jochem
Goto Top

Zugriff auf zweiten FTP-Server im Netz

Moin zusammen,
gegeben ist folgende Konfiguration:
Internet All-Ip - Speedport W724V - IPCop-Firewall - drei Netze (intern, DMZ, WLAN).

In der DMZ läuft bereits ein FTP-Server (passiv) über die Standardports 20 und 21, sowie Datenport 55535-55635. Die Portfreigaben werden über den Speedport an den IPCop 1:1 weitergeleitet und dort auf den Server verteilt.

Nun soll ein zweiter FTP-Server (passiv) in die DMZ, diesmal über die Ports 4020 und 4021 sowie 55335- 55435 als Datenports. Auch hier sind die Portfreigaben vom Speedport wieder auf den IPCop 1:1 weitergeleitet und werden dort entsprechend an den zweiten FTP-Server verteilt.

Die FTP-Server laufen jeweils auf einem QNAP-NAS, jedes mit einer separaten Adresse. Konfiguration von Server 2 wurde von Server 1 übernommen und entsprechend angepaßt. Von daher müßte eigentlich alles passen.

Beide Server sind innerhalb der DMZ von intern erreichbar. Von außen jedoch nur Server 1, also der, welcher über die Standardports angesprochen wird. Mit Server 2 wird eine Verbindung aufgebaut (im Log sehe ich, daß die Anmeldung mit den richtigen Parametern erfolgt) aber nach der Anforderung des Passwortes für den Benutzer tut sich nichts mehr und die Verbindung wird mit "Zeitüberschreitung" abgebrochen.

Im Log der Firewall sehe ich, dass zum Zeitpunkt der Verbindungsaufnahme von extern zunächst eine Verbindung zu Port 53 mit "Drop" beantwortet wird, danach erfogt ein "Accept" zwischen Server2 und dem IPCop. Ansonsten sind keine weiteren Aktivitäten mit dem Server zu verzeichnen.

Soweit meine bisherigen Erkenntnisse.

Wo kann ich noch nachsehen, was da im Einzelnen passiert und warum keine Verbindung aufgebaut werden kann?

Gruß J face-smile chem

Content-ID: 291447

Url: https://administrator.de/contentid/291447

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

StefanKittel
StefanKittel 21.12.2015 um 09:11:59 Uhr
Goto Top
Moin,

da die Control-Verbindung zustande kommt liegt es vermutlich an:
1) Der FTP Server meldet die falsche IP nach draussen, so dass der Client keine Datenverbindung aufbauen kann
oder
2) es stimmt was nicht mit den gemeldeteten Ports

Ich gehe mal davon aus, dass die Firewall richtig konfiguriert sind.

Einfach mal mit einem FTP-Programm von extern verbinden und dort ins Log schauen.

Stefan
Jochem
Jochem 21.12.2015 aktualisiert um 09:46:23 Uhr
Goto Top
Moin Stefan,

ich sitz hier gerade im Büro und habe mal versucht, von hier "nach Hause" zu kommen.

Verbindung mit Server 1 ohne Probleme.

Verbindung mit Server 2 bleibt nach dem Passwort hängen und läuft in Timeout:

Verbindunsgsprotokoll Server 2
2015-12-21 09:18:22 5312 1 Status: Benutze Proxy ftp-proxy.xxxx.de
2015-12-21 09:18:22 5312 1 Status: Auflösen der IP-Adresse für ftp-proxy.xxxx.de
2015-12-21 09:18:22 5312 1 Status: Verbinde mit 10.xxx.xxx.60:21...
2015-12-21 09:18:22 5312 1 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
2015-12-21 09:18:22 5312 1 Antwort: 220 McAfee Web Gateway 7.5.2.3.0 - build: 20202
2015-12-21 09:18:22 5312 1 Befehl: AUTH TLS
2015-12-21 09:18:22 5312 1 Antwort: 500 Cannot understand 'AUTH TLS'  
2015-12-21 09:18:22 5312 1 Befehl: AUTH SSL
2015-12-21 09:18:22 5312 1 Antwort: 500 Cannot understand 'AUTH SSL'  
2015-12-21 09:18:22 5312 1 Status: Unsicherer Server; er unterstützt kein FTP über TLS.
2015-12-21 09:18:22 5312 1 Befehl: USER admin@mydomain.no-ip.biz:4021
2015-12-21 09:18:22 5312 1 Antwort: 331 User name okay, need password.
2015-12-21 09:18:22 5312 1 Befehl: PASS ********
2015-12-21 09:19:22 5312 1 Fehler: Zeitüberschreitung der Verbindung nach 60 Sekunden Inaktivität
2015-12-21 09:19:22 5312 1 Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
2015-12-21 09:19:22 5312 1 Status: Nächsten Versuch abwarten...

Verbindunsgsprotokoll Server 1
2015-12-21 09:21:07 6008 1 Status: Benutze Proxy ftp-proxy.xxxx.de
2015-12-21 09:21:07 6008 1 Status: Auflösen der IP-Adresse für ftp-proxy.xxxx.de
2015-12-21 09:21:07 6008 1 Status: Verbinde mit 10.xxx.xxx.60:21...
2015-12-21 09:21:08 6008 1 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
2015-12-21 09:21:08 6008 1 Antwort: 220 McAfee Web Gateway 7.5.2.3.0 - build: 20202
2015-12-21 09:21:08 6008 1 Befehl: AUTH TLS
2015-12-21 09:21:08 6008 1 Antwort: 500 Cannot understand 'AUTH TLS'  
2015-12-21 09:21:08 6008 1 Befehl: AUTH SSL
2015-12-21 09:21:08 6008 1 Antwort: 500 Cannot understand 'AUTH SSL'  
2015-12-21 09:21:08 6008 1 Status: Unsicherer Server; er unterstützt kein FTP über TLS.
2015-12-21 09:21:08 6008 1 Befehl: USER admin@mydomain.no-ip.biz
2015-12-21 09:21:08 6008 1 Antwort: 331 User name okay, need password.
2015-12-21 09:21:08 6008 1 Befehl: PASS ********
2015-12-21 09:21:10 6008 1 Antwort: 230 User admin logged in


Das Problem mit "AUTH TLS" liegt wohl an der Firewall unseres RZ (Macaffee Web-Gateway), hat also nichts mit der Serververbindung ansich zu tun.

Sonst noch Vorschläge?

Gruß J face-smile chem