xDSL.at

[madmat17]

Hallo Leute!

Ich bin langsam am verzweifeln. Weder die SuFu, noch Google, noch verschiedene mans und PDFs konnte helfen.

Ich schaffe es einfach nicht, von extern auf meinen FTP-Server (läuft auf einer IcyBox NAS4220 von RaidSonic) zuzugreifen.
Innerhalb des LAN funktioniert der Zugriff auf den Server blendend -> FTP-Server ist OK;
DynDNS ist up and running -> somit auch nicht das Problem;
=> Knackpunkt ist mein ST-Modem/Router.

Was bisher geschah:
DynDNS ist eingerichtet und funktioniert einwandtfrei. Zu Beginn habe ich das Port-Forwarding meines ST546v5 mit dem Standard-Preset für FTP Server konfiguriert (any IP; TCP; port 21 -> dedizierte LAN-IP meines FTP Servers; TCP; port 21).
Danach hatte ich probiert, über die DynDNS-Adresse (ftp://sagichnicht.is-a-geek.net) auf den Server zuzugreifen. Im ersten Moment sah es gut aus - ein Login-Prompt kam. Doch leider wurder keiner der FTP-User angenommen. Ein kurzer Blick ins Modem-Protokoll hat gezeigt, dass ich versucht habe, mich auf den FTP-Server des ST546 einzuloggen -> ergo: ich wurde nicht zum FTP-Server auf dem NAS4220 weitergeleitet.
Gleiches Spiel noch einmal mit Port 20+21
Und nochmal - mit den Ports 20-25

Sprich: solange die Standard-Ports benutzt werden, nimmt der Router kein Portforwarding vor, sondern löst die Anfrage gegen sich selber auf.

Naheliegende Lösung: einfach einen anderen Port nehmen.
Ich habe versucht WAN-IP:17321 an LAN-IP:21 weiterzuleiten - ohne Erfolg; das ganze ebenfalls wieder mit (17320-17325) -> (20-25); hat auch nicht geklappt.

Nun die Schlüsselfragen:

Hatte schonmal jemand das selbe Problem? Wie wurde dies gelöst?
Hilft es, den FTP-Server des ST546 zu deaktivieren? (ist das überhaupt empfehlenswert, oder sollte man das lassen - ich habe ihn bisher noch nie benötigt; alles wurde über die Web-GUI und über telnet erledigt)
Wie kann ich den FTP-Dienst des ST546 dauerhaft deaktivieren?

Nochmal die Konfiguration:
Thomson ST546v5 (FW 5.4.0.14) im MU-Modus
daran hängen verschieden PCs (XPPro, Vista, Linux), ein WLAN Accesspoint und meine IB-NAS4220-B (Linux) mit FTP-Server

Vielen Dank,
Mat

[bully]

Was sagt nat maplist?
Und falls der Port wanseitig reserviert ist (siehst eh mit obeigem Befehl)
=>service system ifdelete name FTP group wan

lg
bully

[jutta]

> Hilft es, den FTP-Server des ST546 zu deaktivieren?

ja, sollte theoretisch helfen, aber vielleicht gibt es eine andere loesung.

> (ist das überhaupt empfehlenswert, oder sollte man das lassen - ich habe ihn bisher noch nie benötigt; alles wurde über die Web-GUI und über telnet erledigt)

alle bisherigen user.inis der ta kamen ohne den wanseitigen zugang zum ftp-server aus. erst seit aon-tv ist der drinnen. imo sollte es ausreichen, das port-forwarding auf localhost in eines auf deine lan-ip zu aendern, aber zid wird uns sicher sagen, ob ich da falsch liege.

> Wie kann ich den FTP-Dienst des ST546 dauerhaft deaktivieren?

brauchst du imo gar nicht, siehe oben.

> Naheliegende Lösung: einfach einen anderen Port nehmen.
Ich habe versucht WAN-IP:17321 an LAN-IP:21 weiterzuleiten -

klar: wenn du das willst, musst du dem speedtouch zusaetzlich beibringen, die ftp-regeln (vereinfacht: antwortpaket kommt von einem anderen port als erwartet) auf den von dir gewaehlten port anzuwenden. wie das geht, hat zid vor kurzem erklaert:

http://xDSL.at/viewtopic.php?p=345871&highlight=#345871

fuer dein problem auch interessant:
http://xDSL.at/viewtopic.php?p=346154&h ... ftp#346154
http://xDSL.at/viewtopic.php?t=40643
http://xDSL.at/viewtopic.php?t=40882&start=15

und ueberhaupt ist es sinnvoll, so ziemlich alle postings von zid zu lesen, wenn man sich mit einem st modem beschaeftigt und mit den 08/15 configs nicht das auslangen findet.

[madmat17]

Hallo jutta, bully,

danke für die prompte AW und die tips & links.
die verlinkten threads haben ich jetzt mal kurz überflogen - werde mir diese dann morgen in aller ruhe zu gemüte führen. wundere mich nur, warum ich die beiträge nicht gefunden habe.
nachdem ich mich da ein bisschen durchgekaut habe, werde ich wissen, ob ich das forwarding ändere, dem ST546 die "korrekten" ports beibringe, oder ob ich den FTP-dienst am ST546 deaktiviere.

die NAT Maplist:

Code: Alles auswählen

Idx Type Use Interface       Outside Address               Indside Address
  1 NAPT  0  Shared_Internet 80.121.xxx.xxx:[20-25]        10.0.0.2:[20-25]
  2 NAPT  0  Shared_Internet 80.121.xxx.xxx:1723           127.0.0.1:1723
  3 NAPT  0  Shared_Internet 80.121.xxx.xxx:[17320-17325]  10.0.0.2:[20-25]
  4 NAPT  0  Shared_Internet 80.121.xxx.xxx:64711          10.0.0.2:21
  5 NAPT  0  Shared_Internet 80.121.xxx.xxx:1900           127.0.0.1:1900
  6 NAPT  0  Shared_Internet 80.121.xxx.xxx:3235           127.0.0.1:3235
  7 NAT   0  Shared_Internet 80.121.xxx.xxx                127.0.0.1
  8 NAPT  6  Shared_Internet 80.121.xxx.xxx                unmapped

Habe alles von hand abgetippt; ging schneller, als den befehl zu suchen, wie man in PuTTY die Shell in die Zwischenablage kopiert...

alle bisherigen user.inis der ta kamen ohne den wanseitigen zugang zum ftp-server aus. erst seit aon-tv ist der drinnen. imo sollte es ausreichen, das port-forwarding auf localhost in eines auf deine lan-ip zu aendern, aber zid wird uns sicher sagen, ob ich da falsch liege.

hm. aonTV hab ich nicht (habe eine 2MiB-Leitung); die FW-version hatte ich auf das modem gespielt, da gab es (glaube ich) das aonTV noch gar nicht - und fremde INIs habe ich seit dem nicht eingespielt.
zum port-forwarding auf localhost: du meinst, ich sollte alles auf meine NAS-box durchreichen? ist das sicherheitstechnisch nicht riskant? denn somit umgehe ich ja auch die standard-regel der firewall (alle inbounds werden blockiert, solange dafür kein port-forwarding ins LAN besteht)

klar: wenn du das willst, musst du dem speedtouch zusaetzlich beibringen, die ftp-regeln (vereinfacht: antwortpaket kommt von einem anderen port als erwartet) auf den von dir gewaehlten port anzuwenden.

ah - ok. wenn der server in nirvana brüllt wird ihn der FTP-client natürlich nicht hören...
ehrlich gestanden: ich hatte weder zeit noch muse, mich detaillierter mit dem FTP (ich meine das protokoll an sich) zu beschäftigen; ging jedoch davon aus, dass über port 21 (bzw 20+21 beim aktiven FTP) die restlichen ports ausgeandelt werden.
zudem: wieso hält die NAT im ST546 die forwarding nur in eine richtung ein? wenn die anfrage vom port XY kommt, sollte die antwort doch auch dorthin zurück gesandt werden - oder bin ich da ein bisschen naiv?

danke,
mat

[bully]

Du schreibst, du hast ein ST 546v5.
Frage 1) Hast du auch den Port 64711 auf 21 am NAS weitergeleitet? Davon schreibst nix in deiner ausführlichen Schilderung.
Frage 2) Welche Firmware läuft auf deinem v5? Edit: Habs grad gelesen, 5.4.0.14, passt.
Frage 3) In welcher Einstellung läuft deine FW?
Frage 4) Wie testest du den Zugriff von außen?

lg
bully

PS: Wanseitig ist Port 21 nicht zu.

[jutta]

> Habe alles von hand abgetippt; ging schneller, als den befehl zu suchen, wie man in PuTTY die Shell in die Zwischenablage kopiert...

kein befehl noetig. einfach mit der linken maustaste markieren (drueberziehen). dann ist es automatisch in der zwischenablage.

> zum port-forwarding auf localhost: du meinst, ich sollte alles auf meine NAS-box durchreichen?

nicht *alles* - nur den ftp-port (oder was immer dort halt funktionieren soll)

> ehrlich gestanden: ich hatte weder zeit noch muse, mich detaillierter mit dem FTP (ich meine das protokoll an sich) zu beschäftigen; ging jedoch davon aus, dass über port 21 (bzw 20+21 beim aktiven FTP) die restlichen ports ausgeandelt werden.
zudem: wieso hält die NAT im ST546 die forwarding nur in eine richtung ein? wenn die anfrage vom port XY kommt, sollte die antwort doch auch dorthin zurück gesandt werden

genau so ist es. pakete werden dorthin geschickt, woher sie gekommen sind. aber ftp braucht da eine ausnahme (die frueher dazu gefuehrt hat, dass ftp hinter nat ueberhaupt nicht funktioniert hat - zb hier erklaert http://www.ncftp.com/ncftpd/doc/misc/ft ... walls.html wenn du "ftp + nat" in einen suchmaschine eingibst, findest du hunderte artikel dazu).


stateful inspection und application layer gateways fuehren dazu, dass es bei modernen routern funktioniert. dazu muessen aber die entsprechenden regeln eingetragen sein. die sind fuer port 21 schon ab werk eingetragen, weil port 21 der traditionelle ftp-port ist. wenn du deinen ftp auf einem anderen port betreibst, greifen die werksseitigen regeln nicht und du musst sie selbst eintragen bzw anpassen.

siehe auch wikipedia:

Beim passiven FTP (auch „Passive Mode“) sendet der Client ein PASV-Kommando, der Server öffnet einen Port und übermittelt diesen mitsamt IP-Adresse an den Client. Hier wird auf der Client-Seite ein Port jenseits 1023 verwendet und auf der Server-Seite der vorher an den Client übermittelte Port.

angenommen, der ftp-server sagt dem client: "ich warte auf port 1024 auf deine pakete" und der client schickt sie dorthin: fuer 1024 hast du kein portforwarding gemacht. es kann also nur funktionieren, wenn dein router beim rausgehenden paket nicht nur den header liest (das passiert normalerweise bei nat), sondern auch den text-teil des pakets, weil dort die information versteckt ist, zu welchem port die antwort geforwardet werden muss.

wenn du hilfe beim testen brauchst, weil man server nicht vom lan aus testen kann, schrei das machen wir gerne. ip adressse oder dyndns-adresse ev per pn.

[bully]

wenn du hilfe beim testen brauchst, weil man server nicht vom lan aus testen kann, schrei das machen wir gerne. ip adressse oder dyndns-adresse ev per pn.

oder

=>ip config natloopback enabled

Kannst dann schön vom Schreibtisch aus testen

bully

[madmat17]

Hi,

Vielen Dank für eure Hilfe - da ich das Problem (dank eurer Hilfe) mittlerweilen lösen konnte, gehe ich auf dei Frage nicht mehr ein.

Funktioniert im Grunde ganz einfach, wenn man zumindest im Ansatz versteht, was man da tut...
Ich habe den WAN-Port 2121 auf den LAN-Port 21 geforwarded.
Im ST546 habe ich den Port 2121 noch an den FTP Helper gebunden:

"=>connection bind application FTP port 2121"
(wie hier beschrieben)

Wenn ich nun den Loopback aktiviere, komme ich über den Port 2121 auf meinen FTP-Server.

Eine Frage an dieser Stelle:
Was GENAU bewirkt der NAT Loopback? Wird damit verhindert, dass die Anfrage über außen geht, wenn nach dem DNS-Resolve erkannt wird, dass die IP die eigene WAN-IP ist?

Danke,
Mat

[bully]

Was ist natloopback?
Der auch hier im Forum bestens bekannte zid hat es mir so erklärt:

natloopback ist eine überbrückung einer hostroute, nämlich der hostroute auf deine pub-ip, was keine triviale angelegenheit ist. immerhin hat du da 32 bit.
wenn der router online ist, dann hat die schnittstelle "loop" mindestens 3 ip's:
127.0.0.1, die lanip (beim st sehr oft 10.0.0.138) und deine öffentliche ip/32 (der ppp-link endet im mu-modus am st). wenn du jetzt vom lan aus mit der öffentl. ip/ddns auf deine(n) server im gleichen lan zugreifen wolltest, würdest du ohne natloopback unweigerlich auf dem st landen- longest bit zählt und 32 bit sind bei der hostroute da, nicht zu toppen (mach einmal natloopback mit ios- viel vergnügen, ich hab's bis jetzt noch nicht geschafft).
natloopback verhindert dieses verhalten, die pakete gehen vom inputchannel direkt in den outputchannel (forward wird ausgelassen, sonst würde ja...) und dann richtung provider-gateway/router. dort werden sie wieder retourgeroutet und kommen so von *außen* auf deinen server (vorgesetzt du hast deine weiterleitungen korrekt gesetzt), unterm strich hast du eine kleine wanschleife gemacht.
natloopbackist ist also sehr praktisch, du kannst in aller gemütlichkeit neben dem server sitzen und portweiterleitungen, servereinstellungen usw. von *außen* testen, ohne einen externen rechner zu benötigen.

Wer es genauer nachlesen will:http://www.dieschmids.at/Speedtouch-Allgemein/499-Port-Forwarding-Problem-beim-546v5.html

lg
bully

[madmat17]

Hi Bully,

Danke für die Info - den Artikel kannte ich jedoch schon.
Leider werde ich daraus auch nicht wirklich schlau. Werde mal schauen, ob ich im Internet nicht doch eine Erklärung für Dummies finde...

Lg,
Mat

[zid]

>"...Was GENAU bewirkt der NAT Loopback? Wird damit verhindert, dass die Anfrage über außen geht, wenn nach dem DNS-Resolve erkannt wird, dass die IP die eigene WAN-IP ist?..."

nein, natloopback ist weder ein dns-spoof noch eine nat-on-a-stick ähnliche konstruktion, das ding läuft tatsächlich über eine mini wanschleife. am besten schaust du dir das in natura an:
=>ip debug traceconfig input -telnet output -telnet forward -telnet drop -telnet arp none mode line
du startest/stopst den tracemodus mit strg+q/strg+s
bin auf natloopback in diesem forum in zusammenhang mit ids schon mal eingegangen, kann den faden aber nicht finden, weil die SuFu bei mir streikt.