Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: interbilk on May 16, 2024, 02:40:49 PM

Title: ProFTP refused
Post by: interbilk on May 16, 2024, 02:40:49 PM
Hallo,
ich habe die Opensense auf einem Proxmox laufen. Die anderen VMS werden hier nach der OPNSense geschaltet mit internen IPS. Das heisst alles muss durch die OPNSense, bevor es auf die VM geht.
Jetzt kann ich den einen Server nciht mehr erreichen per PROFtp
Vor der OPNSense ging noch alles.
Der Log sagt folgendes:
Refused PORT 192,168,1,24,194,126 (address mismatch)

Title: Re: ProFTP refused
Post by: Monviech (Cedrik) on May 16, 2024, 02:57:46 PM
FTP hinter NAT ist immer etwas schwierig. Hier steht vieles erklärt:

http://www.proftpd.org/docs/howto/NAT.html
Title: Re: ProFTP refused
Post by: interbilk on May 16, 2024, 08:08:04 PM
Hi, habe die Anleitung mal angefangen.. Aber da kommt schon das erste Problem

insmod ip_masq_autofw $ ipmasqadm autofw -A -r tcp 20 21 -h 192.168.1.2


Hier sagt er :  insmod: invalid option -- 'r'

Title: Re: ProFTP refused
Post by: Patrick M. Hausen on May 16, 2024, 08:15:35 PM
Du kannst die Linux-Befehle nicht verbatim verwenden. OPNsense ist kein Linux.
Der Artikel sollte erst mal als Grundlage für dein Verständnis dienen.

Damit FTP über NAT funktioniert, brauchst du je nach Position des NAT-Gerätes den Active oder den Passive Mode.

Ist der Client hinter NAT - Passive Mode. Ist der Server hinter NAT - Active Mode.

Sind beide hinter NAT - tough shit.

In dem Fall gibt es in der OPNsense ein FTP-Proxy-Plugin (os-ftp-proxy) Damit sollte es dann wieder funktionieren.

Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 07:50:51 AM
Ja, es sind beide hinter NAT
Habe folgende Struktur:

Proxmox Server bei Hetzner (bridged Modus): ---> OPNSense. ---> Guest System with Proftp

Habe nach FTP-Proxy-Plugin (os-ftp-proxy) gegoogled. Doch wo finde ich das Plugin denn zum Download ?
Ich stehe echt auf dem Schlauch .. Sorry  >:(

Viele Grüße
Thorsten
Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 08:23:32 AM
Wer kann mir das gegen einen kleinen Obolus einrichten?
Würde mich über ein Angebot freuen.
Gerne dann per Teams, TeamViewer...


Viele Grüße
Thorsten
Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 08:25:18 AM
Was mich nur wundert.
Ich habe auch einen Gast hinter OPNSense --> PLESK Wenn ich da ein FTP einrichte, dann geht das
Title: Re: ProFTP refused
Post by: Monviech (Cedrik) on May 18, 2024, 09:44:14 AM
Ja, bei Plesk funktioniert es weil es den ProFTP Server im Passive Mode und mit MasqueradeAddress konfiguriert. Schau dir dort einfach die proftp.conf konfigurationsdatei an.
Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 09:54:51 AM
Habe jetzt mal FileZilla auf meinem Rechner installiert
explizit TLS ausgewählt und passiv....
Es ist dann auch verbunden...
Aber bleibt dann hängen:
*********
Status:         Verbindung hergestellt, warte auf Willkommensnachricht...
Status:         Initialisiere TLS...
Status:         TLS-Verbindung hergestellt.
Status:         Angemeldet
Status:         Empfange Verzeichnisinhalt...
***********

Auf dem Server log sieht das so aus

**********************
added 1 certs from '/etc/ssl//ssl_intermediate.pem' to certificate chain
TLS/TLS-C requested, starting TLS handshake
TLSv1.3 renegotiation accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
TLSv1.3 renegotiation accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
Protection set to Private
**********************

In der proftpd.conf habe ich bei  MasqueradeAddress die Domain eingegeben über die ich den Client öffentlich erreiche.
Also die ftp Adresse



Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 09:57:07 AM
PassivePorts                  49152 65535
MasqueradeAddress.      ftpDomain
Title: Re: ProFTP refused
Post by: Patrick M. Hausen on May 18, 2024, 10:08:58 AM
Quote from: interbilk on May 18, 2024, 07:50:51 AM
Habe nach FTP-Proxy-Plugin (os-ftp-proxy) gegoogled. Doch wo finde ich das Plugin denn zum Download ?
Ich stehe echt auf dem Schlauch .. Sorry  >:(
System > Firmware > Plugins
Title: Re: ProFTP refused
Post by: lewald on May 18, 2024, 10:11:51 AM
Nun,

am besten den FTP Server im Passive Mode betreiben. Beim FileZilla Server kann man die passiv Ports festlegen und beschränken. Das ist insofern wichtig weil diese Passive Ports müssen von der OPNSense neben dem FTP Port auch forwarded werden. 
(http://ftp%20port.png)
Title: Re: ProFTP refused
Post by: Monviech (Cedrik) on May 18, 2024, 10:13:00 AM
Am besten IPv6 benutzen.  8)
Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 10:26:39 AM
Da war ich ja schon.
aber das muss ich ja sicher erstmal installieren.. und besonders... irgendwoher downloaden
Title: Re: ProFTP refused
Post by: Patrick M. Hausen on May 18, 2024, 11:03:39 AM
Ganz rechts ist ein kleines "+". Das tut, was man erwartet  ;)

(https://forum.opnsense.org/index.php?action=dlattach;topic=40507.0;attach=34970;image)
(https://forum.opnsense.org/index.php?action=dlattach;topic=40507.0;attach=34972;image)
Title: Re: ProFTP refused
Post by: Patrick M. Hausen on May 18, 2024, 11:07:59 AM
Aber @lewald hat eigentlich die einfachste Lösung vorgeschlagen. Alles auf Passive Mode und den Server so konfigurieren, dass er nur eine kleine definierte Port Range benutzt. (2 Ports wäre mir jetzt ein wenig knapp, aber gut - ich würde 100 nehmen. Hängt von der Anzahl gleichzeitiger Nutzer ab.)

Diese Ports dann per NAT Port Forwarding eingehend auf den Server weiterleiten und erlauben.
Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 11:47:45 AM
Wenn ich das hätte...
Bei Erweiterungen ist bei mir alles leer..
So braun bin ich jetzt ja doch hoffentlich auch nicht :-)
Title: Re: ProFTP refused
Post by: interbilk on May 18, 2024, 11:51:50 AM
Hammer..
OPNSense auf Englisch umstellen.
Dann ist alles da
Text only | Text with Images