Messages

ich nehme an, dass das keine Weiterleitungen waren sondern nur offene Ports.

Sorry meine Fehler. Ja genau. Sind offene Ports zu der FTP Destination. Per LAN Rule definiert:

Protokoll: IPv4 TCP
Quelle: *
Port: *
Ziel: FTP Adresse, per Alias definiert
Port: 1204-65535
Gateway: *

Gibt es evtl. andere (NAT)Regeln, die einen Verbindungsaufbau verhindern?
Und mit offenen Ports funktioniert es?

Wenn ich das Obige deaktiviere geht es weder mit, noch ohne FTP Proxy.

An Ports habe ich freigegeben: 53 (DNS), 110 (POP3), 995 (POP3/S), 25 (SMTP), 465 (SMTP/S), 119 (NNTP), 22 (SSH) und 21 (FTP).

Dann noch zu der FTP Destination 1024 - 65535. Alles andere ist per se per Rule (IPv4+6) geblockt am Ende der Regelliste.

Port 80 (http) und 443 (https) mache ich per Web-Proxy, welchen ich direkt in den Clients (Firefox, Pale Moon etc.) definiert habe.

Gruß ... ramige

Hmm, zu früh gefreut ...

Nachdem ich die Portweiterleitung 1024 - 65635 aus den Firewall LAN Rules deaktiviert habe, da ich ja dachte diese nun nicht mehr zu benötigen bzgl. FTP Porxy, geht es nicht mehr.

Status:   Auflösen der IP-Adresse für xxxxx.xxxxx.xxxx.eu
Status:   Verbinde mit xx.xxx.xxx.xx:21...
Status:   Verbindung hergestellt, warte auf Willkommensnachricht...
Status:   Angemeldet
Status:   Empfange Verzeichnisinhalt...
Befehl:   PWD
Antwort:   257 "/html" is the current directory
Befehl:   TYPE I
Antwort:   200 Type set to I
Befehl:   PASV
Antwort:   227 Entering Passive Mode (xx,xxx,xxx,xx,247,12)
Befehl:   MLSD
Fehler:   Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler:   Verzeichnisinhalt konnte nicht empfangen werden

Muss ich die Ports 1024 - 65535 also wieder aktivieren?? Das wäre dumm. Dann bräuchte ich keinen FTP Proxy, sondern könnte dann jeweils eine Regel (wie bisher) für eine Destinantion erstellen.

Gruß ... ramige

Erledigt!

Der Fehler lag bei mir. Ich hatte vergessen meinen FTP Client anzuweisen nur unverschlüsseltes FTP zu verwenden, da es verschlüsselt ja nicht geht mit dem FTP Proxy.

Nachhaltigen DANK!!!

Gruß ... ramige

Danke fabian.

Ich lege mal zwei Bilder rein. Das Erste ist die Portweiterleitung, das Zweite die Firewall-Rule. Sicherlich habe ich da noch was falsch, da es immer noch nicht funktioniert.

Grüße ... ramige

Hallo beisammen.

Ich hatte vor kurzem ein FTP Problem (siehe: https://forum.opnsense.org/index.php?topic=4644.0) welches ich lösen konnte dank eurer Hilfe.

Nun habe ich den Tip von "fabian" umgesetzt und nach dieser Anleitung: https://forum.opnsense.org/index.php?topic=3868.0 einen FTP Proxy aufgesetzt. Soweit so gut.

Ich habe in FileZilla unter Einstellungen "Generischer Proxy" den FTP Proxy mit seinen Daten: 127.0.0.1 Port 8021" angegeben und abgespeichert. Danach versuchte ich den Testserver "probe.filezilla-project.org" von FileZilla zu erreichen:

Ergebnis:

Status:   Verbinde mit probe.filezilla-project.org über SOCKS4-Proxy
Status:   SOCKS4-Proxy wird Verbindung herstellen mit: 136.243.154.86
Status:   Verbinde mit 127.0.0.1:8021...
Status:   Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Verbindung durch Server verweigert".
Fehler:   Herstellen der Verbindung zum Server fehlgeschlagen

Dann kam ich auf die Idee beim FTP Proxy statt besagter 127.0.0.1 die von mit vergebene OPNsense LAN IP anzugeben: 192.168.20.1

Ergebnis:

Status:   Verbinde mit probe.filezilla-project.org über SOCKS4-Proxy
Status:   SOCKS4-Proxy wird Verbindung herstellen mit: 136.243.154.86
Status:   Verbinde mit 192.168.20.1:8021...
Status:   Verbindung mit Proxy hergestellt, führe Handshake durch...
Fehler:   Herstellen der Verbindung zum Server fehlgeschlagen

Ein reboot seitens OPNsense, wie es hier beschrieben ist: https://forum.opnsense.org/index.php?topic=4423.0 half leider auch nicht.

Hat vielleicht jemand noch eine Idee?

Gruß ... ramige

Danke euch allen vielmals.

Ich habe mich mithilfe des Rates von "monstermania" belesen und nun zusätzlich zum Port 21 noch den Port-Range 1024-65535 (IPv4, TCP) per rule freigegeben und zwar außschließlich zu den beiden ftp-Servern, zu denen ich mich kontaktiere im WAN. Die beiden Adressen habe ich via Alias eingerichtet und dann den Alias als Destination in der Rule ausgewählt. Funktioniert super.

Ich werde den Tipp von "fabian" mit dem FTP Proxy in OPNsense demnächst auch versuchen umzusetzen, bin aber jetzt erst mal froh das es wieder geht.

Gruß ... ramige

Hallo beisammen.

Ich nutze OPNsense 17.1.2-amd64 System und habe FTP Probleme. Ich bekomme zwar einen FTP connect ins WAN zum entsprechenden Server, aber das war es dann auch schon. Ich lege mal ein Screenshoot von FileZilla bei ...

Kann mir ggf. jemand mit einem Tip weiterhelfen? Im voraus schon vielen herzlichen DANK!

Gruß ramige

PS:

In meinem System ist per se alles per Rule geblockt bis auf die Ports, die ich einzeln freigegeben habe, wie z.B. POP3, SMTP usw. usw. und natürlich auch FTP mit seinem Port 21.