Portfreigabe OPNSense

[lewald]

Nun,

der Server ist greifbar

Du scheiterst an https://www.ionos.de/digitalguide/server/knowhow/ftp-port-bei-passiven-und-aktiven-ftp/

Active versus passive FTP.

Die OPNsense macht nicht Selbsttätig zusätzliche Ports auf.

FTP Proxy einrichten oder auf Passive FTP umstellen.

[Patrick M. Hausen]

@lewald Wenn es schon bei Port 21, also der Control-Connection, zu Timeout oder Connection Refused kommt, dann spielt active vs. passive noch keine Rolle. Auch ein Login sollte nur mit diesem Port möglich sein. Erst danach das erste "ls/dir" fällt auf die Nase, weil

- der Kumpel zuhause wahrscheinlich hinter NAT sitzt und daher den passive mode brauchen würde
- der Server hinter NAT steht und daher den active mode brauchen würde

Du hast Recht, dass das ohne Proxy nicht gehen kann, aber bis zum Login muss er kommen.

Danach hätte ich dann die Situation mit active/passive erläutert und SFTP vorgeschlagen 

@Xheberiotion da ist irgendwas in mors. Was sagt denn der Firewall-Livelog? Und was ist dein Filezilla-Server für ein Betriebsystem?

[lewald]

Nun ich komme bis zum Login.

Wenn den die Domain in seinen Daten stimmt.

[Patrick M. Hausen]

Also dann funktioniert die Portweiterleitung ja doch. Von wegen "Port zu" 

@Xheberiotion stell das um auf SFTP - FTP ist erstens unsicher und zweitens vom Design her völlig kaputt. Das gehört entsorgt.

Das fundamentale Problem mit Firewalls liegt in den getrennten Steuer- und Datenverbindungen. Hintergrundwissen hier: https://de.wikipedia.org/wiki/File_Transfer_Protocol

[Xheberiotion]

Ok die OPNSense kann FTP Proxy auch haben, wie genau mach ich das denn jetzt?
Im Bild ist eine Anfängliche Konfiguration, muss etwas geändert werden oder einfach Hit and Run?

Filezilla Server ist Windows am laufen derweil, habe aufgrund von Problemen mit der Neueren Version von Filezilla Server auf eine ältere wieder gesetzt. (Bei der neueren habe ich keinen Zugriff auf den Ordner bekommen der Freigegeben werden sollte).

Live View von der Firewall sagt mir let out anything from firewall host itself manchmal auch Force GW am ende Hintergrund Grün. Hoffe das hilft soweit und hoffe das es bald funktioniert bin hier am Verzweifeln 

[lewald]

@Xheberiotion

lösch bitte die domain in deinem post.

[Xheberiotion]

Gemacht Ups total Übersehen vor lauter Text.

[lewald]

Ich würde das ganze auf passiv FTP umbauen.

Weil.

Wichtige Hinweise:

Stellen Sie sicher, dass der Proxy-Server aktiviert ist, da der FTP-Proxy nur funktioniert, wenn der Proxy-Server selbst aktiviert ist.
Der FTP-Proxy unterstützt nur unverschlüsselten FTP-Verkehr.

[Xheberiotion]

Ok das heißt ich muss Filezilla Server + Filezilla Client Passive Ports zuweisen und diese freigeben, wie richte ich den FTP Proxy ein Anhand des Bildes oder kann dieser so bleiben?

[lewald]

Mit passive ftp wird der proxy nicht benötigt.

Der geht für Active ftp , dann aber nur unverschlüsselt.
Laut Doku. Bei dem kann ich dir nicht wirklich helfen.

[Xheberiotion]

Ok ich habe jetzt mal nach der Anleitung gearbeitet die man mir Hier bereits gestellt hat, jetzt Funktioniert es nachdem ich noch Port 20,990,22 und 21 frei gemacht habe. Verbindung außerhalb funktioniert jetzt ohne Proxy, jetzt kann ich zumindestens damit Arbeiten und für alles andere was ich brauche auch noch Portfreigaben machen.

Gibt es noch einen Weg ALLE Ports gleichzeitig zu öffnen, bei der Fritzbox hieß dies Exposed Host?

[lewald]

Wofür willst du dann eine Firewall wie OPNsense benutzen. Wenn du alle Ports weiterleitest.
Fürs NAT von innen? Du kannst ja Port 0-65xxx aufmachen.

[Xheberiotion]

Heißt wenn ich Nat Intern auf machen will muss ich nur Destination Port 1-65556 setzen, um alle auf zu haben? Wie sieht das mit dem Redirect Port aus? muss da noch was gemacht werden zusätzlich?

[lewald]

Nein NAT macht Dein OPNsense ja schon jetzt.

Es geht ja um von Außen nach innen. Und nein man sollte nicht alle Ports von außen nach innen öffnen.
Dann hättest du bei der Fritzbox bleiben können. 

[Xheberiotion]

Ok Gedankengang war wegen IPTV bzw IPTelefonie, zumindestens das die Ports offen sind die benötigt werden.

Werde dann erstmal so beim Stand bleiben und Reserche betreiben zwecks IPTelefonie (funktioniert ja kein DECT mehr) Danke für die Hilfe!