ProFTP refused

Started by interbilk, May 16, 2024, 02:40:49 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
May 16, 2024, 02:40:49 PM
Hallo,
ich habe die Opensense auf einem Proxmox laufen. Die anderen VMS werden hier nach der OPNSense geschaltet mit internen IPS. Das heisst alles muss durch die OPNSense, bevor es auf die VM geht.
Jetzt kann ich den einen Server nciht mehr erreichen per PROFtp
Vor der OPNSense ging noch alles.
Der Log sagt folgendes:
Refused PORT 192,168,1,24,194,126 (address mismatch)

May 16, 2024, 02:57:46 PM #1
FTP hinter NAT ist immer etwas schwierig. Hier steht vieles erklärt:

http://www.proftpd.org/docs/howto/NAT.html
Hardware:
DEC740
May 16, 2024, 08:08:04 PM #2
Hi, habe die Anleitung mal angefangen.. Aber da kommt schon das erste Problem

insmod ip_masq_autofw $ ipmasqadm autofw -A -r tcp 20 21 -h 192.168.1.2


Hier sagt er :  insmod: invalid option -- 'r'

May 16, 2024, 08:15:35 PM #3
Du kannst die Linux-Befehle nicht verbatim verwenden. OPNsense ist kein Linux.
Der Artikel sollte erst mal als Grundlage für dein Verständnis dienen.

Damit FTP über NAT funktioniert, brauchst du je nach Position des NAT-Gerätes den Active oder den Passive Mode.

Ist der Client hinter NAT - Passive Mode. Ist der Server hinter NAT - Active Mode.

Sind beide hinter NAT - tough shit.

In dem Fall gibt es in der OPNsense ein FTP-Proxy-Plugin (os-ftp-proxy) Damit sollte es dann wieder funktionieren.

Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 18, 2024, 07:50:51 AM #4
Ja, es sind beide hinter NAT
Habe folgende Struktur:

Proxmox Server bei Hetzner (bridged Modus): ---> OPNSense. ---> Guest System with Proftp

Habe nach FTP-Proxy-Plugin (os-ftp-proxy) gegoogled. Doch wo finde ich das Plugin denn zum Download ?
Ich stehe echt auf dem Schlauch .. Sorry  >:(

Viele Grüße
Thorsten
May 18, 2024, 08:23:32 AM #5
Wer kann mir das gegen einen kleinen Obolus einrichten?
Würde mich über ein Angebot freuen.
Gerne dann per Teams, TeamViewer...


Viele Grüße
Thorsten
May 18, 2024, 08:25:18 AM #6
Was mich nur wundert.
Ich habe auch einen Gast hinter OPNSense --> PLESK Wenn ich da ein FTP einrichte, dann geht das
May 18, 2024, 09:44:14 AM #7 Last Edit: May 18, 2024, 09:46:25 AM by Monviech
Ja, bei Plesk funktioniert es weil es den ProFTP Server im Passive Mode und mit MasqueradeAddress konfiguriert. Schau dir dort einfach die proftp.conf konfigurationsdatei an.
Hardware:
DEC740
May 18, 2024, 09:54:51 AM #8
Habe jetzt mal FileZilla auf meinem Rechner installiert
explizit TLS ausgewählt und passiv....
Es ist dann auch verbunden...
Aber bleibt dann hängen:
*********
Status:         Verbindung hergestellt, warte auf Willkommensnachricht...
Status:         Initialisiere TLS...
Status:         TLS-Verbindung hergestellt.
Status:         Angemeldet
Status:         Empfange Verzeichnisinhalt...
***********

Auf dem Server log sieht das so aus

**********************
added 1 certs from '/etc/ssl//ssl_intermediate.pem' to certificate chain
TLS/TLS-C requested, starting TLS handshake
TLSv1.3 renegotiation accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
TLSv1.3 renegotiation accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
Protection set to Private
**********************

In der proftpd.conf habe ich bei  MasqueradeAddress die Domain eingegeben über die ich den Client öffentlich erreiche.
Also die ftp Adresse



May 18, 2024, 09:57:07 AM #9
PassivePorts                  49152 65535
MasqueradeAddress.      ftpDomain
May 18, 2024, 10:08:58 AM #10
Quote from: interbilk on May 18, 2024, 07:50:51 AM
Habe nach FTP-Proxy-Plugin (os-ftp-proxy) gegoogled. Doch wo finde ich das Plugin denn zum Download ?
Ich stehe echt auf dem Schlauch .. Sorry  >:(
System > Firmware > Plugins
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 18, 2024, 10:11:51 AM #11
Nun,

am besten den FTP Server im Passive Mode betreiben. Beim FileZilla Server kann man die passiv Ports festlegen und beschränken. Das ist insofern wichtig weil diese Passive Ports müssen von der OPNSense neben dem FTP Port auch forwarded werden. 
May 18, 2024, 10:13:00 AM #12
Am besten IPv6 benutzen.  8)
Hardware:
DEC740
May 18, 2024, 10:26:39 AM #13
Da war ich ja schon.
aber das muss ich ja sicher erstmal installieren.. und besonders... irgendwoher downloaden
May 18, 2024, 11:03:39 AM #14 Last Edit: May 18, 2024, 11:05:14 AM by Patrick M. Hausen
Ganz rechts ist ein kleines "+". Das tut, was man erwartet  ;)


Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1 2
User actions