Hallöchen an alle,
Habe mal versucht eine Portfreigabe einzurichten anhand dieser Anleitung https://www.howtoforge.de/anleitung/wie-man-port-forwarding-auf-opnsense-einrichtet/ (https://www.howtoforge.de/anleitung/wie-man-port-forwarding-auf-opnsense-einrichtet/)
Leider musste ich feststellen das die Ports weiterhin zu sind, versuche derweil Port 21 und 22 zu Öffnen für einen Heimserver.
Wäre für jede Hilfe dankbar!
Zeig doch mal die Regel, die du unter Firewall > NAT > Port forwarding eingerichtet hast.
Weshalb benutzt du irgendwelche obskuren Anleitungen anstelle der Dokumentation?
https://docs.opnsense.org/manual/nat.html#port-forwarding
So hier mal die Einstellungen meiner Port Forwarding Rule, Bekomme von Außen keine Verbindung zugelassen derweil.
wo?
So hatte er aus Ihrgendwelchen Gründen nicht genommen im oberen nochmal bearbeitet sollte jetzt drin sein.
Sieht ok aus. Interne Adressen sind nicht sicherheitsrelevant. Die Adresse da drin stimmt und auf dem Zielhost ist von intern auch ein FTP-Server erreichbar? Hast du das mal getestet?
Hat der Zielhost eine Default-Route zur OPNsense?
Testest du auch von außen über einen separaten Internet-Zugang?
Ist die WAN-Adresse auch tatsächlich erreichbar und nicht etwa CGNAT?
Intern geht von Außen auf den FTP Server zuzugreifen funktioniert garnicht, es bekommt keine Verbindung zum Server.
Aufbau ist Modem -> OpnSense -> Switch -> FTP Server
Versuche mit einem Freund derweil den Zugang zu testen.
Wie lauten die Antworten auf die anderen Fragen?
Mach mal - Log packets that are handled by this rule - an.
Damit man mal sieht ob überhaupt etwas bei OPNsense passiert.
So hab ich mal gemacht in der hoffnung das es funktioniert, wo finde ich jetzt die Log dafür?
Wenn du nicht willst, dass man dir hilft ...
Hat der Zielhost eine Defaultroute zur OPNsense? Ist deine WAN-Adresse überhaupt öffentlich erreichbar? Wenn du das nicht weißt, poste mal die ersten beide Oktetts.
Wenn ich keine Antworten bekomme, bin ich raus. Was soll das?
Ich habe ja gefragt wo ich die Sachen finde, FTP sagt einfach nur das er Keine Verbindung aufbauen kann zum Zielserver.
Zum Thema Defaultroute keine Ahnung hab mich erst neulich mit OpnSense zusammen gefasst, heißt bin noch am Lernen in der Hoffnung das es funktioniert. Die WAN Adresse ist von Außen erreichbar, hatte vor der OPNSense eine Fritzbox 7590, wo alles soweit funktionierte bis auf das die dauernd Neugestartet werden musste bei kleinigkeiten.
Anfragen laufen über DYNDNS (Domain ist anpingbar mit der Aktuellen IP die ich habe), damit die IP Änderung egal sein kann. Bei eingabe der Domain in Filezilla sagt er nur "Herstellen der Verbindung zum Server fehlgeschlagen". Lokal über die LocalIP kann eine Verbindung aufgebaut werden zum FTP Server.
Wenn ich also die Lokale Server IP Eingebe nennen wir sie mal 192.168.2.52, kann ich über Filezilla zugreifen nur sobald ich die Externe Verwende funktioniert dies nicht, da kommt dann der Fehler.
Muss die OPNSense neugestartet werden/der FTP Server oder sollte das normal direkt sein?
Hoffe habe deine Fragen soweit Beantwortet Patrick M. Hausen.
Zum Thema Logs muss ich noch herausfinden wo diese sind.
Auf deinem FTP-Server hast du doch IP-Adresse etc. pp. konfiguriert. Was hast du da als Defaultrouter eingetragen?
Zweitens, welcher Fehler? Wie lautet die genaue Fehlermeldung von Filezilla? Du schreibst was von "Port zu" - vielleicht ist das gar nicht der Fall?
Quote from: Xheberiotion on August 17, 2024, 04:42:55 PM
Zum Thema Logs muss ich noch herausfinden wo diese sind.
Firewall->LogFiles->LiveView
Habe keine Static IPV4 Adresse, muss wegen IP Change mit DYNDNS arbeiten, habe an dem FTP Server (Filezilla Server) nichts geändert beim Umrüsten von Fritzbox auf OPNSense. Da dies zuvor Funktioniert hat habe ich hier die Einstellungen alle gelassen wie diese waren.
Der Fehler der über Filezilla Client kommt ist dieser:
Status: Verbinde mit xx.xx.xx.xx:21...
Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Status: Nächsten Versuch abwarten...
Status: Auflösen der IP-Adresse für DYNDNS Domain
Status: Verbinde mit xx.xx.xx.xx:21...
Dies kommt wenn ich über die Externe IP versuche zu Verbinden, xx ist die IP jeweils die auch Richtig ist. CMD Ping gibt auch Werte aus, auch von außerhalb kommen Pings durch.
Kenne den Fehler nur wenn die Ports nicht offen sind, somit kommt er nicht durch und daher meine Vermutung das die Ports zu sind.
Würde mich wundern wenn meine IP neuerdings nicht mehr von Außen erreichbar sein würde.
Gerade erneut verbunden für Liveview Fehler meldung jetzt kommt dieser Fehler hier.
Status: Resolving address of DynDNS Domain
Status: Connecting to xx.xx.xx.xx:21...
Status: Connection attempt failed with "ECONNREFUSED - Verbindung durch Server verweigert".
Error: Could not connect to server
Status: Waiting to retry...
Status: Resolving address of DynDNS Domain
Status: Connecting to xx.xx.xx.xx:21...
Status: Connection attempt failed with "ECONNREFUSED - Verbindung durch Server verweigert".
Error: Could not connect to server
Nun,
der Server ist greifbar :)
Du scheiterst an https://www.ionos.de/digitalguide/server/knowhow/ftp-port-bei-passiven-und-aktiven-ftp/
Active versus passive FTP.
Die OPNsense macht nicht Selbsttätig zusätzliche Ports auf.
FTP Proxy einrichten oder auf Passive FTP umstellen.
@lewald Wenn es schon bei Port 21, also der Control-Connection, zu Timeout oder Connection Refused kommt, dann spielt active vs. passive noch keine Rolle. Auch ein Login sollte nur mit diesem Port möglich sein. Erst danach das erste "ls/dir" fällt auf die Nase, weil
- der Kumpel zuhause wahrscheinlich hinter NAT sitzt und daher den passive mode brauchen würde
- der Server hinter NAT steht und daher den active mode brauchen würde
Du hast Recht, dass das ohne Proxy nicht gehen kann, aber bis zum Login muss er kommen.
Danach hätte ich dann die Situation mit active/passive erläutert und SFTP vorgeschlagen ;)
@Xheberiotion da ist irgendwas in mors. Was sagt denn der Firewall-Livelog? Und was ist dein Filezilla-Server für ein Betriebsystem?
Nun ich komme bis zum Login.
Wenn den die Domain in seinen Daten stimmt. :)
Also dann funktioniert die Portweiterleitung ja doch. Von wegen "Port zu" :)
@Xheberiotion stell das um auf SFTP - FTP ist erstens unsicher und zweitens vom Design her völlig kaputt. Das gehört entsorgt.
Das fundamentale Problem mit Firewalls liegt in den getrennten Steuer- und Datenverbindungen. Hintergrundwissen hier: https://de.wikipedia.org/wiki/File_Transfer_Protocol
Ok die OPNSense kann FTP Proxy auch haben, wie genau mach ich das denn jetzt?
Im Bild ist eine Anfängliche Konfiguration, muss etwas geändert werden oder einfach Hit and Run?
Filezilla Server ist Windows am laufen derweil, habe aufgrund von Problemen mit der Neueren Version von Filezilla Server auf eine ältere wieder gesetzt. (Bei der neueren habe ich keinen Zugriff auf den Ordner bekommen der Freigegeben werden sollte).
Live View von der Firewall sagt mir let out anything from firewall host itself manchmal auch Force GW am ende Hintergrund Grün. Hoffe das hilft soweit und hoffe das es bald funktioniert bin hier am Verzweifeln :o
@Xheberiotion
lösch bitte die domain in deinem post.
Gemacht Ups total Übersehen vor lauter Text.
Ich würde das ganze auf passiv FTP umbauen.
Weil.
Wichtige Hinweise:
Stellen Sie sicher, dass der Proxy-Server aktiviert ist, da der FTP-Proxy nur funktioniert, wenn der Proxy-Server selbst aktiviert ist.
Der FTP-Proxy unterstützt nur unverschlüsselten FTP-Verkehr.
Ok das heißt ich muss Filezilla Server + Filezilla Client Passive Ports zuweisen und diese freigeben, wie richte ich den FTP Proxy ein Anhand des Bildes oder kann dieser so bleiben?
Mit passive ftp wird der proxy nicht benötigt.
Der geht für Active ftp , dann aber nur unverschlüsselt.
Laut Doku. Bei dem kann ich dir nicht wirklich helfen.
Ok ich habe jetzt mal nach der Anleitung gearbeitet die man mir Hier bereits gestellt hat, jetzt Funktioniert es nachdem ich noch Port 20,990,22 und 21 frei gemacht habe. Verbindung außerhalb funktioniert jetzt ohne Proxy, jetzt kann ich zumindestens damit Arbeiten und für alles andere was ich brauche auch noch Portfreigaben machen.
Gibt es noch einen Weg ALLE Ports gleichzeitig zu öffnen, bei der Fritzbox hieß dies Exposed Host?
Wofür willst du dann eine Firewall wie OPNsense benutzen. Wenn du alle Ports weiterleitest.
Fürs NAT von innen? Du kannst ja Port 0-65xxx aufmachen.
Heißt wenn ich Nat Intern auf machen will muss ich nur Destination Port 1-65556 setzen, um alle auf zu haben? Wie sieht das mit dem Redirect Port aus? muss da noch was gemacht werden zusätzlich?
Nein NAT macht Dein OPNsense ja schon jetzt.
Es geht ja um von Außen nach innen. Und nein man sollte nicht alle Ports von außen nach innen öffnen.
Dann hättest du bei der Fritzbox bleiben können.
Ok Gedankengang war wegen IPTV bzw IPTelefonie, zumindestens das die Ports offen sind die benötigt werden.
Werde dann erstmal so beim Stand bleiben und Reserche betreiben zwecks IPTelefonie (funktioniert ja kein DECT mehr) Danke für die Hilfe! ;D
@lewald Passive Mode nützt nichts. Der umgeht das Problem mit dem NAT auf der Client-Seite. Dabei teilt der Server dem Client einen Port mit über die Control Connection und der Client baut die Data Connection auf. Das funktioniert, wenn der FTP-Server frei im Internet steht z.B. beim Hosting.
Das funktioniert nicht, wenn der Server seinerseits hinter NAT steht.
Was man mit der Brechstange tun kann, ist die Port Range für den Passive Mode einschränken auf einige wenige - vorausgesetzt dieses Filezilla-Server-Dingens kann das - und dann alle diese Ports weiterleiten.
Besser ist aber SFTP zu benutzen. Das braucht nur den Port 22 und ist ohnehin um Größenordnungen sicherer.
Quote from: Patrick M. Hausen on August 17, 2024, 06:40:50 PM
@lewald Passive Mode nützt nichts. Der umgeht das Problem mit dem NAT auf der Client-Seite. Dabei teilt der Server dem Client einen Port mit über die Control Connection und der Client baut die Data Connection auf. Das funktioniert, wenn der FTP-Server frei im Internet steht z.B. beim Hosting.
Das funktioniert nicht, wenn der Server seinerseits hinter NAT steht.
Was man mit der Brechstange tun kann, ist die Port Range für den Passive Mode einschränken auf einige wenige - vorausgesetzt dieses Filezilla-Server-Dingens kann das - und dann alle diese Ports weiterleiten.
Besser ist aber SFTP zu benutzen. Das braucht nur den Port 22 und ist ohnehin um Größenordnungen sicherer.
Doch Passive Mode hilft.
Es wird dort in der Regel ein Range angegeben. Und das Filezilla Dings kann das. Sowohl Server als auch clientseitig. Und es kann den Hostnamen(ip Adresse) des wans mitgeben.
Damit geht das perfekt auch hinter einer Firewall mit NAT. Von beiden Seiten.
Quote from: lewald on August 17, 2024, 06:51:36 PM
Doch Passive Mode hilft.
Es wird dort in der Regel ein Range angegeben.
Dann natürlich ja.
Aber das hatte ich auch schon geschrieben: ;)
Quote from: Patrick M. Hausen on August 17, 2024, 06:40:50 PM
Was man mit der Brechstange tun kann, ist die Port Range für den Passive Mode einschränken auf einige wenige - vorausgesetzt dieses Filezilla-Server-Dingens kann das - und dann alle diese Ports weiterleiten.
Ich bleibe aber bei meinem Ratschlag:
Quote from: Patrick M. Hausen on August 17, 2024, 06:40:50 PM
Besser ist aber SFTP zu benutzen. Das braucht nur den Port 22 und ist ohnehin um Größenordnungen sicherer.
FTP ist tot, töter geht nicht.
Wenn es nur um einen Buddy geht, Syncthing wäre meine Empfehlung. Gibt nix flotteres.