.titleBar { margin-bottom: 5px!important; }

vsftpd nicht von außen erreichbar - Portfreigabe?

Dieses Thema im Forum "Freetz" wurde erstellt von Dadof3, 15 Sep. 2008.

  1. Dadof3

    Dadof3 Neuer User

    Registriert seit:
    5 Dez. 2007
    Beiträge:
    42
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    nach Einrichten von vsftpd kann ich ihn zwar innerhalb meines Heimnetzes erreichen, aber vom Internet aus nicht darauf zugreifen.

    Klar, dachte ich, Portfreigabe. Aber die Fritz-Box erlaubt mir keine Portfreigabe auf die FritzBox selbst (192.168.178.1), sondern nur an andere Geräte des Netzes. vsftpd läuft aber auf der FritzBox.

    Wie kann ich jetzt meinen FTP-Server publik machen? Habe in Foren und den FAQ etc. nix dazu gefunden.
     
  2. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Dazu gibt es hier im Forum mehr als genug Themen. VirtualIP ist ein Stichwort, und "VirtualIP überflüssig" die anderen.
     
  3. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,318
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    man kann auch als kleines workaround den ftp dialog von avm missbrauchen....
    die sind nämlich so nett und schalten dir für vsftp den port 21 frei wenn du den avm ftp zwar entfernt aber trotzdem auf dem avm webif einschaltest und für das internet freigibst...das passwort das du da vergeben musst wird ja eh wieder von dir und deiner userverwaltung überschribeen, oder du nutzt es...
    viel spass beim testen
     
  4. Dadof3

    Dadof3 Neuer User

    Registriert seit:
    5 Dez. 2007
    Beiträge:
    42
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    [Gelöst]

    Hallo, weder VirtualIP, das ja offensichtlich nicht mehr funktioniert (oder doch), noch der workaround (den aich auch nicht so recht verstanden habe), haben die Lösung gebracht, aber ein Tipp von User ichego1:

    • Portfreigabe für irgendeine IP (z. B. 192.168.178.33) und Port 21 einrichten.
    • nvi /var/flash/ar7.cfg
    • Dort mit den bekannten vi-Mitteln die Zeilen "forwardrules = "tcp 0.0.0.0:21 192.168.178.33:21 0 # FTP-Server ändern in: "forwardrules = "tcp 0.0.0.0:21 0.0.0.0:21 0 # FTP-Server

    Man sollte mit dieser Änderung aber sehr sehr vorsichtig sein, da ein falsches Byte die FBox darniederlegen kann - und dann hilft nur noch ein Recover
     
  5. Xerro

    Xerro Neuer User

    Registriert seit:
    10 März 2008
    Beiträge:
    139
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich kann deine Zeile leider nirgends in der ar7.cfg finden. Vllt ist was neues rausgekommen, jedoch besteht das Problem weiterhin. :confused:
    Weiß nicht mehr weiter :(
     
  6. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Welche Zeile, denn?

    du musst zuerst ein forwarding auf irgendeine IP (z. B. 192.168.178.33) und Port 21 einrichten. Und dieses dann in der ar7.cfg verändern auf 0.0.0.0.


    Oder du nutzt das avm-firewall-paket.
     
  7. Xerro

    Xerro Neuer User

    Registriert seit:
    10 März 2008
    Beiträge:
    139
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das AVM-Firewall pake habe ich, doch was muss ich da einstellen?
    Quelle? Ziel? Protokoll? Servie/Port?
    Permit, Dency, Reject ? ( Was ist das überhaupt?)
     
  8. colonia27

    colonia27 Guest

    bei mir siehts so aus.... bei den andren sicher auch ;-)
     

    Anhänge:

    • ftp.JPG
      ftp.JPG
      Dateigröße:
      25.3 KB
      Aufrufe:
      164
  9. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    das von colonia27 sieht schonmal nciht schlecht aus ;)

    Das findest du wenn du oben auf Forwarding stellst.
     
  10. colonia27

    colonia27 Guest

    Danke, Danke, zuviel der Ehre ;-)

    und ums noch zu vereinfachen, eintragen solltest du es so wie auf diesem Bild.
    Dann Button "Hinzufügen" und das KLEINGEDRUCKTE am Ende der Seite beachten !!!
     

    Anhänge:

    • ftp.JPG
      ftp.JPG
      Dateigröße:
      57.2 KB
      Aufrufe:
      113
  11. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das ist mal ne Beschreibung und oben sieht man auch noch den Umschalter auf "Forwarding", alles was man so braucht!! :)

    Da kann ja nicht mehr viel schief gehen :)
     
  12. Xerro

    Xerro Neuer User

    Registriert seit:
    10 März 2008
    Beiträge:
    139
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke erstmal für eure, ziemlich genaue :) , Anleitung. Zwar bekomm ich jetzt eine Verbindung, jedoch bleibt es während der Verbindung hängen.

    Code:
    Sat Jan 24 19:31:10 2009 [pid 2167] FTP command: Client "77.185.252.146", "USER TestUser"
    Sat Jan 24 19:31:10 2009 [pid 2167] [TestUser] FTP response: Client "77.185.252.146", "331 Please specify the password."
    Sat Jan 24 19:31:10 2009 [pid 2167] [TestUser] FTP command: Client "77.185.252.146", "PASS <password>"
    Sat Jan 24 19:31:10 2009 [pid 2166] [TestUser] OK LOGIN: Client "77.185.252.146"
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "230 Login successful."
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "CWD /"
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "250 Directory successfully changed."
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "TYPE A"
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "200 Switching to ASCII mode."
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "PASV"
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP response: Client "77.185.252.146", "227 Entering Passive Mode (77,185,252,146,36,161)"
    Sat Jan 24 19:31:10 2009 [pid 2168] [TestUser] FTP command: Client "77.185.252.146", "LIST"
    Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP response: Client "77.185.252.146", "425 Failed to establish connection."
    Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP command: Client "77.185.252.146", "QUIT"
    Sat Jan 24 19:31:30 2009 [pid 2165] [TestUser] FTP response: Client "77.185.252.146", "221 Goodbye."
    
    Es ist, so glaub ich mal, nur eine Einstellungsfrage, doch wenn ich wüsste wo :cool:
    Gleich vorweg> Im moment benutzte ich kein SSL
     
  13. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Versuchst du das ganze von innen, oder außen?
     
  14. Xerro

    Xerro Neuer User

    Registriert seit:
    10 März 2008
    Beiträge:
    139
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Immer noch von außen.
    Von innen funktioniert einwandfrei. Solange es von außen nicht funkioniert, möchte ich auch noch nicht das SSL ausporobieren. Das kommt danach

    EDIT: Jetzt weiß ich es woran es liegt. Ich musste Passiv Mode auschalten. Aber wieso? Was macht passiv mode?
     
  15. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,613
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Beim passive Mode wird ein PASV-Befehl gesendet:
    Code:
    Antwort:	230-    __  _   __  __ ___ __
    Antwort:	230-   |__ |_) |__ |__  |   /
    Antwort:	230-   |   |\  |__ |__  |  /_
    Antwort:	230- 
    Antwort:	230-    The fun has just begun...
    Antwort:	230 User ftpuser logged in.
    Befehl:	SYST
    Antwort:	215 UNIX Type: L8 Version: Linux 2.6.13.1-ohio
    Befehl:	FEAT
    Antwort:	500 'FEAT': command not understood.
    Status:	Verbunden
    Status:	Empfange Verzeichnisinhalt...
    Befehl:	CWD /
    Antwort:	250 CWD command successful.
    Befehl:	PWD
    Antwort:	257 "/" is current directory.
    Befehl:	TYPE I
    Antwort:	200 Type set to I.
    Befehl:	[B][COLOR="Red"]PASV[/COLOR][/B]
    Antwort:	227 Entering Passive Mode (192,168,xxx,xxx,8,3)
    Befehl:	LIST
    Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA'.
    Antwort:	226 Transfer complete.
    Befehl:	[B][COLOR="#ff0000"]PASV[/COLOR][/B]
    Antwort:	227 Entering Passive Mode (192,168,xxx,xxx,8,4)
    Befehl:	LIST -a
    Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA -a'.
    Antwort:	226 Transfer complete.
    Status:	Anzeigen des Verzeichnisinhalts abgeschlossen
    Beim active Mode wird ein PORT-Befehl gesendet:
    Code:
    Antwort:	230-    __  _   __  __ ___ __
    Antwort:	230-   |__ |_) |__ |__  |   /
    Antwort:	230-   |   |\  |__ |__  |  /_
    Antwort:	230- 
    Antwort:	230-    The fun has just begun...
    Antwort:	230 User ftpuser logged in.
    Befehl:	SYST
    Antwort:	215 UNIX Type: L8 Version: Linux 2.6.13.1-ohio
    Befehl:	FEAT
    Antwort:	500 'FEAT': command not understood.
    Status:	Verbunden
    Status:	Empfange Verzeichnisinhalt...
    Befehl:	CWD /
    Antwort:	250 CWD command successful.
    Befehl:	PWD
    Antwort:	257 "/" is current directory.
    Befehl:	TYPE I
    Antwort:	200 Type set to I.
    Befehl:	[B][COLOR="#ff0000"]PORT[/COLOR][/B] 192,168,xxx,xxx,11,159
    Antwort:	200 PORT command sucessful.
    Befehl:	LIST
    Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA'.
    Antwort:	226 Transfer complete.
    Befehl:	[B][COLOR="#ff0000"]PORT[/COLOR][/B] 192,168,xxx,xxx,11,160
    Antwort:	200 PORT command sucessful.
    Befehl:	LIST -a
    Antwort:	150 Opening BINARY mode data connection for '/bin/ls -lgA -a'.
    Antwort:	226 Transfer complete.
    Status:	Anzeigen des Verzeichnisinhalts abgeschlossen
    File Transfer Protocol
     
  16. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das ist richtig, trotzdem sollte der Passive-Modus funktionieren.

    Du kannst mal versuchen die passiven-Ports im VSFTPD-Webif zu deklarieren (eine Range z.B. 18000 bis 18100) und diese dann expilzit zu forwarden, bzw freizugeben in der Firewall.
     
  17. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ich grabe das hier aus, um zu wissen, ob ich die Problematik mit VSFTP richtig verstanden habe. Es kann sein, dass es schon irgendwo durchgekaut wurde, dann leitet mich bitte weiter.

    Im vsftpd-WebIF gibt es eine Option:
    Code:
    aktuelle öffentliche IP als pasv_address eintragen
    
    Aktiviert man diese Option, so sind keine passiven Verbindungen aus dem Heimnetz mehr möglich. Auch keine unverschlüsselten. Andersrum braucht man diese Option, damit die FTP-SSL-Verbindung von Außen klappt.
    Die Lösung ist also diese Option zu aktivieren, aber im Heimnetz auf passive-Modus zu verzichten. Ist meine Vermutung richtig? Oder gibt es da andere Möglichkeiten?

    Weiterhin gibt es noch zwei Optionen
    Code:
    lokale Benutzer zwingen eine SSL-Verbindung für den Datenverkehr zu nutzen
    lokale Benutzer zwingen eine SSL-Verbindung für den Login zu nutzen
    
    Wenn sie nicht angeklickt sind, dann darf man auch unverschlüsselt eine Verbindung aufbauen. Die Frage ist: Wird die Verbindung dann trotzdem richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn der Klient das will?

    MfG
     
  18. cuma

    cuma Aktives Mitglied

    Registriert seit:
    16 Dez. 2006
    Beiträge:
    2,735
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Option "aktuelle öffentliche IP als pasv_address eintragen" ist hauptächlich für ftp über ssl gedacht, da in diesm Fall die nat nicht funktioniert. Unverschlüsselt sollte der Router es richtig maskieren. Funktioniert es wenn man ftp per avm-Webinterface freigibt?
     
  19. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,613
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Wenn ich diese Option aktiviere, geht bei mir im Heimnetz, der passive-Modus nicht.

    Ja, wenn der Client das will wird die Verbindung richtig ausgehandelt und auf Verschlüsselt umgestellt, wenn die Option "SSL aktivieren" aktiviert ist.
     
  20. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Genau, darauf wollte ich hinaus. Der geht generell nicht, auch nicht ohne SSL, weil da die Adresse von Draußen dem Klient mitgeteilt wird. Wenn du aber die Option deaktiviert stehen hast, dann kannst du von Draußen keine SSL-Verbindungen aufbauen. Oder sehe ich es falsch?
    Ich kriege übrigens überhaupt keine SSL-Verbindung zu meiner dyndns-Adresse. Er bleibt beim "LIST" stecken, obwohl die äußere Adresse korrekt mitgeteilt wurde. Es könnte aber daran liegen, dass ich so eine Art Loop baue, wenn ich zum Server von innen auf externe Adresse zugreife.

    MfG