber die Antworten sind in keinster Weise zielführend.
die Fragestellung nun auch nicht direkt face-wink
Warum schreibe ich wohl:
Der Port 21 wird im Speedport an die interne IP-Adresse des NAS durchgereicht, aber eine Verbindung über das Internet mittels Filezilla kann nicht hergestellt werden.
Weil Du uns nicht sagen willst, woran der Verbindungsaufbau scheitert? Gibt Dein Godzilla irgendwelche Fehlermeldungen aus? Gibt es ein Rechteproblem auf dem NAS? Gibt es dort ein logfile der versuchten Anmeldungen? Läuft da noch irgendeine firewall quer? Liegt es eventuell an Deiner Billigbüchse von Router - eventuell reicht da schon mal ein Neustart ...
Ganz tolles Tennis! Und das wars nun?
Yep. Du musst zumindest mal basale Informationen weitergeben - was hast Du schon geprüft? Woran kann es dann definitiv nicht liegen? Was passiert eigentlich, wenn Du das NAS mal per LAN an den Speedport böbbelst?? Etc. pp.

LG, Thomas
108012
108012 15.07.2013 um 19:09:32 Uhr
Goto Top
Hallo Jochem,

zwei Sachen die mir aufgefallen sind.

- Erstens FTP überträgt immer im Klartext, aber Dein FileZilla ist in der Lage SFTP zu sprechen! Also wenn es seitens QNAP ein QPKG Plugin geben sollte, das auch SFTP "spricht" bzw. versteht würde ich als erstes einmal umsteigen wollen.

- Zweitens ist es wirklich nicht vergeudete Zeit über zumindest eine Fritz!Box oder eine anderen "echten" Router nach zu denken
der auch eine VPN Funktion mitbringt und das sogar noch vor dem Verwenden von SFTP.
Denn dann kann man sich per VPN in das eigene Netzwerk einwählen und hat keine Ports durch die auch andere mal nachschauen was Du so treibst in Deiner Wohnung! Oder es auf YouTube posten.

Wie konfiguriere ich die Anwendung nun am sinnvollsten?
Mit SFTP wenn möglich und VPN wenn Geld zur Verfügung steht.

VPN ist sicherlich nicht einer der angenehmsten und einfachsten Bereiche allerdings ist Dein Netzwerk dicht und nicht für andere
von außen zu erreichen!

Gruß
Dobby

Geht an der Lösung Deiner Frage zwar vorbei ist mir aber wichtig gewesen.
Jochem
Jochem 15.07.2013 um 19:10:43 Uhr
Goto Top
Moin,

wenn ich wüßte, woran der Verbindungsaufabu scheitert, wäre ich schon weiter, aber bsiher gibt es da nix. Wobei ich aber sagen muß, daß ich derzeit nicht von zu Hause schreibe, sondern von einem anderen PC, von dem ich die Verbindung testen will.
Wie schon geschrieben, bricht Filezilla mit

Status: Auflösen der IP-Adresse für domain.no-ip.biz
Status: Verbinde mit 91.xx.xxx.xx...
Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Status: Nächsten Versuch abwarten...

ab.

Rechteprobleme auf dem NAS? Sollte nicht sein, da der "Testuser" mit Schreib-/Leserechten für das infrage kommende Verzeichnis ausgestattet ist.

Versuchte Anmeldungen kann ich erst im Laufe des Abends kontrollieren, wen ich wieder zu Hause bin.

Firewall auf dem Speedport ist derzeit aus.

Neustart wurde jeden Abend gemacht, bei Notwendigkeit auch zwischendurch.

NAS per LAN an Speedport kann ich heute Abend mal probieren.

Gruß J face-smile chem
Jochem
Jochem 15.07.2013 um 19:18:10 Uhr
Goto Top
Moin,

das QNAP kann auch SFTP und VPN ist dort auch eine Option. Sollte also machbar sein.

Gruß J face-smile chem
fnord2000
fnord2000 15.07.2013 um 19:20:51 Uhr
Goto Top
Von wo versuchst du denn auf den FTP zuzugreifen?
Bist du sicher, das der Rechner, von dem du das probierst nicht hinter einem NAT-Router sitzt?
Ist das FTP aktiv oder passiv?

Zitat von @Jochem:
Auf dem NAS ist der Server-Dienst für FTP eingerichtet. Lokal ist der Zugriff möglich, aber nicht über das
Internet. Der Port 21 wird im Speedport an die interne IP-Adresse des NAS durchgereicht, aber eine Verbindung über das
Internet mittels Filezilla kann nicht hergestellt werden.

Nur Port 21?
Du weißt aber schon, das Port 21 nur der Kontrollkanal ist, und die eigentliche Datenübertragung bei FTP über eine zweite Datenverbindung funktioniert, die erstmal zwischen beiden Parteien ausgehandelt werden muss, oder?
Meistens wird da bei aktivem FTP Port 20 (ausgehend) verwendet, aber bei PASV wird häufig ein zufälliger Port verwendet, der natürlich von außen erreichbar sein muss.
orcape
orcape 15.07.2013 um 20:04:59 Uhr
Goto Top
Hi Jochem,

Du versuchst nicht zufälligerweise per UMTS auf Deinen Server zu kommen, verraten hast Du uns das leider nicht.
Das könnte dann zumindest am NAPT, welches die Provider machen, scheitern. Klare Aussagen dazu findet man im Netz leider auch nicht.
Ansonsten kann ich hier Dobby nur beipflichten und noch eins draufsetzen.
Wer ein QNAP-NAS sein eigen nennt, der sollte auch noch soviel Geld investieren können, das davor ein ordentlicher Router mit einer VPN-Verbindung seine Arbeit tut.
Wer will mit einem FTP-Server direkt im Netz schon freiwillig russisches Roulette spielen.face-wink

Gruß orcape
Jochem
Jochem 15.07.2013 um 21:09:38 Uhr
Goto Top
Moin,

ja, der Test-PC sitz hinter einem NAT-Router, der die FTP-Anfragen durchläßt. Und Ja, es ist PASV eingestellt, so daß sich die beiden Partner den Übertragungskanal aushandeln können. Und Ja, die Ports sind auch auf beiden Seiten frei.

Gruß J face-smile chem
Jochem
Jochem 15.07.2013 um 21:10:43 Uhr
Goto Top
Moin,

Nein, ich greife nicht per UMTS auf den Server zu. Zum Router siehe unten.

Gruß J face-smile chem
Jochem
Jochem 15.07.2013 um 21:26:24 Uhr
Goto Top
Moin,

so, bin wieder zu Hause und stelle gerade mit Freude fest, daß die WLAN-Verbindung zu meinem NAS, aus welchem Grunde auch immer, nicht mehr existent war. Gestern zum wiederholten Male eingerichtet und heute wird mir in der QNAP-Administration angezeigt, daß es keine Drahtlos-Verbindung gibt. Muß ich gleich mal näher betrachten.

Zum Router: Ob es Sinn macht, einen Speedport als Router zu betreiben, oder nicht, möchte ich hier nicht weiter diskutieren. Für meine Belange reicht das Ding vorerst aus. Nur soviel: Im Normalbetrieb arbeitet der Speedport im Bridge-Modus und leitet den Datenverkehr an einen IP-Cop weiter, der seinerseits nun die angesprochenen Router-Funktionen wahrnimmt.
Zum Testen mit dem FTP-Server habe ich den Speedport nun wieder zum Router gemacht und das WLAN aktiviert. Hier soll sich nun zunächst mal alles abspielen. Ich möchte halt herausfinden, was ich alles einrichten kann/muß, damit der FTP-Server das macht, was ich mit ihm vorhabe. Das Ding dann später ins "Blaue"-Netz hinter den IP-Cop zu hängen, sollte dann nicht mehr so das Problem sein, wenn ich weiß, welche Ports ich offen machen muß.

So jetzt begebe ich mich mal auf die Suche nach dem fehlenden WLAN-Zugang zum NAS. Ich komme dann erst wieder morgen zum Testen von Extern.

Gruß J face-smile chem
fnord2000
fnord2000 16.07.2013 um 07:15:03 Uhr
Goto Top
Zitat von @Jochem:
Moin,

ja, der Test-PC sitz hinter einem NAT-Router, der die FTP-Anfragen durchläßt. Und Ja, es ist PASV eingestellt, so
daß sich die beiden Partner den Übertragungskanal aushandeln können. Und Ja, die Ports sind auch auf beiden Seiten
frei.

„Frei” oder weitergeleitet?

Ich denke hier liegt dein Problem: Versuche es mal mit einem Rechner, der nicht hinter NAT festsitzt, und verwende nicht den Passiven Modus, sondern den aktiven.

Ein FTP-Server, der hinter einem NAT-Router sitzt braucht den aktiven Modus (es sei denn du kannst ihm exakt vorgeben, welchen Port er für passiv aufmacht und diesen weiterleiten).
Auf der anderen Seite benötigt ein FTP-Client hinter NAT aus den gleichen gründen den passiven Modus. Wenn also sowohl Server, als auch Client hinter NAT hängen, dann hast du ein echtes Problem, das wird ohne Verrenkungen so schnell nicht funktionieren.
Jochem
Jochem 16.07.2013 um 21:01:00 Uhr
Goto Top
Moin,

kurze Rückmeldung:
1. Der FTP-Server ist wieder erreichbar von intern. Warum jedoch eine falsche Einstellung für den DNS-Server auf der LAN-Seite dafür sorgt, daß auf der WLAN-Seite keine Verbindung hergestellt werden kann, erschließt sich mir im Augenblick nicht.

2. Habe nochmal etwas umkonfiguriert. Bei mir auf dem Speedport sind nun Port 20 und 21 sowie die Standard-Ports für passives FTP an den FTP-Server weitergeleitet.
Bei dem Test-PC ist soweit ich das überblicke keine Einschränkung der Ports vorgenommen worden. Auf einen anderen FTP-Server im Web kann ich zugreifen (Laut Filezilla: Entering passive Mode).

Ich glaube, ich muß noch ein wenig Lesen.

Gruß J face-smile chem
GustavW
GustavW 26.03.2017 um 09:39:09 Uhr
Goto Top
Hallo Jochem

Ich hab genau das selbe Problem !!

Es ist extrem schwer das jemand zu erklären, weil jeder denkt das Port Forwarding wäre falsch.

Leider habe ich auch noch nicht den schuldigen gefunden der zum Qnap hin das 21 Port blockt.

Aber hier mal kurz meine Ergebnisse:

1) Um Festzustellen ob dein Port nach draussen offen ist, braucht man keinen Rechner der auch draussen sitzt, hier kannst du
das mit einem Port checker über das web testen, einfach Googlen und Port Checker eingeben.
Das geht bestens, am besten den von Heise der ist sehr gut..

Dann wirds du sehen das Port ist offen, geht aber nicht durch, weil es gefiltert ist!
2) Mach mal einen Test bei dir:
setzte mit Filezilla auf deinem PC einen FTP Server auf..
gib Ihm einen User und ein Test-Verzeichnis,, ist ne Sache von 5 Min.
öffne deine Firewall für Port 21/20
Leite nun in deinem Router, den Port 21 auf deine PC IP
Führe den Externen Port scan durch, Port 21 sollte offen sein, falls nicht - und weiter dort gefiltert steht das du das selbe Problem wie ich.
Starte eine zweiten Test in dem du bei Filezilla das Port auf 2121 setzt. (auch wieder Firewall freischalten)
Router Port einrichten 2121 auf 2121 an deine IP vom Rechner.
Port checker laufen lassen auf 2121, bin mir ziemlich sicher das 2121 nun als offen da steht.

3) Als Ergebniss: Dein Router arbeitet korrekt, dein NAS auch, es sei denn das du auf Port 21 auf deinem Rechner Zugriff bekommen hast!
Falls nicht, dann sitzen wir beide im selben Boot.

Das Port 21 wird durch irgendwas oder einem anderen Service geblockt und zwar aus deinem eignen Netzwerk.
PS Ich suche noch .....
108012
108012 26.03.2017 um 17:35:07 Uhr
Goto Top
Hallo GustavW,

dieser Beitrag auf den Du hier und heute antwortest ist 4 Jahre alt! Und ich bin mir sicher, sogar sehr sicher dass @Jochem
bis heute das Problem lösen konnte! Wenn Du nun ein ähnlich gelagertes Problem hast oder gar genau das selbe Problem
haben solltest, möchte ich die herzlich bitten einen neuen Beitrag aufzumachen, und zwar Deinen eigenen. Zusammen mit
einer passenden Überschrift finden wir beide dann, in gefühlten 10 Minuten die Lösung von mir aus auch mit Zugriff aus
dem LAN und dem Internet.

Gruß
Dobby
GustavW
GustavW 26.03.2017 um 19:22:01 Uhr
Goto Top
Danke dir,
hatte nicht aufs Datum geschaut ..
Gruß