interner FTP Server nicht erreichbar von aussen

[schyzy]

Hallo,

ich bin ziemlich neu mit einer OPNSense betraut, die von einem Kollegen eingerichtet wurde.
Hinter der Firewall läuft eine kleine Domäne mit aktuell 6 VMs in ProxMox. Auf einer der VMs läuft ein Server 2019 der einen Filezilla Server betreibt.
In der originalen Konfiguration von meinen Kollegen, konnte man sich mit Filezilla über Port 21 (und implizitem FTPs) auf diesen Server connecten, andere Programme haben es jedoch teilweise nicht geschafft. Der Online FP Tester unter ftptest.net attestierte der Verbundung grundsätzliche Funktionalität, sagte jedoch das es Probleme geben könnte.

Habe dann das FTP Plugin installiert und die eingehenden und ausgehenden Regeln nach Anleitung angelegt, jetzt komme ich auf keinem Weg mehr auf diesen FTP (TLS Handshake failed for implizit, Connection closed prematurley bei explizit).
Es ist also offensichtlich noch ein Konfigurationsfehler vorhanden, den ich nicht sehen kann.

Kann mir jemand einen Tipp geben?

Danke schon mal im Voraus

[lewald]

Nun FTP hinter Firewalls ist immer Problematisch.

https://www.hosteurope.de/faq/webhosting/hochladen-von-webinhalten-ftp/unterschied-aktiv-passiv-ftp/

Deshalb haben wir als bei uns noch ein FTP Server im Einsatz war nur passives FTP gemacht. Mit Port 21 und zwei drei Datenports in der Firewall emit Port Forwarding zum FTP Server. Eigentlich kann jeder Client heutzutage passives FTP. Damit ist das Problem auf der Clientseite reduziert.

[schyzy]

Ich muss leider ein Terminal nutzen, bei dem ich herzlich wenig einstellen kann, und das sich nicht verbindet.
Habe auch eine App probiert (AndFTP) die sich ebenfalls nicht verbindet. Bevor ich den FTPProxy installiert hatte, kam ich mit Filezilla und WinSCP über impliztes FTP und Passiv Mode zumindest drauf.
Jetzt geht halt aktuell gar nichts mehr, und ich seh das Problem nicht...

[lewald]

Kommt den derzeit überhaupt etwas beim Filezilla Server an?

Und ist auf dem Windows 2019 die Firewall an? Blockt die evtl. etwas?

[schyzy]

Nein, im Log vom Filezilla herrscht mittlerweile gähnende Leere. Vor der Aktivierung der Erweiterung ging es.
Zumindest für die erwähnten Programme, bei Verbindungsversuchen von dem Terminal und der App gab es auch hier keine Einträge, sie kamen also offensichtlich nicht durch die OPNSense..?..

Auf dem Server habe ich mittlerweile 2 Regeln aktiv, einmal für 21 und die passiven Ports, und dann zusätzlich noch für die komplette Filezille Anwendung. Habe hier auch das Log geprüft und es gibt keine Einträge über irgendwelche Block´s...

[lewald]

Laüft die opnsense auch im Proxmox?. Haste von der Sense ein Backup?

Was ist vor der OPNsense? Fritzbox oder änhliches. Modem?

[schyzy]

Ja, Sense läuft auch im Proxmox, Backups sind vorhanden.
Löst aber mein Problem nicht, weil es ja vorher auch nicht so lief wie ich es brauche :/

Vor der Sense läuft nix, ist ein Server der direkt im Internet hängt (gemietete Hardware)

[lewald]

Wie geht die Sense ins Internet? Ist der Proxmox direkt im Internet mit der Sense?

Das es dein Problem nicht sofort löst wenn man einen Schritt zurück geht ist klar. Aber man kann zumnidest den vorherigen Stand herstellen und mal bei Null beginnen! Da ging ja zumnidest ein wennig.

[fabian]

os-ftp-proxy installieren und konfigurieren:

auf feste IP verbinden -> FTP server eintragen rest nach bedarf einstellen.

Dann DNAT regel auf WAN auf den FTP Proxy machen und die verbindung erlauben.

Das wars dann auch schon.

[schyzy]

Wir haben heute mal die Firewall zurück auf einen alten Stand gesetzt (wo das FTP Plugin nicht installiert war) und danach zumindest wieder Zugriff auf den FTP erreicht. Leider geht weiter kein Zugriff über eine andere Art als Filezilla Client, und in keiner der Firewalls (lokale Windows Firewall und OPNSense) gibt es irgendwelche Einträge über geblockte Verbindungen. Ziemlich weird leider