Hallo Zusammen,
ich habe das Problem das ich hinter der OPNsense nicht auf externe FTP Server zugreifen kann.
Gibt es eine Möglichkeit ohne das FTP-Proxy Plugin?
Danke
Passive Mode einschalten. Muss man hinter jedem NAT-Gateway.
Ja Passiv Mode ist ein.
(https://i.ibb.co/xjpyZGy/ksnip-20210216-090320.png)
Hatte bei mir auch das Problem und konnte es ohne das FTP-Proxy Plugin nicht lösen.
Seit dem ich das FTP-Proxy Plugin verwende klappt es ohne Probleme.
Was spricht gegen die Verwendung des FTP-Proxy Plugin?
Gruß Chris
Quote from: lapidu on February 16, 2021, 09:04:59 AM
Ja Passiv Mode ist ein.
Und Du hast auf dem LAN alle Ports erlaubt, nicht nur FTP?
Funktioniert sonst nämlich nicht. FTP benutzt eine Control Connection und macht parallel für jede Datenübertragung eine eigene Data Connection auf zufällig ausgewürfelten Ports auf.
D.h. wenn man vom LAN aus nicht generell alles erlaubt, ist FTP einfach ein Sch...protokoll.
Wie der Proxy funktioniert, weiß ich nicht, den hab ich noch nicht getestet. Hier zuhause ist ausgehend alles erlaubt.
Quote from: pmhausen on February 16, 2021, 11:01:21 AM
... ist FTP einfach ein Sch...protokoll.
Die 90er haben angerufen. Sie wollen ihr Dateiübertragungsverfahren zurück. Im Ernst. 2021 noch FTP? Unverschlüsselt? FTPS ist ja nun auch nur eine Krücke. SFTP dann schon eher.
Man kann am Server immerhin die Passive Port Range einschränken und dann nur diese ausgehend zulassen. Bringt einem bei unbekannten FTP Servern natürlich nix.
den kommentar wollte ich ähnlich schon die letzten tage bringen (wir bauen unseren transfer server gerade deshalb um, alles auf sftp.)
Ich würde auch gerne auf das FTP Protokoll verzichten.
Leider hat mein Kunde ein Programm das seine Updates über einen unverschlüsselten FTP-Server abruft.
Ich habe jetzt den FTP-Proxy installiert und wie folgt eingerichtet.
(https://i.ibb.co/BLXxpmm/ksnip-20210217-155724.png)
Habe dann folgende Port Forwarding Regel erstellt.
(https://i.ibb.co/t33Nnmh/ksnip-20210217-160128.png)
Unter Firewall - Rules - LAN wurde dann automatisch folgende Regel angelegt
(https://i.ibb.co/KVLb47J/ksnip-20210217-160330.png)
Leider kann ich mich danach immer noch nicht mit einem externen FTP-Server verbinden.
(https://i.ibb.co/Fw23rJq/ksnip-20210217-160447.png)
Habe ich was übersehen? Jemand eine Idee?
Danke schonmal für eure Hilfe
Bin ich der Einzige den es irritiert dass die Verbindung BESTEHT? Ich meine, OK ich kenne den Client nicht, aber im Status steht doch fett und deutlich, dass man sich mit der IP verbunden hat, man FTP NICHT NUTZEN soll und statt dessen FTP via TLS? Oder kommt das vom Client und der verschluckt die ganzen Serverantworten?
Oh und wenn wir das gefixt bekommen - anderes Thema - @lapidu: Als Dienstleister sehe ich es als meine Pflicht an auch den Kunden mal mit dem Kopf auf den Tisch zu hauen und klar zu machen, dass das was er da hat eben Murks ist und ggf. gegen diverse Compliance Richtlinien verstößt und im doofen Fall die halbe Welt mitlesen kann. Je nachdem WAS es genau ist, was da per FTP geholt/geschoben wird, geht das dann plötzlich GANZ schnell anders. :)
Also ich hab mich eben testweise mit dem FTP Server speedtest.tele2.net verbunden. Da kommt zwar ne Warnung aber ich komme rein. Hinter eine OPNsense 21.1.1. Habe eigentlich nichts spezielles aktiviert, damit das geht.
Benutzt habe ich Filezilla unter Windows 10
@JeGr
Danke für deine Antwort. Als Client benutze ich Filezilla. Habe es aber auch mit WinSCP probiert.
Ich weiß selber das es ein Sicherheitsproblem ist FTP ohne Verschlüsselung zu verwenden. Aber der Anbieter der Software will das so haben und der lässt sich auch nicht mit sich reden.
Mein Kunde hatte vorher eine Sonicwall und da gab es die Probleme nicht. ( Die wurde ausgetauscht weil sie von der Performance her schlecht war)
@Gauss23
Auch dir danke für deine Antwort. Schon sehr merkwürdig wieso es bei dir ohne Probleme geht.
Siehst du denn im Firewall unter Logfiles in der Live View irgendwelche geblockten Pakete?
Leider nein.
hmm,
geht bei mir auch ohne FTP-Proxy hinter einer OPNsense ohne Probleme.
Da ist irgendwas anderes faul.
Das sehe ich im LOG
(https://i.ibb.co/84mFTmL/Unbenannt.png)
Hast du auf dem Wan oder Lan Firewall Regeln definiert die den ausgehenden verkehr blockieren?
Läuft Dein FTPClient wirklich im passive Mode?
Läuft auf der OPNsense suricata oder sensei?
Hab das gerade nur auf dem Smartphone. Sieht aber aus als käme der da mit dem MultiWAN durcheinander, oder? Das ist ja wild gemixt.
Ja das ist mir auch schon aufgefallen.
Wo kann ich den das einstellen das er nur über die Vodafone Leitung raus geht. Normales surfen geht generell über Vodafone raus.
Du musst den Leitungen unterschiedliche Prioritäten geben in System Gateways Single. Vermutlich sind beide gerade gleich wichtig und es läuft als loadbalancing über beide. Nur eine Vermutung
Die waren beide auf 255. Habe sie jetzt so eingestellt.
(https://i.ibb.co/vYw9g2x/Unbenannt2.png)
Leider funktioniert das auch nicht und im Log ist noch der 2te GW zu sehen
(https://i.ibb.co/d2KyvV3/Unbenannt3.png)
Hast du in irgendwelchen Firewallregeln den Telekom Gateway drin? Kannst du den testweise mal deaktivieren?
Ich habe jetzt folgende Regel hinzugefügt.
(https://i.ibb.co/C6KMq62/2334567.jpg)
Jetzt klappt die Verbindung
Danke an alle für die Hilfe!
Das freut mich. Dennoch würde ich Dir raten das Multi-WAN Setup mal zu überprüfen. Eigentlich sollten da nicht kreuz und quer nach gusto Pakete auf unterschiedliche Gateways verteilt werden.
Dein Bild ist sehr klein geworden. Ich vermute Du hast für Port 21 den Vodafone Gateway festgelegt. Wäre aber eigentlich nicht nötig, wenn klar ist, welches Gateway als Default zu nehmen ist. Dann hat man auch eine schöne Fallback Lösung. In Deinem Fall wäre nun keine Kommunikation per FTP möglich, wenn Vodafone down ist.
Ordentliches Gateway-Monitoring einrichten, die Prios richtig einstellen: Haupt-Leitung bekommt bei mir immer eine Prio <=10. Zweiter Gateway 11-20 etc.