wie im Betreff
Aktiv: Verzeichnisinhalt kann nicht empfangen werden
Passiv: es kann keine route gefunden werden
getestet mit mozilla
unveschlüselt fuktioniert es
was muss ich bei sftp neben der portweiterleitung noch konfigurieren?
Versionen: Mozilla 3.53
proftp: 1.32
Lancom: 821 plus 8.6.2 RU 1
von innen über die dyndns adresse fnzt es, aber der Lancom scheint intern zu bleiben, das die Geschwindigkeit viel zu hoch wäre ( 12 MB / s bei nem 6000 (565 up)
vielen dank
schwimma
explizietes SFTP mit proftp- Problem
Moderator: Lancom-Systems Moderatoren
Moin,
meinst Du mit SFTP jetzt den Dateitransfer über SSH, oder FTP über SSL/TLS? Bei letzterem
dürfte sich das Masquerading im LANCOM schwertun, den auf dem Kontrollkanal ausgehandelten
TCP-Port für die Datenverbindung mitzulesen, weil selbiger nun einmal end-to-end verschlüsselt
ist...
Gruß Alfred
meinst Du mit SFTP jetzt den Dateitransfer über SSH, oder FTP über SSL/TLS? Bei letzterem
dürfte sich das Masquerading im LANCOM schwertun, den auf dem Kontrollkanal ausgehandelten
TCP-Port für die Datenverbindung mitzulesen, weil selbiger nun einmal end-to-end verschlüsselt
ist...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hi schwimmer,
passiv FTPS sollte problemlos gehen, wenn zwei bedingungen erfüllt sind:
1. Der server steht *nicht* hinter einem NAT
2. Du hast in der Firewall alle TCP-Ports für den Server freigegeben:
Ab der 8.62RU1 akzeptieren Firewall und NAT das AUTH-Kommando, so daß du noch eine Möglichkeit hast FTPS zu nutzen, indem du nur die Authentifizierung und die Datenübertragung als solche verschlüsselst, den Kommandokanal ansonsten unverschlüsselt läßt. Dann kann die Firewall auch die Ports korrekt öffnen und das NAT die Adressen korrekt übersetzen, so daß sogar aktives FTP möglich wird.
Gruß
Backlsash
passiv FTPS sollte problemlos gehen, wenn zwei bedingungen erfüllt sind:
1. Der server steht *nicht* hinter einem NAT
2. Du hast in der Firewall alle TCP-Ports für den Server freigegeben:
Code: Alles auswählen
Aktion: übertragen
Quelle: alle Adressen im lokalen Netz
Ziel: IP des Servers
Dienste: alle Diesnte (oder TCP, ohne Portangabe)Gruß
Backlsash
Hi schwimmer
Wenn die Kontrollverbindung verschlüsselt ist, dann hast du keine Chance, wenn beide Seiten hinter einem NAT stehen. Wenn nur eine Seite hinter einem NAT steht, dann funktioniert entweder der passive Modus (Client hinter dem NAT, Server direkt im Internet) oder der aktive Modus (Server hinter dem NAT, Client dierkt im Internet), wenn entsprechende Firewallregeln den Traffic zulassen: passiv-Modus: Client muß alle Ports auf dem Server erreichen dürfen. aktiv-Modus: Server muß alle Ports auf dem Client erreichen dürfen...
Gruß
Backslash
das wäre auch eher eine Einstellung im Client... Er fängt mit AUTH TLS an, authentifiziert sich und beendet dann die verschlüsselung mit dem CCC Kommando - siehe RFC 4217 (Abschnitt 12.3)...ich kann auf dem NAS nur die verschlüsselung aus oder einschalten
trennen kann ich das wohl nicht...
Wenn die Kontrollverbindung verschlüsselt ist, dann hast du keine Chance, wenn beide Seiten hinter einem NAT stehen. Wenn nur eine Seite hinter einem NAT steht, dann funktioniert entweder der passive Modus (Client hinter dem NAT, Server direkt im Internet) oder der aktive Modus (Server hinter dem NAT, Client dierkt im Internet), wenn entsprechende Firewallregeln den Traffic zulassen: passiv-Modus: Client muß alle Ports auf dem Server erreichen dürfen. aktiv-Modus: Server muß alle Ports auf dem Client erreichen dürfen...
Gruß
Backslash
passiv-Modus: Client muß alle Ports auf dem Server erreichen dürfen. aktiv-Modus: Server muß alle Ports auf dem Client erreichen dürfen...
endlich ma ne Erklärung
danke
ja, beide hinter NAT
in der proftp doku steht noch, das man den portbereich einschränken kann in der .conf und diese dann weiterleitet
ist das möglich?
hört sich so an
schwimma
endlich ma ne Erklärung
dankeja, beide hinter NAT
in der proftp doku steht noch, das man den portbereich einschränken kann in der .conf und diese dann weiterleitet
ist das möglich?
hört sich so an
schwimma
Hi schwimmer
Gruß
Backslash
das reicht aber nicht aus, denn du hast dann ja trotz eingeschränkten Ports immer noch die IP-Adreßumsetzung - außer du kannst dem proftp angeben, welche IP-Adresse (d.h. öffentliche) er in die PASV-Antwort packen soll...n der proftp doku steht noch, das man den portbereich einschränken kann in der .conf und diese dann weiterleitet
ist das möglich?
Gruß
Backslash
-
Transcendence
- Beiträge: 144
- Registriert: 21 Okt 2006, 15:28
[Edit] 1. Config-Einstellung Bind durch DefaultAddress ersetzt, da Bind aktuell nicht mehr verwendet wird. [/Edit]
ja, das geht, das machen wir - allerdings mit einer fixen IP-Adresse - genau so: FTPS mit ProFTP hinter einem Lancom-Router mit NAT. Damit das problemfrei klappt, braucht es die folgenden Config-Einstellungen:
- DefaultAddress (früher: Bind = proftpd auf die private IP-Adresse festlegen)
- MasqueradeAddress (die öffentliche IP-Adresse, auf die umgesetzt werden soll, z.B. die DynDNS-IP-Adresse)
- PassivePorts (verwendeter Portbereich von/bis für Datenübermittlung via PASV, der nicht mit dem Lancom selbst in Konflikt gerät - diesen Portbereich teilt ProFTP dem Client dann über den Kontrollkanal mit)
Beispiel (mit externer Pseudo-IP-Adresse):
Und natürlich die Einstellungen für das TLS Module aktivieren.
Im Lancom im Maskierungsmodul Portweiterleitungen für den Kontrollkanal (21) und die Daten (obige PassivePorts 50000-55000) zum ProFTP-Server einrichten.
Ist bei uns seit über 6 Jahren so im Einsatz.
Da nur die IP-Adressen von Interesse sind, spielt es keine Rolle, wie die Namen aufgelöst werden. Darum funktioniert das prinzipiell auch mit DynDNS. Allerdings müsste man nach jedem IP-Adress-Wechsel die Einstellung "MasqueradeAddress" anpassen, sprich: die neue DynDNS-IP-Adresse eintragen, und dann die neuen Einstellungen von ProFTP neu laden lassen. Das könnte man sicherlich scripten...
Grüße
T.
Hallo,schwimmer hat geschrieben:ja, das soll angeblich gehen in der .conf
hoffentlich auch mit dem dyndns namen, weil ne feste kann ich mir nicht leisten
vielen dank nochmal backslash
gruß
schwimma
ja, das geht, das machen wir - allerdings mit einer fixen IP-Adresse - genau so: FTPS mit ProFTP hinter einem Lancom-Router mit NAT. Damit das problemfrei klappt, braucht es die folgenden Config-Einstellungen:
- DefaultAddress (früher: Bind = proftpd auf die private IP-Adresse festlegen)
- MasqueradeAddress (die öffentliche IP-Adresse, auf die umgesetzt werden soll, z.B. die DynDNS-IP-Adresse)
- PassivePorts (verwendeter Portbereich von/bis für Datenübermittlung via PASV, der nicht mit dem Lancom selbst in Konflikt gerät - diesen Portbereich teilt ProFTP dem Client dann über den Kontrollkanal mit)
Beispiel (mit externer Pseudo-IP-Adresse):
Code: Alles auswählen
DefaultAddress 10.10.16.24
PassivePorts 50000 55000
# Comment/uncomment this for FTP/FTPS
MasqueradeAddress 257.345.812.911
Im Lancom im Maskierungsmodul Portweiterleitungen für den Kontrollkanal (21) und die Daten (obige PassivePorts 50000-55000) zum ProFTP-Server einrichten.
Ist bei uns seit über 6 Jahren so im Einsatz.
Da nur die IP-Adressen von Interesse sind, spielt es keine Rolle, wie die Namen aufgelöst werden. Darum funktioniert das prinzipiell auch mit DynDNS. Allerdings müsste man nach jedem IP-Adress-Wechsel die Einstellung "MasqueradeAddress" anpassen, sprich: die neue DynDNS-IP-Adresse eintragen, und dann die neuen Einstellungen von ProFTP neu laden lassen. Das könnte man sicherlich scripten...
Grüße
T.
Zuletzt geändert von Transcendence am 21 Jul 2012, 16:42, insgesamt 1-mal geändert.
Re: explizietes SFTP mit proftp- Problem
Moin
da ich mich nun nochmals damit beschäftigen musste habe ich zufällig auch ne Lösung gefunden
SFTP ( als ableger von SSH und SCP) funzt sofort...
jetzt aber von einen qnap zu einen qnap
und sftp zugang von einem Android smartphone und proftp...
is nur etwas langsamer...
schwimma
da ich mich nun nochmals damit beschäftigen musste habe ich zufällig auch ne Lösung gefunden
SFTP ( als ableger von SSH und SCP) funzt sofort...
jetzt aber von einen qnap zu einen qnap
und sftp zugang von einem Android smartphone und proftp...
is nur etwas langsamer...
schwimma