Toon posts:

Draytek 2200E en passive ftp probleem

Pagina: 1
Acties:
  • 350 views sinds 30-01-2008
  • Reageer

maandag 22 september 2003 15:20

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb het forum al helemaal doorgespit maar heb nog geen oplossing gevonden voor mijn probleem.

Ik heb een Draytek 2200E router (firmware is 2.3.6 dus de nieuwste) aangeschaft en wil hier achter een passive(!) ftp draaien. Nu ben ik geen complete n00b volgens mij maar ik krijg het toch niet voor elkaar.

Ik draai een ftp server op mijn pc'tje. Gewoon port 21 en netjes de passive poorten ingesteld plus het externe IP dat wordt meegegeven bij de passive connection. Active connectie werkt helemaal naar behoren, niets aan de hand. Passive ftp was voor installatie van de router ook nooit een probleem. Firewall op de pc is niet geinstalleerd. Ik heb nog even andere serversoftware geprobeerd maar exact hetzelfde probleem.

Wat heb ik gedaan? Ik heb eigenlijk alles wel geprobeerd denk ik. Maar wat volgens mij voldoende zou moeten zijn is:

1. Port redirection instellen voor port 21 en voor de passive poorten (1500-1505).
2. Open ports instellen voor 20,21 en 1500-1505.
3. Firewall vrijgeven 21, 1500-1505 inkomend en 20 uitgaand.

Dit zou volgens mij voldoende moeten zijn. Ik heb ook nog wat dingen geprobeerd zoals het redirecten van port 20 en in de firewall heb ik de pc die probeert te connecten nog vrijgegeven in de firewall, alle relevante poorten 2 kanten op open gezet enzovoort. DMZ setting nog geprobeerd maar ook dan geen succes.

Bij een passive connectie loopt hij prima totdat de dirlisting opgehaald moet worden. Dan krijg ik de melding dat er een timeout is op de data port. Zowel de info op de ftp server als de ftp client helpt me niet verder en ik zie niet echt een duidelijk log op de router dat me verder gaat helpen.

Iemand een oplossing?

maandag 22 september 2003 15:24

Acties:
  • 0 Henk 'm!
  • Bikkel-Rulez
  • Registratie: September 2003
  • Laatst online: 14-03 14:19

Bikkel-Rulez

probeer je zelf te connecten dat de ftp?? of iemand van buiten af

als je zelf probeert meot je de interne ip gebruiken en van buitenaf moeten ze dan je normale ip nummer gebruiken

of ik lees niet goed volgens mij bedoel je dit ?

maandag 22 september 2003 15:29

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Beide. Aangezien ik vanaf de pc waarop de server draait connect met de ftp op het externe IP mag dit eigenlijk niet uitmaken aangezien de router de port redirection toch uitvoert ook al is het bron IP hetzelfde als het doel IP. Maar ik heb natuurlijk een vriend gevraagd om het echt van buiten af te proberen en dat werkt ook niet (wel weer active en passive tot de dirlisting) met exact dezelfde foutmelding.

maandag 22 september 2003 15:32

Acties:
  • 0 Henk 'm!
  • Bikkel-Rulez
  • Registratie: September 2003
  • Laatst online: 14-03 14:19

Bikkel-Rulez

ik draai zelf ook een ftp server achter een router heb alleen poort 20 en 21 open

en dan 21 ingesled in de ftp programma en dan connecten met flash fxp werkt perfect

wel ftp programma gebruik je dan vul je dat wel goed in??

maandag 22 september 2003 15:36

Acties:
  • 0 Henk 'm!

Verwijderd

mmhhh.... ik weet van mezelf dat ik zelf achter een router sta en dat ik bij sommige ftp-servers in passive mode gewoonweg niet kan inloggen :(
reden daarvoor is niet bekend

maandag 22 september 2003 15:38

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ja het werkt allemaal prima met een active connection alleen passive werkt dus niet. Ik heb Serv-U 4 en BPFTP als servers geprobeerd en FlashFXP en SmartFTP als clients en telkens hetzelfde probleem. Het gaat mis bij het forwarden van de passive porten denk ik maar ik heb het al een paar keer nagelopen en verschillende ranges geprobeerd maar zonder succes.

maandag 22 september 2003 15:39

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
voor TIGER79: sommige ftp's vragen om IDENT, probeer port 113 inkomend eens open te zetten en te redirecten.

dinsdag 23 september 2003 08:48

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
hellup?

dinsdag 23 september 2003 08:53

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 22 September 2003 @ 15:36:
mmhhh.... ik weet van mezelf dat ik zelf achter een router sta en dat ik bij sommige ftp-servers in passive mode gewoonweg niet kan inloggen :(
reden daarvoor is niet bekend
Als die FTP's ook al achter een router zitten, dan werkt het niet nee. Want 2 keer passive mode, is een no-go. :)

dinsdag 23 september 2003 10:56

Acties:
  • 0 Henk 'm!
  • PtrO
  • Registratie: November 2001
  • Laatst online: 15-08 10:57

PtrO

PASsiVe FTP verlangt dat jouw Draytek in staat is om (bepaalde) inkomende poorten (als bepaald door de FTP server) zullen worden gestuurd naar je FTP-server.

De meeste FTP-servers (iig Serv-U) kan je instellen welke poortserie gebruikt zxal worden voor PASV. Vervolgens maak je een poort/autorisatie map op de Firewall/NAT router om die poort-serie door te sluizen naar je FTP-server machine.

Voor ca 10-20 gebruikers is het meestal voldoende om 5 PASV poorten te gebruiken.

Kan je met jouw FTP-server geen PASV poorten instellen kan je alleen nog je (Draytek) "DMZ" optie aanzetten waardoor alle nog niet gemaakte port-maps door worden gestuurd naar het IP adres waar je FTP-server draait.

PASsiVe FTP werkt (in het kort) alsvolgt:
1 ) Gebruiker opent een sessie naar (FTP) poort 21 op jouw FTP server, logged in en zet PASV aan.
2 ) Vraagt bijv een file op om te up/downloaden, dit verzoek gaat alsvolgt:
-
3 ) Gebruiker stuurt dat verzoek naar poort 21 naar de FTP server.
-
4 ) De FTP server antwoordt de via welke poort (agv PASV) de client de data moet ophalen.
5 ) FTP-server onthoudt FF die pasv-poort FF tijdelijk van die gebruiker is.
6 ) FTP-client ontvangt het antwoord, opent de pasv-poort en stuurt/vraagt data met bevestiging.
7 ) De FTP-client haalt/stuurt de data naar die door ftp-server uitgekozen pasv-poort.
8 ) Poort 21 blijft en wordt in een vraag & antwoordspel gebruikt om evt. de pasv-poort te veranderen en de FTP transmissie te controleren.
9 ) stap 4 t/m 8 wordt herhaald totdat de file is overgestuurd.
-
10 ) Gebruiker sluit af of doet een nieuw verzoek (gaat weer naar stap 2).

Kortom ipv dat de FTP-client bepaald welke poort voor de FTP-data wordt gebruikt, doet de FTP-server dat. Hierdoor loopt vanuit de client gezien, de open-poort sesie van binnen-naar buiten.

Met active FTP (zoals PORT xxx, default=20) zal de client de FTP-server vertellen over/via welke poort de data zal worden verstuurd. Hiermee zal technisch gezien de sessie door de FTP server (van buiten) naar de client (binnen) worden gemaakt.

Dit geeft dan problemen omdat de meeste firewalls het niet toestaan dat iemand 'zomaar' van buiten af verindingen opzet naar binnen. Immers de Firewall-router heeft in principe geen benul dat gebruiker A aan het FTP'en is.

Met passive is er in principe geen probleem omdat de pasv-poort van binnen (door de client) naar buiten (naar FTP-server) wordt opgezet. Dit open-poort verzoek wordt normaliter geregisteerd toegestaan door de firewall. Immers de client wordt geacht geauthoriseerd te zijn.

Go with the flow blocking your way and use AD for achieving results

dinsdag 23 september 2003 13:52

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 14:09

laurens0619

heel mooi verhaal ptr0. je verteld alleen dingen die de TS allang weet. hij heeft toch ook de passive poorten gemapt?

@TS: Laat anders die vriend even een portscan op je uitvoeren om te kijken of die poorten wel echt open staan, en probeer anders eerst even met de firewall compleet uit. weet je of het daar ligt

CISSP! Drop your encryption keys!

dinsdag 23 september 2003 20:33

Acties:
  • 0 Henk 'm!
  • PtrO
  • Registratie: November 2001
  • Laatst online: 15-08 10:57

PtrO

OK soz voor de uitgebreide basis eerder, maar was even nodig om een fundamentje te leggen.

@TS ,
Die PASV mode doe je ws op/vanuit je eigen private IP (Intranet) en niet met een andere externe verbinding die geheel losstaat van de Draytek. Toch ?

Wanneer je op/via Intranet naar je eigen FTP server gaat (= dus private/switch van de Draytek IP) zal je FTP server het externe IP adres terugsturen als PASV poort. Tot zover OK.

Dat PASV-adres-poort zal vervolgens door je FTP client worden gebruikt om de data-sessie te openen naar je FTP-server (via extern adres dus). In principe nog steeds goed.

Dit zal door de Draytek (agv open-ports met NAT) aankomen bij je FTP-server. Nog steeds goed.

Je FTP server verwerkt en zal het verzoek terugsturen naar het origin-adres (wat dus je private IP is van de client). En nu gaat het fout.

De Draytek zal/kan geen interne re-mapping doen van je origin-adres, maar dit als extern adres beschouwen omdat..... deze logisch gezien op/via 'extern' (WAN-poort) binnenkwam (en dus in de dynamische NAT tabel staat).
De WAN poort zal dus gaan zoeken/doorzenden naar een private IP adres, waar hij nooit bij kan komen omdat die immers achter je NAT/Firewall zit.

Wil je dus Intranet FTP'en naar je Intranet FTP-server, gebruik dan active FTP.
En/of gebruik dus een FTP-client die een mislukte/timed-out PASV automatisch fallbacked naar active FTP (via PORT x.x.x.x yy). Zoals bijv. WinCommander dat doet.

Tis een breinbreker maar teken het maar eens stap voor stap uit wat er gebeurd. Maak in je tekening een duidelijk onderscheid van de Firewall, NAT-router en switch functie van de Draytek.

Suc6

[ Voor 6% gewijzigd door PtrO op 23-09-2003 20:38 ]

Go with the flow blocking your way and use AD for achieving results

woensdag 24 september 2003 14:14

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb getest met mijn eigen pc naar het externe IP en iemand heeft van buiten geprobeerd. Beide lukte wel met active ftp maar dus niet met passive, allebei dezelfde melding op hetzelfde moment.

Maar even heel concreet: wat zijn nu de poorten die ik moet mappen en welke moeten open gezet worden op de server?? Kan iemand me daarmee helpen?

volgens mij:

1. port 21 mappen op 192.168.1.2
2. passive poorten 1500-1505 mappen op 192.168.1.2

3. port 21 open zetten op 192.168.1.2
4. passive poorten 1500-1505 mappen op 192.168.1.2

5. firewall inkomend 21, 1500-1505 open zetten
6. firewall uitgaand port 20 open zetten

Ik had tijdens het proberen ook nog port 20 open gezet en gemapt en het IP van de persoon die van buiten probeerde te testen inkomend en uitgaand vrijgegeven. Ik kan me verder niets anders bedenken dat opengezet zou moeten worden.

Nu vergeet ik nog te zeggen dat ik op de ftp server natuurlijk het externe IP voor de passive connection heb ingevuld en de passive port range heb ingesteld op 1500-1505.

[ Voor 10% gewijzigd door Verwijderd op 24-09-2003 14:16 ]

donderdag 25 september 2003 09:08

Acties:
  • 0 Henk 'm!
  • PtrO
  • Registratie: November 2001
  • Laatst online: 15-08 10:57

PtrO

Op standaard Draytek is jouw voornoemde optie 1+2 (dus poort 21 & 1500-1505 mappen naar 192.168.1.2) voldoende. Dit werkt bij mij (ook met ServU 4.0) prima.

De Draytek heeft standaard (uit de doos) alleen een FireWall (call & data filter) aanstaan op/voor netbios poorten. Tenzij je weet wat je doet, is het 't beste niets te veranderen of toe te voegen aan deze FW instellingen.

Je weet maar nooit. Je FTP-server PC is dat qua network een clean machine of heeft die ook nog iets van NAT, ICS e/o FW's ?

Controleer voor de zekerheid dat je externe IP klopt wat je hebt ingevuld.

Go with the flow blocking your way and use AD for achieving results

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 • Hosting door TrueFullstaq