FTP Verbindung zwischen Subnetzen

[bongo]

im subnetz 192.168.1.x auf rechner 192.168.1.21 läuft auf einem windows 10 rechner der windows 10 ftp server, welcher sowohl über port 21 als auch über ein paar weitere ports angesprochen werden kann (zur separierung der ftp verzeichnisse auf dem server werden verschiedene ports verwendet).
innerhalb des subnetzes ist der zugriff auf den server kein problem.
nun muss ich aber mit einem rechner im subnetz 10.1.1.x (auf separatem lan interface von opnsense) ebenfalls auf den ftp server zugreifen.
ich hab schon einige opnsense firewall einstellungen versucht, kriege die verbindung aber nicht stabil (für passiv mode).
wie muss ich die opnsense konfigurieren um von
10.1.1.34 (am interface2) auf 192.168.1.21 (am interface1) eine ftp verbindung aufzubauen?

mit "Packet Capture" sehe ich dass daten hin und her geschickt werden zwischen den beiden IPs, filezilla meldet auf 10.1.1.34 aber stets "verzeichnis konnte nicht empfangen werden".

[micneu]

leider habe ich deinen text nicht verstande.
- was ist mit deinem ftp und den verschiedenen ports (was willst du damit sagen)?

[bongo]

ich hab an opnsense einen wan und 2 lan ports.
die lan ports bedienen die beiden subnets 192.168.1.x und 10.1.1.x
ich möchte nun von einem rechner im subnet 10.1.1x auf einen ftp server (windows 10 built in ftp server) im subnet 192.168.1.x zugreifen, erhalte aber auf dem ftp client im subnet 10.1.1.x immer die meldung "verzeichnis konnte nicht empfangen werden".
ein zugriff innerhalb von subnet 192.168.1.x funktioniert dagegen.
offensichtlich hab ich auf opnsense noch irgendwas nicht richtig konfiguriert.
was genau muss ich auf opnsense konfigurieren damit ftp zugriff vom einen ins andere subnet funktioniert?

[micneu]

- bitte einen grafischen netzwerkplan (am besten hängst du den gleich bei jeder anfrage drann, so sparen wir uns immer das fragen)

[Gauss23]

Was hast Du denn für Firewall-Regeln auf dem 10.1.1.x Interface in Richtung des 192.168.1.x Netzes?

Da dort kein NAT im Spiel ist, sollte das doch problemlos laufen, wenn man das entsprechend erlaubt. Du kannst die Passive-Mode Port-Range am Server m.E. einschränken, dann musst Du nicht den Host komplett erlauben, sondern eben nur Ports 20, 21 und die Passive-Range.

[micneu]

warum ftp und nicht sftp auf einem linux system?

[bongo]

"warum ftp und nicht sftp auf einem linux system?"

>> bei beiden rechnern (ftp server und ftp client) handelt es sich um windows 10 rechner, nix linux. vom client sollen backup daten auf den server übertragen werden. dafür hab ich bislang ftp verwendet da eh nichts übers internet geht. sftp ist nicht möglich da das backup tool bloss ftp und ftps unterstützt. wie's mit der ftps unterstützung beim windows 10 ftp server aussieht weiss ich nicht. wollte's zuerst mal möglichst einfach probieren.

"Was hast Du denn für Firewall-Regeln auf dem 10.1.1.x Interface in Richtung des 192.168.1.x Netzes?
Da dort kein NAT im Spiel ist, sollte das doch problemlos laufen, wenn man das entsprechend erlaubt. Du kannst die Passive-Mode Port-Range am Server m.E. einschränken, dann musst Du nicht den Host komplett erlauben, sondern eben nur Ports 20, 21 und die Passive-Range."

>> ich hab vom ftp  client im 10.1.1.x netz zum ftp server im 192.168.1.x netz die ports 20 und 21 geöffnet (auf dem 10.1.1.x interface). dadurch konnte die verbindung hergestellt werden aber nix übertragen.
bezüglich passive range war ich dann etwas unsicher. wenn ich auf dem ftp server den port range auf 50100-50200 einstelle, was genau muss ich auf opnsense dann auf welchem interface einstellen?
bin davon ausgegangen dass der port range die ports angibt welche dann vom server aus auf dem client verwendet werden (aufbau aus richtung server). in der folge hab ich eine regel erstellt (auf dem 192.168.1.x interface) vom ftp server zum ftp client für die zielports 5100-5200. hat aber irgendwie nicht funktioniert, oder bloss sporadisch.
hätte ich stattdessen eine regel gebraucht vom client zum server (auf dem 10.1.1.x interface) für die zielports 50100-50200 auf dem server?

[Gauss23]

>> ich hab vom ftp  client im 10.1.1.x netz zum ftp server im 192.168.1.x netz die ports 20 und 21 geöffnet (auf dem 10.1.1.x interface). dadurch konnte die verbindung hergestellt werden aber nix übertragen.
bezüglich passive range war ich dann etwas unsicher. wenn ich auf dem ftp server den port range auf 50100-50200 einstelle, was genau muss ich auf opnsense dann auf welchem interface einstellen?
bin davon ausgegangen dass der port range die ports angibt welche dann vom server aus auf dem client verwendet werden (aufbau aus richtung server). in der folge hab ich eine regel erstellt (auf dem 192.168.1.x interface) vom ftp server zum ftp client für die zielports 5100-5200. hat aber irgendwie nicht funktioniert, oder bloss sporadisch.
hätte ich stattdessen eine regel gebraucht vom client zum server (auf dem 10.1.1.x interface) für die zielports 50100-50200 auf dem server?

Schau doch einfach mal in den Live Log auf der Firewall während Du eine Verbindung aufbaust und Daten drüber laufen sollten. Dann solltest Du doch die geblockten Pakete sehen. M.E. setzt Du die Passive Port Range am Server, der Client verbindet auf Port 21 und bekommt dort gesagt welchen Port er nutzen soll. D.h. die Regel muss auch auf dem 10.1.1.x Interface sein. Der Einfachheit halber bau doch eine Regel, die deinem Client erlaubt auf "any" zum Ziel (FTP) zu verbinden. Dann kannst Du Firewallthemen ausschließen. Diese Verbindung setzt du dann auf "Enable Logging" und dann siehst du das im Live Log und kannst sogar danach filtern.

[bongo]

ok, dann hab ich das mit dem passiv wohl falsch verstanden. werde das dann heute abend mal versuchen.
komischerweise hab ich im live log (maskiert auf blocked) keine pakete der beiden IPs gesehen, was mich ziemlich irritiert hat.
wenn ich bei allen blockierregeln den punkt mit dem i auf blau hab so müsste ich im live log so doch eigentlich alles sehen was geblockt wird, oder?

[bongo]

ok, ich glaub nun hab ich's erst mal geschafft...
für ftp active mode braucht's port 21 vom client zum server und port 20 vom server zum client.
für passive mode braucht's port 21 sowie den auf dem server definierten portbereich vom client zum server.
dass letzteres bei mir nicht funktioniert hat scheint dran zu liegen dass der windows 10 ftp server offenbar jedes mal wenn irgendwas umkonfiguriert wird einen reboot braucht.
aus diesem grund hat's sporadisch funktioniert (immer dann wenn der server zufällig einen port im spezifizierten bereich verwendet hat) und ansonsten hab ich keine verbindung hingekriegt.

vielen dank für den support!

[micneu]

wer setzt auch im produktiven systemen ein WINDOWS 10 FTP-SERVER ein.
wir machen sowas unter linux (sftpgo, sftp anstatt ftp, sehr mächtiges zeug)
na dann viel spaß mit deiner windows kiste, und denke immer dran, hänge am besten IMMER deinen grafischen netzwerkplan an.