Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Problem mit externer FTP Verbindung
« previous
next »
Print
Pages: [
1
]
Author
Topic: Problem mit externer FTP Verbindung (Read 2041 times)
ChrisChros
Full Member
Posts: 134
Karma: 5
Problem mit externer FTP Verbindung
«
on:
January 07, 2021, 10:15:59 am »
Hallo zusammen,
nach meinem Umzug vom Unifi USG zu OPNsense habe aktuell das Problem, dass wir keine Verbindung zu einem externen FTP Server von der Firma meiner Frau aufgebaut bekommen.
In der Live-Ansicht sehe ich, dass die Verbindung mittels einer "Default Deny Rule" blockiert wird, siehe Bilder im Anhang.
Wie kann ich das nun in der Firewall freigeben?
Danke für eure Unterstützung.
Gruß Chris
Logged
XSK NUC Intel Celeron J3160 aka Protectli FW4B, 8GB RAM
OPNsense 22.1
ChrisChros
Full Member
Posts: 134
Karma: 5
Re: Problem mit externer FTP Verbindung
«
Reply #1 on:
January 07, 2021, 10:54:00 am »
Habe es gelöst bekommen.
Ich musste das ftp-proxy Plugin installieren. Anschließend habe ich nach folgender Anleitung den FTP-Proxy eingerichtet:
https://forum.opnsense.org/index.php?topic=3868.0
Für meine Anwendungsfall genügt es nur die Einstellungen in dem Abschnitt "Forward FTP Proxy" zu implementieren.
Gruß Chris
«
Last Edit: January 07, 2021, 10:55:36 am by ChrisChros
»
Logged
XSK NUC Intel Celeron J3160 aka Protectli FW4B, 8GB RAM
OPNsense 22.1
Layer8
Full Member
Posts: 193
Karma: 4
Re: Problem mit externer FTP Verbindung
«
Reply #2 on:
January 07, 2021, 11:13:46 am »
OK, du warst schneller, aber weil ich das getippte nicht verwerfen will schick ichs trotzdem noch ab:
Welchen FTP-Client nutzt du?
FTP funktioniert so:
Es werden immer zwei TCP-Verbindungen aufgebaut. Eine wird für die Steuerbefehle genutzt. Diese Verbindung wird immer vom Client zum Server aufgebaut. Diese Verbindung findet immer zu der dir bekannten Server-IP/DNS und dem dir bekannten Server-Port statt. Standardmäßig ist das Port 21, wenn nichts anderes angegeben. Diese Verbindung wird bei dir wohl sehr wahrscheinlich schon klappen. Scheitern wirds an der zweiten Verbindung:
Die zweite Verbindung wird für die Übertragung vom Datenstrom genutzt. Der Datenstrom wird für die Auflistung vom Verzeichnisinhalt genutzt sowie für den Upload/Download von Dateien. Für nichts weiter. Diese Daten-Verbindung kann auf zweierlei Arten hergestellt werden:
Entweder im passiven Modus:
Bei passivem FTP baut der Client auch die Daten-Verbindung zum Server auf. Auf welchen Port des Servers der Client sich verbinden soll ist in der FTP-Server-Einstellung hinterlegt und darauf hast du keinen Einfluss. Oft wird dafür der Port 20 genutzt, es können aber auch mehrere Ports sein.
Wenn deine Firewallregeln nicht zu strikt sind und generell TCP-Verbindungen nach draußen erlaubt sind, sollte es ausreichend sein, im FTP-Programm einfach nur den passiven Modus zu aktivieren. Sollte deine Firewall das blocken, wirst du den Port dann im Log sehen und kannst ihn freischalten. Es kann aber sein, dass im Server eine Portrange konfiguriert und nicht nur ein Port (z.B. Port 20) für diese Verbindung hinterlegt ist. Dann kann es halt sein, dass du nicht nur einen Port freischalten musst, sondern mehrere. In dem Fall könnte es sein, dass die erste Verbindung nachdem du die Firewallregel angepasst hast noch funktioniert und die nächste Verbindung dann einen anderen Port aus dieser Portrange nutzt, den du im ersten Anlauf nicht freigeschaltet hast. Theoretisch könnte man die Passivport-Range beim FTP-Server-Betreiber erfragen, manche Betreiben geben es auch von vorne herein an.
Dann gibts noch den aktiven Modus, der wohl im Moment in deinem Client aktiviert ist. Das sieht man daran, dass eine eingehende Verbindung auf Port 62135 geblockt wird.
Bei diesem Modus baut der Server die Datenverbindung zum FTP-Client auf. Bei diesem Modus kann / muss / sollte man im FTP-Client einen einzelnen Port oder eine ganze Portrange definieren, auf die sich der FTP-Server verbinden kann. Für jede gleichzeitige Sessen wird ein Port benötigt. Heißt: Wenn du nicht parallel runter oder raufladen willst oder während dem Datentransfer nicht zwingen noch nebenher auf dem FTP-Server durch die Verzeichnise browsen willst, reicht theretisch ein Port. Besser wäre es dann aber, gleich eine kleine Portrange zu nutzen, weil manchmal bei Übertragungsproblemen Verbindungen auch stecken bleiben können und du dann auf Timeouts warten müsstest oder weil manche FTP-Programme auch im Hintergrund von selbst mehrere Sessions aufbauen. In dem Fall reichen 10 Ports dicke. Welcher einzelne Port oder welche Portrange das ist, bleibt dir überlassen. Nimm der Einfachheit halber doch gleich 62135-62134 oder so.
Zum Schluss muss natürlich noch der einzelne Port oder die Portrange als Regel in das WAN-Interface eingetragen werden:
PASS; QUICK=1; Int=WAN; Dir=IN ; IPv4 (oder halt v6) ; Prot=TCP ; Source=WAN net ; Dest=IP des Computers mit dem FTP-Client; Port= Einzelner Port oder Portrange die du im FTP-Client hinterlegt hast
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Problem mit externer FTP Verbindung