simbea
Goto Top

Zugriff auf ftp-Server von Lan zu Vlan mit Opnsense

Folgendes Setting:

Ein PC im Lan (Gateway 192.168.1.1) soll über ftp auf eine PBX Telefonanlage im VLAN10 (Gateway 192.168.10.1) zugreifen und zwar mittels dem Programm yajhfc um die auf der PBX liegenden Faxe abzurufen und Faxe zu versenden.
Laut Doku unter

https://www.yajhfc.de/documentation/knowledge-base/138-logging-in-works- ...

geht das über den Port 4559.

In dieser Anleitung wird die Einrichtung eines Opnsense FTP Proxy beschrieben, den ich zu diesem Zweck vermutlich (?) einrichten muß:

https://forum.opnsense.org/index.php?topic=3868.0

Dazu folgende Fragen:
1: In der Proxy-Anleitung liegt der FTP Server im Internet, bei mir aber im VLAN10.

Sind die Einstellung unter Services->FTP Proxy dann so richtig?
Listen adress: 127.0.0.1
Listen port: 4559
Source address: leer
Reverse port: 21

dann unter Firewall->NAT->Port Forward
Interface: LAN
Destination: <die-IP-Adresse-des-FTP-Servers/PBX> (bei mir die 192.168.10.2)
Destination port range: FTP
Redirect target IP: 127.0.0.1
Redirect target port: (other) 4559

2: Wenn ich das richtig verstehe muß ich im Programm yajhfx nun die Adresse des Proxy eintragen, denn der vermittelt ja zwischen Client und FTP Server.
Was muß ich denn da für eine IP angeben ??
Die Adresse des LAN-Gateways 192.168.1.1 ??

Danke im voraus für eure Hilfe

Content-ID: 504520

Url: https://administrator.de/contentid/504520

Printed on: November 5, 2024 at 16:11 o'clock

tikayevent
tikayevent Oct 13, 2019 at 07:33:44 (UTC)
Goto Top
Betreibst du von LAN zu LAN eine Adressübersetzung? Normal wäre dieses nicht, sondern hier nutzt man normales Routing. Wenn es über normales Routing läuft, benötigst du keinen Proxy, sondern kannst einfach auf den FTP-Server zugreifen. Eventuell sind je nach Konfiguration des FTP-Servers noch ein paar Firewallregeln nötig.

Aber die Regeln, die du zeigst, wären auch nicht korrekt. Damit würdest du einen FTP-Server auf der OPNsense über den Proxy freigeben und dann doppelt gemoppelt.
simbea
simbea Oct 13, 2019 at 08:09:22 (UTC)
Goto Top
Zitat von @tikayevent:

Betreibst du von LAN zu LAN eine Adressübersetzung?
Nein, sicher nicht. Ich wüßte gar nicht, wie ich das auf der Opnsense einrichte.

Das heisst dann also, ich brauche hier keinen FTP-Proxy?
Da bräuchte ich also nur eine LAN Regel, die FTP und den Port 4559, Destination VLAN10 ( IP Adresse des FTP Servers) freigibt??
Woher weiß dann die Firewall, daß die über zufällige Ports zurückkommenden Antworten des FTP Servers ins LAN gelassen werden sollen?
aqui
aqui Oct 13, 2019 updated at 12:10:16 (UTC)
Goto Top
soll über ftp auf.... geht das über den Port 4559.
Das ist unmöglich ! Jedenfalls ist es unmöglich wenn FTP da im Spiel ist. Sollte man als Netzwerk Admin aber eigentlich auch wissen !
FTP benutzt fest die Ports TCP 20 und TCP 21 ! (Control Port und Daten Port)
Erstens ist es nicht möglich wegen des Port Dualismus FTP auf einen anderen Port zu zwingen, zweitens kann es niemals mit einem einzelnen Port arbeiten.
Es ist also Blödsinn das "FTP" dazu benutzt wird.
Was sein kann ist das die Applikation selber fest den Port TCP 4559 dazu benutzt. Oder UDP. Du warst ja leider nicht in der Lage anzugeben ob es UDP oder TCP ist. face-sad
Vermutlich hast du da was völlig missverstanden, denn dieser Port ist fest für Hylafax reserviert:
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Ganz sicher ist es also kein FTP !
Das solltest du also erstmal klären bevor du weitermachst...?!

Im Grunde ist die Firewall Regel ja kinderleicht, denn du bleibst ja im internen lokalen LAN und 2 dortigen IP Segmenten.
Am LAN Port sähe das dann so aus:
PASS Source: LAN-network, Port:any --> Destination: VLAN10_network, Port: TCP/UDP 4559
Am VLAN 10 Port dann entsprechend.
tikayevent
tikayevent Oct 13, 2019 at 15:22:29 (UTC)
Goto Top
@aqui: Das ist Qutsch, klar kann man FTP auf anderen Ports laufen lassen und die Sache mit TCP/20 ist auch schon lange nicht mehr gängig. TCP/20 wurde früher für aktives FTP genutzt, was aber nicht NAT-fähig ist. Seit zig Jahren ist passives FTP gängig und hier wird die Datenverbindung auf einem dynamischen Port vom Server erwartet, anstatt das der Server sich mit dem Client verbindet.

hylafax nutzt für die Übertragung einfach passives FTP.

Der Firewall ist die dynamische Portzuordnung egal, du musst einfach nur den Portbereich, der im Server für die dynamische Zuordnung konfiguriert ist, erlaufen.
aqui
aqui Oct 14, 2019 updated at 08:44:20 (UTC)
Goto Top
Trotzdem kannst du auch bei passive FTP nicht die Ports verändern. Passive ändert ja nur die Reihenfolge der Control und Data Port Nutzung. Bzw. das letzterer dann Random ist und dem Client über den Control Port mitgeteilt wird. Kein FTP Server bietet die Option diese Ports zu ändern. Du musst ja zwangsweise dann auch beide Ports auf nicht standardtisierte Ports ändern.
Dann hast du wieder die Clients bei denen das ebenso nicht oder nur schwer möglich ist, denn dort müssten ebenso beide Ports customized werden.
https://slacksite.com/other/ftp.html
Bedeutet das der Hylafax Server dann mindestens den Command Port TCP 21 und den Datenport dann TCP 4559 nutzt. Zweifelhaft....
Vermutlich wird er eher was SCP artiges machen mit einem monolithischen TCP 4559 Port.
So oder so wäre das aber für die Regeln auch komplett Wumpe, dann gibt man eben TCP 21 und TCP 4559 frei.
Oder man ist mal etwas inelligent und misst mit dem Wireshark mal genau WAS der Prozess denn wirklich nutzt und customized danach die Firewall...fertisch !
tikayevent
tikayevent Oct 14, 2019 updated at 12:49:17 (UTC)
Goto Top
Was du hier erzählst ...

IIS:
ftp1
Quick´n´Easy-FTP-Server:
ftp2

Im hylafax-Beispiel wäre 4559 der Control-Port und der Datenport wird dynamisch über den Controlchannel dem Client mitgeteilt, welcher dann die Datenverbindung zum Server über den mitgeteilten Port aufbaut.
aqui
aqui Oct 14, 2019 at 16:04:23 (UTC)
Goto Top
OK, überzeugt... face-wink