ComputerBase Menü
Aktuelles

NAS und FTP Konfiguration Probleme

X

xerex.exe

Lieutenant
Registriert
März 2012
Beiträge
734
Hallo zusammen,

ich habe ein Synology NAS DS216J und will von außen per FTP drauf zugreifen können.

Der Zugriff innerhalb des Heimnetzwerkes funktioniert problemlos. von außen kriege ich immer per Filezilla eine Zeitüberschreitung.

Status: Auflösen der IP-Adresse für xxx.synology.me
Status: Verbinde mit xx.xx.xx.xx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 NAS FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH TLS command successful.
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Status: TLS-Verbindung hergestellt.
Befehl: USER xxx
Antwort: 331 Password required for xxx.
Befehl: PASS *********
Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Ich greife dabei über den synology.me DNS Dienst zu. Port 21,22 und 55536 - 55543 sind in der Fritzbox freigegeben. Das NAS hängt im Netzwerk am Wlanrepeater per Lan. Der Repeater ist im Meshnetzwerk integriegt.

Was mache ich gerade noch falsch? Ich komme leider nicht drauf und in der Hilfe von Synology finde ich auch nichts passendes.


Vielen Dank!



Wenn wir sowieso gerade dabei sind, ich habe relativ viele Logs mit User [anonymous] from [79.246.113.110] failed to log in via [FTP] due to authorization failure. Kann ich das irgendwie unterbinden? Ich weiss dass das versuche von Fremden sind sich bei mir einzuloggen.
 
Zuletzt bearbeitet:
WingX schrieb:
FTP benötigt Port 21 und 20, SFTP Port 22. Was nutzt du? Wozu brauchst du die Ports über 55000?
Zum Vergrößern anklicken....

Wenn möglich wäre natürlich sftp mein Favorit. Aber ich wäre froh, wenn FTP erstmal funktioniert. so heikel sind die Daten dann auch wieder nicht. Die Ports wurden in einem anderen Forum als "Antwortports" für das FTP Protokoll betitelt. Sind im NAS auch als Standardports für den passiven FTP betitelt.
 
SFTP läuft über Port 22, und zwar ausschließlich darüber.
FTP(E)S läuft über Port 21 und im aktiven Modus Port 20 (den nutzt quasi niemand mehr, kannst du also ignorieren) und einen frei definierten Port über 1024, in deinem Fall dann 55536-55543.
Du hast also erst mal alles richtig gemacht, in dem Log ist auch zu sehen das du dich korrekt verbindest und die Verbindung mit TLS verschlüsselt wird, also alles gut so.

Warum die Verbindung nach dem Senden des PAssworts abbricht kann ich mir nicht erklären, eigentlich sollte danach der LIST Befehl kommen und dir den Verzeichnisinhalt anzeigen.
Sicher das das Passwort korrekt ist?
 
Masamune2 schrieb:
SFTP läuft über Port 22, und zwar ausschließlich darüber.
FTP(E)S läuft über Port 21 und im aktiven Modus Port 20 (den nutzt quasi niemand mehr, kannst du also ignorieren) und einen frei definierten Port über 1024, in deinem Fall dann 55536-55543.
Du hast also erst mal alles richtig gemacht, in dem Log ist auch zu sehen das du dich korrekt verbindest und die Verbindung mit TLS verschlüsselt wird, also alles gut so.

Warum die Verbindung nach dem Senden des PAssworts abbricht kann ich mir nicht erklären, eigentlich sollte danach der LIST Befehl kommen und dir den Verzeichnisinhalt anzeigen.
Sicher das das Passwort korrekt ist?
Zum Vergrößern anklicken....

Ganz sicher. Habe es mit neu angelegten Benutzern und meinem Login selbst ausprobiert. Mehr kann man ja nicht mehr machen.

Ich weiss nicht ob es einen einfluss hat, aber das NAS ist per Lan an einem Wlanrepeater angeschlossen der im Mesh hängt. Ich werde das mal oben noch mit dazu schreiben.
 
Wäre das Passwort falsch, sollte ja zumindest auch ne Fehlermeldung kommen
 
Wie das NAS am Netz hängt, dürfte keine Rolle spielen. Du kommst ja zumindest an. Für SFTP musst du noch Zertifikate für die Authentifizierung generieren. Aber bleiben wir mal bei FTP. Ich habe im Log kein PASV Kommando gesehen. So, wie die Ports freigegeben sind, müsstest du bei der Client Verbindung noch den passive Mode einschalten und beim Server natürlich auch. Beim Server kannst du dann die Antwort Ports definieren, am besten halt die, die du schon freigegeben hast.
 
Antwortports musst du nicht weiterleiten. Wenn du von außen auf den FTP verbindest, ist der Antwortports ausgehend. D.h. wenn du ausgehend keine Firewall definiert hast, die zB nur http(s) erlaubt, sind die 55xxx ports genau so frei wie alle anderen.

Man muss bei FTP aber wie @WingX schon angedeutet hat zwischen aktivem und passiven FTP unterscheiden.

Passives FTP: Der Client baut erst eine ausgehende Command-Verbindung auf und anschließend eine ausgehende Data-Verbindung. Das sind standardmäßig TCP 20/21. Da beim Server beide Verbindungen eingehend sind, muss es für beide Ports eine Weiterleitung geben.

Aktives FTP: Der Client baut zunächst eine ausgehende Command-Verbindung zum Server auf. Anschließend baut nun der Server eine ausgehende Data-Verbindung zum Client auf.


Das Problem ist in den meisten Fällen die Data-Verbindung , da man am Router des Clients nun eine Portweiterleitung für den Data-Port benötigt! In fremdverwalteten Netzwerken (zB Hotspot) ist das natürlich nicht möglich. Deswegen empfiehlt sich fast immer der von @WingX vorgeschlagene passive Modus.

"Antwortports" werden von jedem handelsüblichen Router automatisch weitergeleitet, weil das schlicht und ergreifend der Quell-Port ist.
 
Du hast TLS eingeschaltet, d.h. dein NAT router kann keine NAT helper benutzen um, den passiven Modus auf die Sprünge zu helfen.

Deswegen muss:
- der passive port range auf dem Router freigegeben werden
- der passive port range auf dem FTP server konfiguriert sein
- der FTP server die korrekte öffentliche IP Addresse wissen und dem Client mitteilen


Leider ist dein Filezilla log nicht detalliert. Rechtsklick auf das Log Fenster und "Show detailed log" aktivieren.


Und den test musst darfst du nicht von gleichen LAN aus auf die öffentliche IP machen, denn wenn dein Router NAT-Loopback nicht unterstützt dann gehts schonmal darum nicht.

Am besten erstellt du einen Test Account und probierts das ganze auf https://ftptest.net/
 
Raijin schrieb:
Antwortports musst du nicht weiterleiten. Wenn du von außen auf den FTP verbindest, ist der Antwortports ausgehend. D.h. wenn du ausgehend keine Firewall definiert hast, die zB nur http(s) erlaubt, sind die 55xxx ports genau so frei wie alle anderen.

Man muss bei FTP aber wie @WingX schon angedeutet hat zwischen aktivem und passiven FTP unterscheiden.

Passives FTP: Der Client baut erst eine ausgehende Command-Verbindung auf und anschließend eine ausgehende Data-Verbindung. Das sind standardmäßig TCP 20/21. Da beim Server beide Verbindungen eingehend sind, muss es für beide Ports eine Weiterleitung geben.

Aktives FTP: Der Client baut zunächst eine ausgehende Command-Verbindung zum Server auf. Anschließend baut nun der Server eine ausgehende Data-Verbindung zum Client auf.


Das Problem ist in den meisten Fällen die Data-Verbindung , da man am Router des Clients nun eine Portweiterleitung für den Data-Port benötigt! In fremdverwalteten Netzwerken (zB Hotspot) ist das natürlich nicht möglich. Deswegen empfiehlt sich fast immer der von @WingX vorgeschlagene passive Modus.

"Antwortports" werden von jedem handelsüblichen Router automatisch weitergeleitet, weil das schlicht und ergreifend der Quell-Port ist.
Zum Vergrößern anklicken....


passive FTP ist beim NAS sowie bei Filezilla eingestellt. Port 20 habe ich auch noch freigegeben.
Ergänzung ()

luky37 schrieb:
Du hast TLS eingeschaltet, d.h. dein NAT router kann keine NAT helper benutzen um, den passiven Modus auf die Sprünge zu helfen.

Deswegen muss:
- der passive port range auf dem Router freigegeben werden
- der passive port range auf dem FTP server konfiguriert sein
- der FTP server die korrekte öffentliche IP Addresse wissen und dem Client mitteilen


Leider ist dein Filezilla log nicht detalliert. Rechtsklick auf das Log Fenster und "Show detailed log" aktivieren.


Und den test musst darfst du nicht von gleichen LAN aus auf die öffentliche IP machen, denn wenn dein Router NAT-Loopback nicht unterstützt dann gehts schonmal darum nicht.

Am besten erstellt du einen Test Account und probierts das ganze auf https://ftptest.net/
Zum Vergrößern anklicken....

Brauch ich die öffentliche IP oder reicht der DNS?
 
xerex.exe schrieb:
passive FTP ist beim NAS sowie bei Filezilla eingestellt. Port 20 habe ich auch noch freigegeben.
Zum Vergrößern anklicken....
Was heißt bei dir "freigegeben"?

Es muss

- eine Portweiterleitung im Router erstellt werden
- eine Ausnahme in der Firewall im Router erstellt werden (passiert bei 08/15 Consumer-Routern automatisch im Hintergrund)
- am FTP-Server sichergestellt werden
--- dass die Firewall des Servers Zugriffe von außen bzw externen IPs erlaubt
--- dass der FTP-Dienst selbst auch Verbindungen von externen IPs erlaubt (bei 08/15 Installationen eigentlich immer der Fall)

Hast du es sonst auch mal mit einem anderen FTP-Client ausprobiert? Ansonsten wäre nun mein nächster Schritt, mittels WireShark/tcpdump am FTP-Rechner zu prüfen ob überhaupt Daten sowohl am Command- als auch am Data-Port ankommen.

Wie @luky37 schon sagte musst du das auch wirklich von außen testen und nicht aus dem eigenen LAN. Das sind nämlich zwei Paar Schuhe und birgt noch weitere potentielle Fallstricke.
 
... oder an der fritzbox ist der ftp Server auch aktiv.
 
Raijin schrieb:
Was heißt bei dir "freigegeben"?

Es muss

- eine Portweiterleitung im Router erstellt werden
- eine Ausnahme in der Firewall im Router erstellt werden (passiert bei 08/15 Consumer-Routern automatisch im Hintergrund)
- am FTP-Server sichergestellt werden
--- dass die Firewall des Servers Zugriffe von außen bzw externen IPs erlaubt
--- dass der FTP-Dienst selbst auch Verbindungen von externen IPs erlaubt (bei 08/15 Installationen eigentlich immer der Fall)

Hast du es sonst auch mal mit einem anderen FTP-Client ausprobiert? Ansonsten wäre nun mein nächster Schritt, mittels WireShark/tcpdump am FTP-Rechner zu prüfen ob überhaupt Daten sowohl am Command- als auch am Data-Port ankommen.

Wie @luky37 schon sagte musst du das auch wirklich von außen testen und nicht aus dem eigenen LAN. Das sind nämlich zwei Paar Schuhe und birgt noch weitere potentielle Fallstricke.
Zum Vergrößern anklicken....
Freigeben im Sinne von Portweiterleitung. Der FTP test bringt das gleiche wie Filezilla.
Ergänzung ()

chrigu schrieb:
... oder an der fritzbox ist der ftp Server auch aktiv.
Zum Vergrößern anklicken....

Nope ist nicht.
 
xerex.exe schrieb:
Freigeben im Sinne von Portweiterleitung.
Zum Vergrößern anklicken....
Dann prüfe den Rest meines Beitrags. Firewall am Server, etwaige Einstellungen an der FTP-Server-Software sowie WireShark/tcpdump. Gerade letztere stellen sicher, dass du die Ursache überhaupt im richtigen Gerät suchst. Wenn WireShark/tcpdump nämlich eingehende Pakete zeigt, ist am Router soweit alles korrekt und es liegt daran, dass der PC bzw das Betriebssystem und/oder die Serversoftware die Verbindung ablehnt.
 
Du must schon die Beiträge ganz lesen und befolgen. Im Filezilla Client den detallierten Log aktivieren und posten, von außderhalb des LANs testen und den ftptest.net output posten.
 
@Raijin @luky37 nach ein wenig testen funktioniert bei mir sftp. Ftp weiterhin immer noch nicht aber das ist mir angesichts der höheren Sicherheit bei sftp auch relativ egal gerade. Für mich hat sich das Problem jetzt gelöst
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PEASANT KING
NAS im AD / Gruppen besitzen keine Rechte trotz Konfiguration
Antworten
2
Aufrufe
650
PEASANT KING
PEASANT KING
M
Speicher Konfiguration für PBS und NAS unter PVE
Antworten
7
Aufrufe
1.428
0x8100
0x8100
L
  • Gesperrt
Gibt es bei dieser Konfiguration Probleme?
Antworten
5
Aufrufe
727
AdoK
A
M
Falsche RAM Konfiguration - Probleme mit USB Peripherie?
Antworten
3
Aufrufe
1.231
MR20
M
C
Konfiguration für Fernbackup von NAS (Synology) zu NAS (QNAP) übers Internet (Vodafone zu Telekom)
Antworten
6
Aufrufe
2.684
Konto gelöscht
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz