vsftpd nicht von außen erreichbar - Portfreigabe?

[Dadof3]

Hallo,

nach Einrichten von vsftpd kann ich ihn zwar innerhalb meines Heimnetzes erreichen, aber vom Internet aus nicht darauf zugreifen.

Klar, dachte ich, Portfreigabe. Aber die Fritz-Box erlaubt mir keine Portfreigabe auf die FritzBox selbst (192.168.178.1), sondern nur an andere Geräte des Netzes. vsftpd läuft aber auf der FritzBox.

Wie kann ich jetzt meinen FTP-Server publik machen? Habe in Foren und den FAQ etc. nix dazu gefunden.

 

[Silent-Tears]

Dazu gibt es hier im Forum mehr als genug Themen. VirtualIP ist ein Stichwort, und "VirtualIP überflüssig" die anderen.

 

[Darkyputz]

man kann auch als kleines workaround den ftp dialog von avm missbrauchen....
die sind nämlich so nett und schalten dir für vsftp den port 21 frei wenn du den avm ftp zwar entfernt aber trotzdem auf dem avm webif einschaltest und für das internet freigibst...das passwort das du da vergeben musst wird ja eh wieder von dir und deiner userverwaltung überschribeen, oder du nutzt es...
viel spass beim testen

 

[Dadof3]

[Gelöst]

Hallo, weder VirtualIP, das ja offensichtlich nicht mehr funktioniert (oder doch), noch der workaround (den aich auch nicht so recht verstanden habe), haben die Lösung gebracht, aber ein Tipp von User ichego1:

• Portfreigabe für irgendeine IP (z. B. 192.168.178.33) und Port 21 einrichten.
• nvi /var/flash/ar7.cfg
• Dort mit den bekannten vi-Mitteln die Zeilen "forwardrules = "tcp 0.0.0.0:21 192.168.178.33:21 0 # FTP-Server ändern in: "forwardrules = "tcp 0.0.0.0:21 0.0.0.0:21 0 # FTP-Server

Man sollte mit dieser Änderung aber sehr sehr vorsichtig sein, da ein falsches Byte die FBox darniederlegen kann - und dann hilft nur noch ein Recover

 

[Xerro]

Ich kann deine Zeile leider nirgends in der ar7.cfg finden. Vllt ist was neues rausgekommen, jedoch besteht das Problem weiterhin.
Weiß nicht mehr weiter

 

[matze1985]

Welche Zeile, denn?

du musst zuerst ein forwarding auf irgendeine IP (z. B. 192.168.178.33) und Port 21 einrichten. Und dieses dann in der ar7.cfg verändern auf 0.0.0.0.


Oder du nutzt das avm-firewall-paket.

 

[Xerro]

Das AVM-Firewall pake habe ich, doch was muss ich da einstellen?
Quelle? Ziel? Protokoll? Servie/Port?
Permit, Dency, Reject ? ( Was ist das überhaupt?)

 

[colonia27]

bei mir siehts so aus.... bei den andren sicher auch ;-)

 

[matze1985]

das von colonia27 sieht schonmal nciht schlecht aus

Das findest du wenn du oben auf Forwarding stellst.

 

[colonia27]

Danke, Danke, zuviel der Ehre ;-)

und ums noch zu vereinfachen, eintragen solltest du es so wie auf diesem Bild.
Dann Button "Hinzufügen" und das KLEINGEDRUCKTE am Ende der Seite beachten !!!

 

[matze1985]

Das ist mal ne Beschreibung und oben sieht man auch noch den Umschalter auf "Forwarding", alles was man so braucht!!

Da kann ja nicht mehr viel schief gehen

 

[Xerro]

Danke erstmal für eure, ziemlich genaue , Anleitung. Zwar bekomm ich jetzt eine Verbindung, jedoch bleibt es während der Verbindung hängen.

Sat Jan 24 19:31:10 2009 [pid 2167] FTP command: Client "77.185.252.146", "USER TestUser"
Sat Jan 24 19:31:10 2009 [pid 2167] [TestUser] FTP response: Client "77.185.252.146", "331 Please specify the password."
Sat Jan 24 19:31:10 2009 [pid 2167] [TestUser] FTP command: Client "77.185.252.146", "PASS <password>"
Sat Jan 24 19:31:10 2009 [pid 2166] [TestUser] OK LOGIN: Client "77.185.252.146"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "230 Login successful."
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "CWD /"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "250 Directory successfully changed."
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "TYPE A"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "200 Switching to ASCII mode."
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "PASV"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "227 Entering Passive Mode (77,185,252,146,36,161)"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "LIST"
Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP response: Client "77.185.252.146", "425 Failed to establish connection."
Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP command: Client "77.185.252.146", "QUIT"
Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP response: Client "77.185.252.146", "221 Goodbye."

Es ist, so glaub ich mal, nur eine Einstellungsfrage, doch wenn ich wüsste wo
Gleich vorweg> Im moment benutzte ich kein SSL

 

[matze1985]

Versuchst du das ganze von innen, oder außen?

 

[Xerro]

Immer noch von außen.
Von innen funktioniert einwandfrei. Solange es von außen nicht funkioniert, möchte ich auch noch nicht das SSL ausporobieren. Das kommt danach

EDIT: Jetzt weiß ich es woran es liegt. Ich musste Passiv Mode auschalten. Aber wieso? Was macht passiv mode?

 

[sf3978]

Was macht passiv mode?

Beim passive Mode wird ein PASV-Befehl gesendet:

Antwort:	230-    __  _   __  __ ___ __
Antwort:	230-   |__ |_) |__ |__  |   /
Antwort:	230-   |   |\  |__ |__  |  /_
Antwort:	230- 
Antwort:	230-    The fun has just begun...
Antwort:	230 User ftpuser logged in.
Befehl:	SYST
Antwort:	215 UNIX Type: L8 Version: Linux 2.6.13.1-ohio
Befehl:	FEAT
Antwort:	500 'FEAT': command not understood.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	CWD /
Antwort:	250 CWD command successful.
Befehl:	PWD
Antwort:	257 "/" is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I.
Befehl:	[B][COLOR="Red"]PASV[/COLOR][/B]
Antwort:	227 Entering Passive Mode (192,168,xxx,xxx,8,3)
Befehl:	LIST
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA'.
Antwort:	226 Transfer complete.
Befehl:	[B][COLOR="#ff0000"]PASV[/COLOR][/B]
Antwort:	227 Entering Passive Mode (192,168,xxx,xxx,8,4)
Befehl:	LIST -a
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA -a'.
Antwort:	226 Transfer complete.
Status:	Anzeigen des Verzeichnisinhalts abgeschlossen

pfTop: Up State 1-3/3, View: default, Order: none, Cache: 10000 14:41:50

PR DIR SRC DEST STATE AGE EXP PKTS BYTES
tcp Out 192.168.xxx.xxx:57877 192.168.yyy.y:21 ESTABLISHED:ESTABLISHED 00:00:39 23:59:52 54 3627
tcp Out 192.168.xxx.xxx:51813 192.168.yyy.y:2053 FIN_WAIT_2:FIN_WAIT_2 00:00:38 00:00:52 9 612
tcp Out 192.168.xxx.xxx:53795 192.168.yyy.y:2054 FIN_WAIT_2:FIN_WAIT_2 00:00:38 00:00:52 9 670

Beim active Mode wird ein PORT-Befehl gesendet:

Antwort:	230-    __  _   __  __ ___ __
Antwort:	230-   |__ |_) |__ |__  |   /
Antwort:	230-   |   |\  |__ |__  |  /_
Antwort:	230- 
Antwort:	230-    The fun has just begun...
Antwort:	230 User ftpuser logged in.
Befehl:	SYST
Antwort:	215 UNIX Type: L8 Version: Linux 2.6.13.1-ohio
Befehl:	FEAT
Antwort:	500 'FEAT': command not understood.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	CWD /
Antwort:	250 CWD command successful.
Befehl:	PWD
Antwort:	257 "/" is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I.
Befehl:	[B][COLOR="#ff0000"]PORT[/COLOR][/B] 192,168,xxx,xxx,11,159
Antwort:	200 PORT command sucessful.
Befehl:	LIST
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA'.
Antwort:	226 Transfer complete.
Befehl:	[B][COLOR="#ff0000"]PORT[/COLOR][/B] 192,168,xxx,xxx,11,160
Antwort:	200 PORT command sucessful.
Befehl:	LIST -a
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA -a'.
Antwort:	226 Transfer complete.
Status:	Anzeigen des Verzeichnisinhalts abgeschlossen

pfTop: Up State 1-3/3, View: default, Order: none, Cache: 10000 14:36:10

PR DIR SRC DEST STATE AGE EXP PKTS BYTES
tcp Out 192.168.xxx.xxx:60369 192.168.yyy.y:21 ESTABLISHED:ESTABLISHED 00:12:35 23:59:35 149 9851
tcp In 192.168.yyy.y:2101 192.168.xxx.xxx:2977 FIN_WAIT_2:FIN_WAIT_2 00:01:11 00:00:19 10 1087
tcp In 192.168.yyy.y:2102 192.168.xxx.xxx:2978 FIN_WAIT_2:FIN_WAIT_2 00:00:25 00:01:05 10 846

File Transfer Protocol

 

[matze1985]

Das ist richtig, trotzdem sollte der Passive-Modus funktionieren.

Du kannst mal versuchen die passiven-Ports im VSFTPD-Webif zu deklarieren (eine Range z.B. 18000 bis 18100) und diese dann expilzit zu forwarden, bzw freizugeben in der Firewall.

 

[hermann72pb]

Ich grabe das hier aus, um zu wissen, ob ich die Problematik mit VSFTP richtig verstanden habe. Es kann sein, dass es schon irgendwo durchgekaut wurde, dann leitet mich bitte weiter.

Im vsftpd-WebIF gibt es eine Option:

aktuelle öffentliche IP als pasv_address eintragen

Aktiviert man diese Option, so sind keine passiven Verbindungen aus dem Heimnetz mehr möglich. Auch keine unverschlüsselten. Andersrum braucht man diese Option, damit die FTP-SSL-Verbindung von Außen klappt.
Die Lösung ist also diese Option zu aktivieren, aber im Heimnetz auf passive-Modus zu verzichten. Ist meine Vermutung richtig? Oder gibt es da andere Möglichkeiten?

Weiterhin gibt es noch zwei Optionen

lokale Benutzer zwingen eine SSL-Verbindung für den Datenverkehr zu nutzen
lokale Benutzer zwingen eine SSL-Verbindung für den Login zu nutzen

Wenn sie nicht angeklickt sind, dann darf man auch unverschlüsselt eine Verbindung aufbauen. Die Frage ist: Wird die Verbindung dann trotzdem richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn der Klient das will?

MfG

 

[cuma]

Die Option "aktuelle öffentliche IP als pasv_address eintragen" ist hauptächlich für ftp über ssl gedacht, da in diesm Fall die nat nicht funktioniert. Unverschlüsselt sollte der Router es richtig maskieren. Funktioniert es wenn man ftp per avm-Webinterface freigibt?

 

[sf3978]

Die Lösung ist also diese Option zu aktivieren, aber im Heimnetz auf passive-Modus zu verzichten. Ist meine Vermutung richtig? Oder gibt es da andere Möglichkeiten?

Wenn ich diese Option aktiviere, geht bei mir im Heimnetz, der passive-Modus nicht.

Die Frage ist: Wird die Verbindung dann trotzdem richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn der Klient das will?

Ja, wenn der Client das will wird die Verbindung richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn die Option "SSL aktivieren" aktiviert ist.

 

[hermann72pb]

Wenn ich diese Option aktiviere, geht bei mir im Heimnetz, der passive-Modus nicht.

Genau, darauf wollte ich hinaus. Der geht generell nicht, auch nicht ohne SSL, weil da die Adresse von Draußen dem Klient mitgeteilt wird. Wenn du aber die Option deaktiviert stehen hast, dann kannst du von Draußen keine SSL-Verbindungen aufbauen. Oder sehe ich es falsch?
Ich kriege übrigens überhaupt keine SSL-Verbindung zu meiner dyndns-Adresse. Er bleibt beim "LIST" stecken, obwohl die äußere Adresse korrekt mitgeteilt wurde. Es könnte aber daran liegen, dass ich so eine Art Loop baue, wenn ich zum Server von innen auf externe Adresse zugreife.

MfG