Frage bzgl. FTP Proxy - OPNsense 17.1.2

[ramige]

Hallo beisammen.

Ich hatte vor kurzem ein FTP Problem (siehe: https://forum.opnsense.org/index.php?topic=4644.0) welches ich lösen konnte dank eurer Hilfe.

Nun habe ich den Tip von "fabian" umgesetzt und nach dieser Anleitung: https://forum.opnsense.org/index.php?topic=3868.0 einen FTP Proxy aufgesetzt. Soweit so gut.

Ich habe in FileZilla unter Einstellungen "Generischer Proxy" den FTP Proxy mit seinen Daten: 127.0.0.1 Port 8021" angegeben und abgespeichert. Danach versuchte ich den Testserver "probe.filezilla-project.org" von FileZilla zu erreichen:

Ergebnis:

Status:   Verbinde mit probe.filezilla-project.org über SOCKS4-Proxy
Status:   SOCKS4-Proxy wird Verbindung herstellen mit: 136.243.154.86
Status:   Verbinde mit 127.0.0.1:8021...
Status:   Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Verbindung durch Server verweigert".
Fehler:   Herstellen der Verbindung zum Server fehlgeschlagen

Dann kam ich auf die Idee beim FTP Proxy statt besagter 127.0.0.1 die von mit vergebene OPNsense LAN IP anzugeben: 192.168.20.1

Ergebnis:

Status:   Verbinde mit probe.filezilla-project.org über SOCKS4-Proxy
Status:   SOCKS4-Proxy wird Verbindung herstellen mit: 136.243.154.86
Status:   Verbinde mit 192.168.20.1:8021...
Status:   Verbindung mit Proxy hergestellt, führe Handshake durch...
Fehler:   Herstellen der Verbindung zum Server fehlgeschlagen

Ein reboot seitens OPNsense, wie es hier beschrieben ist: https://forum.opnsense.org/index.php?topic=4423.0 half leider auch nicht.

Hat vielleicht jemand noch eine Idee?

Gruß ... ramige

[fabian]

Hi,

du musst keinen Proxy am Client einrichten, das geht wie beim Web Proxy mit einer Portweiterleitung (zum Beispiel lan_net:any to any:21 -> 127.0.0.1:8021)

Dann musst du einfach wie gewohnt eine FTP-Verbindung aufbauen (ganz normal das Ziel eingeben) - Achtung: Firewallregeln müssen auf jedem Fall neu geladen werden und der FTP-Proxy muss laufen.

[ramige]

Danke fabian.

Ich lege mal zwei Bilder rein. Das Erste ist die Portweiterleitung, das Zweite die Firewall-Rule. Sicherlich habe ich da noch was falsch, da es immer noch nicht funktioniert.

Grüße ... ramige

[ramige]

Erledigt!

Der Fehler lag bei mir. Ich hatte vergessen meinen FTP Client anzuweisen nur unverschlüsseltes FTP zu verwenden, da es verschlüsselt ja nicht geht mit dem FTP Proxy.

Nachhaltigen DANK!!!

Gruß ... ramige

[ramige]

Hmm, zu früh gefreut ...

Nachdem ich die Portweiterleitung 1024 - 65635 aus den Firewall LAN Rules deaktiviert habe, da ich ja dachte diese nun nicht mehr zu benötigen bzgl. FTP Porxy, geht es nicht mehr.

Status:   Auflösen der IP-Adresse für xxxxx.xxxxx.xxxx.eu
Status:   Verbinde mit xx.xxx.xxx.xx:21...
Status:   Verbindung hergestellt, warte auf Willkommensnachricht...
Status:   Angemeldet
Status:   Empfange Verzeichnisinhalt...
Befehl:   PWD
Antwort:   257 "/html" is the current directory
Befehl:   TYPE I
Antwort:   200 Type set to I
Befehl:   PASV
Antwort:   227 Entering Passive Mode (xx,xxx,xxx,xx,247,12)
Befehl:   MLSD
Fehler:   Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler:   Verzeichnisinhalt konnte nicht empfangen werden

Muss ich die Ports 1024 - 65535 also wieder aktivieren?? Das wäre dumm. Dann bräuchte ich keinen FTP Proxy, sondern könnte dann jeweils eine Regel (wie bisher) für eine Destinantion erstellen.

Gruß ... ramige

[faunsen]

Hi ramige,

Nachdem ich die Portweiterleitung 1024 - 65635 aus den Firewall LAN Rules deaktiviert habe, da ich ja dachte diese nun nicht mehr zu benötigen bzgl. FTP Porxy, geht es nicht mehr.

ich nehme an, dass das keine Weiterleitungen waren sondern nur offene Ports.

Muss ich die Ports 1024 - 65535 also wieder aktivieren?? Das wäre dumm. Dann bräuchte ich keinen FTP Proxy, sondern könnte dann jeweils eine Regel (wie bisher) für eine Destinantion erstellen.

Yepp, das wäre dumm, weil der Proxy extra dafür da ist so etwas nicht machen zu müssen ;-)

Gibt es evtl. andere (NAT)Regeln, die einen Verbindungsaufbau verhindern?
Und mit offenen Ports funktioniert es?

Hab mir grade den anderen Beitrag angesehen.
Was bedeutet "per se alles per Rule geblockt"?
Ist das eine extra Regel?


Viele Grüße
Frank

[ramige]

ich nehme an, dass das keine Weiterleitungen waren sondern nur offene Ports.

Sorry meine Fehler. Ja genau. Sind offene Ports zu der FTP Destination. Per LAN Rule definiert:

Protokoll: IPv4 TCP
Quelle: *
Port: *
Ziel: FTP Adresse, per Alias definiert
Port: 1204-65535
Gateway: *

Gibt es evtl. andere (NAT)Regeln, die einen Verbindungsaufbau verhindern?
Und mit offenen Ports funktioniert es?

Wenn ich das Obige deaktiviere geht es weder mit, noch ohne FTP Proxy.

An Ports habe ich freigegeben: 53 (DNS), 110 (POP3), 995 (POP3/S), 25 (SMTP), 465 (SMTP/S), 119 (NNTP), 22 (SSH) und 21 (FTP).

Dann noch zu der FTP Destination 1024 - 65535. Alles andere ist per se per Rule (IPv4+6) geblockt am Ende der Regelliste.

Port 80 (http) und 443 (https) mache ich per Web-Proxy, welchen ich direkt in den Clients (Firefox, Pale Moon etc.) definiert habe.

Gruß ... ramige

[faunsen]

Und wenn Du die "Block alles" Regel am Ende weg lässt?
Die ist nämlich nutzlos, da OPNsense sowieso alles blockt was nicht explizit erlaubt ist.

Vermutlich blockt die sogar den passiven FTP Verbindungsaufbau.
Du kannst das prüfen indem Du in der Regel "Log" aktivierst.
Dann kannst Du unter Firewall->Log Files->Normal View sehen ob diese Regel blockt.

[holger]

Hey, habe das gleiche Problem. Konntest du es lösen, ohne die Ports wieder aufzumachen?
VG Holger

[pylox]

Und wenn Du die "Block alles" Regel am Ende weg lässt?
Die ist nämlich nutzlos, da OPNsense sowieso alles blockt was nicht explizit erlaubt ist.

Vermutlich blockt die sogar den passiven FTP Verbindungsaufbau.
Du kannst das prüfen indem Du in der Regel "Log" aktivierst.
Dann kannst Du unter Firewall->Log Files->Normal View sehen ob diese Regel blockt.

@faunsen

Mir sind wg. dem FTP-Proxy schon graue Haare gewachsen...;-) Irgendwann hab ich das Thema dann liegen gelassen.
Der entscheidende Hinweis war nun: Block-All Rule am Ende weglassen - nu gehts.
Danke für den entscheidenden Hinweis.

Grüße pylox

[holger]

Danke! Seltsam, ich habe da keine "block all" rule.. Ist die auf dem jeweiligen Interface-Tab der Firewall-Rules sichtbar, oder muss man die in den Einstellungen deaktivieren? Bei mir klappt Ftp zur Zeit nur, wenn ich high-ports komplett erlaube - aber das sollte ja nicht so bleiben.

[faunsen]

Hallo Holger,

ich nehme an Du möchtest aktives FTP ins Internet machen, richtig?
Hast Du Dich an das HowTo gehalten?


Viele Grüße
Frank