FTP Client Port Probleme mit der Windows Firewall

[seha]

Ich habe einen FTP Server und möchte mit meinem Rechner und anderen Rechnern darauf zu greifen (Auch bei welchen wo ich keine Admin rechte habe) das Problem ist jedoch dass ich immer die Windows Firewall des Clients abstellen muss um mich zu verbinden obwohl ich den Standard Port nutze (21) Gibt es eine Möglichkeit das wie ich das umstellen kann um nichts an der Windows Firewall zu ändern zu müssen?

 

[Loopman]

Der FTP Server läuft extern? Oder auf deinem Rechner?

Bedenke, dass bei FTP neben Port 20/21 auch noch ein Port ab 1024 verwendet wird. Bei aktivem FTP bestimmt der Client den Port, bei passivem FTP bestimmt diesen der Server.

 

[seha]

Der Server lauft auf einem anderem Rechner in meinem Netzwerk soll aber von überall mit einer DDNS erreichbar sein

 

[Loopman]

Dann solltest du dich eingehend mit Aktiv/Passiv FTP befassen.

Es wird aber wohl auf Passiv hinauslaufen, d.h. du musst im FTP Server einen hohen Port festlegen, der für die Datenübertragung verwendet wird. Diesen musst du dann, zusammen mit Port21 in der Firewall freigeben und auch auf dem Router forwarden.

Welchen FTP Server verwendest du? FileZilla?

 

[Masamune2]

Im lokalen LAN kannst du aktives FTP verwenden, dann musst du Port 20 und 21 freigeben. Über 21 laufen die Kommandos, über 20 dann anschließend die Daten.
Bei einer externen Verbindung solltest du passives FTP konfigurieren. Dabei laufen über Port 21 die Kommandos und über einen selbst festgelegten Port >1024 die Daten. Der muss dann zusammen mit 21 auf deinem Router zu dem Server weitergeleitet werden.

 

[chrigu]

als hinweis: sftp benützen um böse überraschungen zu vermeiden. ist das selbe wie ftp nur nicht offen wie ein scheunentor

 

[seha]

Ich benutze den FTP Server vom Windows Server 2016 (IIS Manager)

 

[Masamune2]

Dann solltest du unter Server Certificates noch ein selbst signiertes Zertifikat erstellen, dann kannst du FTPS nutzen.
Nicht mit SFTP verwechseln das ist eigentlich kein klassisches FTP sondern setzt auf SSH auf und nutzt Port 22. Ist allerdings firewallfreundlicher da du die Geschichte mit passive Port Range nicht hast.

 

[seha]

Ich blicke da leider noch nicht ganz durch mein Ziel ist es von überall auf meinen FTP Server zuzugreifen ohne Ports auf dem Client zu ändern oder Programme zu installieren einfach über Windows Netzwerkadresse hinzufügen, IP eingeben und fertig.

 

[Masamune2]

Von überall heißt auch von außen? Dann musst du die Ports auf deinem Router entsprechend weiterleiten. Sofern du überhaupt noch eine öffentliche IPv4 Adresse hast.
Wie das geht hängt vom Router ab und es gibt genug Anleitungen dazu.

Im lokalen Netz kannst du dir das sparen, da muss lediglich die lokale Firewall auf dem Server und Client passen. Da gibt man aber üblicherweise die .exe frei, dann spielt es keine Rolle welche Ports genutzt werden.

 

[seha]

Ich habe eine DDNS und die Ports im Router freizugeben ist kein Problem jedoch schaffe ich es nicht mich mit dem Server zu verbinden ohne meine Firewall am Client abzuschalten.

 

[Masamune2]

Dann konfiguriere deine Firewall doch einfach. Gib die .exe deines FTP Clients frei und alles ist gut.

 

[Datax]

@ seha

Ich habe eine DDNS und die Ports im Router freizugeben ist kein Problem jedoch schaffe ich es nicht mich mit dem Server zu verbinden ohne meine Firewall am Client abzuschalten.

Das wird daran liegen, dass der IIS im Moment auf "aktives FTP" eingestellt ist,
so dass der IIS von seinem Quellport 20 eine Verbindung zu einem High-Port des Clients aufbauen möchte.

Die meisten High-Ports sind in der Windows-Firewall EINGEHEND gesperrt,
einfach aus Sicherheitsgründen.

Lösung dieses Problems und auch deines eigentlichen Vorhabens ist wie hier schon angesprochen wurde der Einsatz von "passivem FTP".

Dabei nennt der FTP-Server ( dein IIS ) dem Client einen Datenport ( aus einer vordefinierten Portrange ),
so dass dann der Client die Datenverbindung aufbaut ( ausgehende Verbindung ).

Das löst clientseitig 1. das Problem, dass die Windows-Firewall ( weil ausgehend normalerweise alles erlaubt ist )
nicht stört und 2. clientseitig auf dem Router keine Portweiterleitungen eingerichtet werden müssen.

Ich habe noch nie einen IIS konfiguriert, aber ich hab' dir zumindest für den IIS von "Windows Server 2012" mal
eine Anleitung rausgesucht, wo du "passives FTP" konfigurieren kannst:

https://technet.microsoft.com/de-de/library/hh831655(v=ws.11).aspx

Ab dem Bereich "So konfigurieren Sie die Firewallunterstützung" wird es für dich interessant,
der Rest schadet zum Verständnis aber sicher auch nicht.

Unter deinem "Windows Server 2016" kann es eigentlich auch nicht viel anders sein,
was die Einrichtung des IIS betrifft.

NICHT VERGESSEN:

Der Portbereich, den du im IIS unter "Datenkanal-Portbereich" einstellst,
sind die Datenports des IIS.

Dieser komplette Bereich muss per Portweiterleitung ( DNAT-Regel ) an den IIS durchgereicht werden.

Und weiterhin nicht vergessen diesen Portbereich auch in der Windows-Firewall des "Windows Server 2016"
EINGEHEND ( für das richtige Profil oder einfach direkt für alle Profile, also Privat, Domäne und Öffentlich ) freizuschalten.

Und weiterhin nicht vergessen im IIS unter "Externe IP-Adresse der Firewall" deinen DDNS-Hostname einzutragen ( ich hoffe,
dass man dort auch DNS-Namen eintragen kann!? ).

Gruß, Datax

 

[Loopman]

Also der eingebaute FTP Server ist da wohl etwas umständlicher zu konfigurieren.

Z.B. bei FileZilla FTP Server, kann man einfach auf passiv stellen, den gewünschten Datenport angeben und fertig.

Dann musst du auf deinem Router nur noch Port 21 und den von dir selbst ausgewählten Port (>=1024) auf deinen Server weiterleiten lassen, beide Ports in den jeweiligen Firewalls freigeben und läuft.

 

[Masamune2]

Wie man passives FTP konfiguriert wurde ja jetzt hier oft genug erörtert. Scheinbar liegt das Problem ja aber am Client sonst könnte er sich durch deaktivieren der lokalen Firewall ja immer noch nicht verbinden.