vsftpd nicht von außen erreichbar - Portfreigabe?

Dadof3

Neuer User
Mitglied seit
5 Dez 2007
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Hallo,

nach Einrichten von vsftpd kann ich ihn zwar innerhalb meines Heimnetzes erreichen, aber vom Internet aus nicht darauf zugreifen.

Klar, dachte ich, Portfreigabe. Aber die Fritz-Box erlaubt mir keine Portfreigabe auf die FritzBox selbst (192.168.178.1), sondern nur an andere Geräte des Netzes. vsftpd läuft aber auf der FritzBox.

Wie kann ich jetzt meinen FTP-Server publik machen? Habe in Foren und den FAQ etc. nix dazu gefunden.
 

Silent-Tears

IPPF-Promi
Mitglied seit
3 Aug 2007
Beiträge
7,456
Punkte für Reaktionen
0
Punkte
0
Dazu gibt es hier im Forum mehr als genug Themen. VirtualIP ist ein Stichwort, und "VirtualIP überflüssig" die anderen.
 

Darkyputz

Aktives Mitglied
Mitglied seit
27 Jul 2005
Beiträge
2,321
Punkte für Reaktionen
0
Punkte
36
man kann auch als kleines workaround den ftp dialog von avm missbrauchen....
die sind nämlich so nett und schalten dir für vsftp den port 21 frei wenn du den avm ftp zwar entfernt aber trotzdem auf dem avm webif einschaltest und für das internet freigibst...das passwort das du da vergeben musst wird ja eh wieder von dir und deiner userverwaltung überschribeen, oder du nutzt es...
viel spass beim testen
 

Dadof3

Neuer User
Mitglied seit
5 Dez 2007
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
[Gelöst]

Hallo, weder VirtualIP, das ja offensichtlich nicht mehr funktioniert (oder doch), noch der workaround (den aich auch nicht so recht verstanden habe), haben die Lösung gebracht, aber ein Tipp von User ichego1:

  • Portfreigabe für irgendeine IP (z. B. 192.168.178.33) und Port 21 einrichten.
  • nvi /var/flash/ar7.cfg
  • Dort mit den bekannten vi-Mitteln die Zeilen "forwardrules = "tcp 0.0.0.0:21 192.168.178.33:21 0 # FTP-Server ändern in: "forwardrules = "tcp 0.0.0.0:21 0.0.0.0:21 0 # FTP-Server

Man sollte mit dieser Änderung aber sehr sehr vorsichtig sein, da ein falsches Byte die FBox darniederlegen kann - und dann hilft nur noch ein Recover
 

Xerro

Neuer User
Mitglied seit
10 Mrz 2008
Beiträge
139
Punkte für Reaktionen
0
Punkte
0
Ich kann deine Zeile leider nirgends in der ar7.cfg finden. Vllt ist was neues rausgekommen, jedoch besteht das Problem weiterhin. :confused:
Weiß nicht mehr weiter :(
 

matze1985

Aktives Mitglied
Mitglied seit
17 Feb 2007
Beiträge
1,537
Punkte für Reaktionen
0
Punkte
0
Welche Zeile, denn?

du musst zuerst ein forwarding auf irgendeine IP (z. B. 192.168.178.33) und Port 21 einrichten. Und dieses dann in der ar7.cfg verändern auf 0.0.0.0.


Oder du nutzt das avm-firewall-paket.
 

Xerro

Neuer User
Mitglied seit
10 Mrz 2008
Beiträge
139
Punkte für Reaktionen
0
Punkte
0
Das AVM-Firewall pake habe ich, doch was muss ich da einstellen?
Quelle? Ziel? Protokoll? Servie/Port?
Permit, Dency, Reject ? ( Was ist das überhaupt?)
 
C

colonia27

Guest
bei mir siehts so aus.... bei den andren sicher auch ;-)
 

Anhänge

matze1985

Aktives Mitglied
Mitglied seit
17 Feb 2007
Beiträge
1,537
Punkte für Reaktionen
0
Punkte
0
das von colonia27 sieht schonmal nciht schlecht aus ;)

Das findest du wenn du oben auf Forwarding stellst.
 
C

colonia27

Guest
Danke, Danke, zuviel der Ehre ;-)

und ums noch zu vereinfachen, eintragen solltest du es so wie auf diesem Bild.
Dann Button "Hinzufügen" und das KLEINGEDRUCKTE am Ende der Seite beachten !!!
 

Anhänge

matze1985

Aktives Mitglied
Mitglied seit
17 Feb 2007
Beiträge
1,537
Punkte für Reaktionen
0
Punkte
0
Das ist mal ne Beschreibung und oben sieht man auch noch den Umschalter auf "Forwarding", alles was man so braucht!! :)

Da kann ja nicht mehr viel schief gehen :)
 

Xerro

Neuer User
Mitglied seit
10 Mrz 2008
Beiträge
139
Punkte für Reaktionen
0
Punkte
0
Danke erstmal für eure, ziemlich genaue :) , Anleitung. Zwar bekomm ich jetzt eine Verbindung, jedoch bleibt es während der Verbindung hängen.

Code:
Sat Jan 24 19:31:10 2009 [pid 2167] FTP command: Client "77.185.252.146", "USER TestUser"
Sat Jan 24 19:31:10 2009 [pid 2167] [TestUser] FTP response: Client "77.185.252.146", "331 Please specify the password."
Sat Jan 24 19:31:10 2009 [pid 2167] [TestUser] FTP command: Client "77.185.252.146", "PASS <password>"
Sat Jan 24 19:31:10 2009 [pid 2166] [TestUser] OK LOGIN: Client "77.185.252.146"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "230 Login successful."
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "CWD /"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "250 Directory successfully changed."
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "TYPE A"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "200 Switching to ASCII mode."
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "PASV"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "227 Entering Passive Mode (77,185,252,146,36,161)"
Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "LIST"
Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP response: Client "77.185.252.146", "425 Failed to establish connection."
Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP command: Client "77.185.252.146", "QUIT"
Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP response: Client "77.185.252.146", "221 Goodbye."
Es ist, so glaub ich mal, nur eine Einstellungsfrage, doch wenn ich wüsste wo :cool:
Gleich vorweg> Im moment benutzte ich kein SSL
 

matze1985

Aktives Mitglied
Mitglied seit
17 Feb 2007
Beiträge
1,537
Punkte für Reaktionen
0
Punkte
0
Versuchst du das ganze von innen, oder außen?
 

Xerro

Neuer User
Mitglied seit
10 Mrz 2008
Beiträge
139
Punkte für Reaktionen
0
Punkte
0
Immer noch von außen.
Von innen funktioniert einwandfrei. Solange es von außen nicht funkioniert, möchte ich auch noch nicht das SSL ausporobieren. Das kommt danach

EDIT: Jetzt weiß ich es woran es liegt. Ich musste Passiv Mode auschalten. Aber wieso? Was macht passiv mode?
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,751
Punkte für Reaktionen
10
Punkte
38
Was macht passiv mode?
Beim passive Mode wird ein PASV-Befehl gesendet:
Code:
Antwort:	230-    __  _   __  __ ___ __
Antwort:	230-   |__ |_) |__ |__  |   /
Antwort:	230-   |   |\  |__ |__  |  /_
Antwort:	230- 
Antwort:	230-    The fun has just begun...
Antwort:	230 User ftpuser logged in.
Befehl:	SYST
Antwort:	215 UNIX Type: L8 Version: Linux 2.6.13.1-ohio
Befehl:	FEAT
Antwort:	500 'FEAT': command not understood.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	CWD /
Antwort:	250 CWD command successful.
Befehl:	PWD
Antwort:	257 "/" is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I.
Befehl:	[B][COLOR="Red"]PASV[/COLOR][/B]
Antwort:	227 Entering Passive Mode (192,168,xxx,xxx,8,3)
Befehl:	LIST
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA'.
Antwort:	226 Transfer complete.
Befehl:	[B][COLOR="#ff0000"]PASV[/COLOR][/B]
Antwort:	227 Entering Passive Mode (192,168,xxx,xxx,8,4)
Befehl:	LIST -a
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA -a'.
Antwort:	226 Transfer complete.
Status:	Anzeigen des Verzeichnisinhalts abgeschlossen
pfTop: Up State 1-3/3, View: default, Order: none, Cache: 10000 14:41:50

PR DIR SRC DEST STATE AGE EXP PKTS BYTES
tcp Out 192.168.xxx.xxx:57877 192.168.yyy.y:21 ESTABLISHED:ESTABLISHED 00:00:39 23:59:52 54 3627
tcp Out 192.168.xxx.xxx:51813 192.168.yyy.y:2053 FIN_WAIT_2:FIN_WAIT_2 00:00:38 00:00:52 9 612
tcp Out 192.168.xxx.xxx:53795 192.168.yyy.y:2054 FIN_WAIT_2:FIN_WAIT_2 00:00:38 00:00:52 9 670
Beim active Mode wird ein PORT-Befehl gesendet:
Code:
Antwort:	230-    __  _   __  __ ___ __
Antwort:	230-   |__ |_) |__ |__  |   /
Antwort:	230-   |   |\  |__ |__  |  /_
Antwort:	230- 
Antwort:	230-    The fun has just begun...
Antwort:	230 User ftpuser logged in.
Befehl:	SYST
Antwort:	215 UNIX Type: L8 Version: Linux 2.6.13.1-ohio
Befehl:	FEAT
Antwort:	500 'FEAT': command not understood.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	CWD /
Antwort:	250 CWD command successful.
Befehl:	PWD
Antwort:	257 "/" is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I.
Befehl:	[B][COLOR="#ff0000"]PORT[/COLOR][/B] 192,168,xxx,xxx,11,159
Antwort:	200 PORT command sucessful.
Befehl:	LIST
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA'.
Antwort:	226 Transfer complete.
Befehl:	[B][COLOR="#ff0000"]PORT[/COLOR][/B] 192,168,xxx,xxx,11,160
Antwort:	200 PORT command sucessful.
Befehl:	LIST -a
Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA -a'.
Antwort:	226 Transfer complete.
Status:	Anzeigen des Verzeichnisinhalts abgeschlossen
pfTop: Up State 1-3/3, View: default, Order: none, Cache: 10000 14:36:10

PR DIR SRC DEST STATE AGE EXP PKTS BYTES
tcp Out 192.168.xxx.xxx:60369 192.168.yyy.y:21 ESTABLISHED:ESTABLISHED 00:12:35 23:59:35 149 9851
tcp In 192.168.yyy.y:2101 192.168.xxx.xxx:2977 FIN_WAIT_2:FIN_WAIT_2 00:01:11 00:00:19 10 1087
tcp In 192.168.yyy.y:2102 192.168.xxx.xxx:2978 FIN_WAIT_2:FIN_WAIT_2 00:00:25 00:01:05 10 846
File Transfer Protocol
 

matze1985

Aktives Mitglied
Mitglied seit
17 Feb 2007
Beiträge
1,537
Punkte für Reaktionen
0
Punkte
0
Das ist richtig, trotzdem sollte der Passive-Modus funktionieren.

Du kannst mal versuchen die passiven-Ports im VSFTPD-Webif zu deklarieren (eine Range z.B. 18000 bis 18100) und diese dann expilzit zu forwarden, bzw freizugeben in der Firewall.
 

hermann72pb

IPPF-Promi
Mitglied seit
6 Nov 2005
Beiträge
3,618
Punkte für Reaktionen
2
Punkte
38
Ich grabe das hier aus, um zu wissen, ob ich die Problematik mit VSFTP richtig verstanden habe. Es kann sein, dass es schon irgendwo durchgekaut wurde, dann leitet mich bitte weiter.

Im vsftpd-WebIF gibt es eine Option:
Code:
aktuelle öffentliche IP als pasv_address eintragen
Aktiviert man diese Option, so sind keine passiven Verbindungen aus dem Heimnetz mehr möglich. Auch keine unverschlüsselten. Andersrum braucht man diese Option, damit die FTP-SSL-Verbindung von Außen klappt.
Die Lösung ist also diese Option zu aktivieren, aber im Heimnetz auf passive-Modus zu verzichten. Ist meine Vermutung richtig? Oder gibt es da andere Möglichkeiten?

Weiterhin gibt es noch zwei Optionen
Code:
lokale Benutzer zwingen eine SSL-Verbindung für den Datenverkehr zu nutzen
lokale Benutzer zwingen eine SSL-Verbindung für den Login zu nutzen
Wenn sie nicht angeklickt sind, dann darf man auch unverschlüsselt eine Verbindung aufbauen. Die Frage ist: Wird die Verbindung dann trotzdem richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn der Klient das will?

MfG
 

cuma

Aktives Mitglied
Mitglied seit
16 Dez 2006
Beiträge
2,756
Punkte für Reaktionen
6
Punkte
38
Die Option "aktuelle öffentliche IP als pasv_address eintragen" ist hauptächlich für ftp über ssl gedacht, da in diesm Fall die nat nicht funktioniert. Unverschlüsselt sollte der Router es richtig maskieren. Funktioniert es wenn man ftp per avm-Webinterface freigibt?
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,751
Punkte für Reaktionen
10
Punkte
38
Die Lösung ist also diese Option zu aktivieren, aber im Heimnetz auf passive-Modus zu verzichten. Ist meine Vermutung richtig? Oder gibt es da andere Möglichkeiten?
Wenn ich diese Option aktiviere, geht bei mir im Heimnetz, der passive-Modus nicht.

Die Frage ist: Wird die Verbindung dann trotzdem richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn der Klient das will?
Ja, wenn der Client das will wird die Verbindung richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn die Option "SSL aktivieren" aktiviert ist.
 

hermann72pb

IPPF-Promi
Mitglied seit
6 Nov 2005
Beiträge
3,618
Punkte für Reaktionen
2
Punkte
38
Wenn ich diese Option aktiviere, geht bei mir im Heimnetz, der passive-Modus nicht.
Genau, darauf wollte ich hinaus. Der geht generell nicht, auch nicht ohne SSL, weil da die Adresse von Draußen dem Klient mitgeteilt wird. Wenn du aber die Option deaktiviert stehen hast, dann kannst du von Draußen keine SSL-Verbindungen aufbauen. Oder sehe ich es falsch?
Ich kriege übrigens überhaupt keine SSL-Verbindung zu meiner dyndns-Adresse. Er bleibt beim "LIST" stecken, obwohl die äußere Adresse korrekt mitgeteilt wurde. Es könnte aber daran liegen, dass ich so eine Art Loop baue, wenn ich zum Server von innen auf externe Adresse zugreife.

MfG
 

Zurzeit aktive Besucher

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,831
Beiträge
2,027,214
Mitglieder
350,920
Neuestes Mitglied
askmeforit79