FTP achter router - grote Poortmapverhaal gelezen - Netwerken

maandag 29 september 2003 16:19

Acties:

0 Henk 'm!

Krentenboltosti

Topicstarter

OPGELOST. OPLOSSING STAAT HIER.

Het is weer eens zo ver: een FTP-server die niet achter een router werkt. Keywords:
- Alcatel Speed Touch Home getweaked naar Pro
- ADSL basic KPN
- FTP-server: GuildFTPd 0.999.9
- Clients: vier verschillende geprobeerd: IE, XP command line, i.Ftp, WS_FTP

Zowel de server als de client ondersteunen active en passive transfers. Ik heb dit op alle clients getest.

Ik heb poorten 20 en 21 zowel TCP als UDP gemapt naar het juiste interne IP en ik test van buiten mijn netwerk naar binnen. Met andere services kan ik gewoon op m'n LAN komen van buitenaf trouwens. Als ik alleen poort 21 TCP map, dan werkt passive en active niet. Als ik poorten 20 en 21 TCP en UDP map, dan ook niet.

In de search heb ik flink wat topics over dit onderwerp kunnen vinden, maar niets dat werkt voor mij. Ook Google levert geen info op die helpt.

Foutmelding: [Data] Connection refused.
Als ik active/passive niet forceer in de client dan zegt de client: Entering Passive Mode (10,0,0,2,18,28).
Intern IP van de server is inderdaad 10.0.0.2, maar het lijkt erop dat de client dan naar poort 4636 (18*256+28) gaat connecten, en ik map liever niet alle 'hoge' poorten.

Wat doe ik verkeerd?

[ Voor 8% gewijzigd door CmdrKeen op 07-10-2003 11:04 ]

Bloed, zweet & koffie

maandag 29 september 2003 16:23

Acties:

0 Henk 'm!

Anoniem: 45255

firewall?

maandag 29 september 2003 16:24

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Nope. Uitgaand verkeer wordt niet gescreend noch geblockt. Intern trouwens ook (nog) niet: NAT moet het nog een weekje alleen oplossen.

[ Voor 40% gewijzigd door CmdrKeen op 29-09-2003 16:24 ]

Bloed, zweet & koffie

maandag 29 september 2003 16:31

Acties:

0 Henk 'm!

Anoniem: 45255

ok, dat is wat ikzelf vaak vergeet

verrekeste firewall

het lijkt erop dat het probleem bij je ftp server ligt.. deze gaat niet in passive mode automatisch... ik heb altijd bulletproof gebruikt en deze gaat automatisch in passive mode...

maandag 29 september 2003 16:31

Acties:

0 Henk 'm!

]Byte[

Kan het misschien zo zijn dat je provider poorten 20 en 21 enzo blocked??
Heb er wel eens van gehoord om zo op de low-cost abo's geen servers toe te staan maar wel op de duurdere...
Vriend van mij zit bij @home...
Telnet, ftp, http, SMTP.... allemaal inbound de poorten geblocked.
Hij heeft toen de servers naar andere poorten verhuisd (911, 912, ... etc.)
dus een telnet doen naar ip-adres:911 of een ftp naar ip-adres:912 enzo...
werkte toen weer perfect.

maandag 29 september 2003 16:51

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

XS4ALL en KPN. Poorten 20 en 21 heb ik eerder gebruikt voor directe FTP-toegang tot m'n server.

Bloed, zweet & koffie

maandag 29 september 2003 16:56

Acties:

0 Henk 'm!

]Byte[

Hij ook..... totdat de provider ze had dicht gezet....
Dus haal je router er eens tusssenuit en hang 'm weer rechtstreeks aan de kabel...
Dan weet je het zeker!
Nu maak je de aanname dat het nog (waarschijnlijk) wel zou werken.

maandag 29 september 2003 17:04

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Poort 2121 geprobeerd.. werkt ook niet -> zelfde probleem.

Bloed, zweet & koffie

maandag 29 september 2003 17:10

Acties:

0 Henk 'm!

Joen

XS4All blokeert niets nada noppes. Het stimuleert de gebruikers juist om servers op te zetten en je lijn zodoende "nuttig" te gebruiken. Ze leveren echter geen ondersteuning voor het opzetten van servers.

Kun je misschien een anonymous account opzetten en ons het adres van je FTP-server geven? Dan kunnen we zelf ook de foutmeldingen lezen.

maandag 29 september 2003 17:15

Acties:

0 Henk 'm!

]Byte[

kan je geen logging (syslog??) op je router aanzetten ofzo dat je kan zien of er überhaupt iets binnen komt en dan zie je waarschijnlijk ook waarom ie geblocked wordt op je router....
Mogelijk heb je dan toch ergens iets niet goed geconfigureerd staan.

maandag 29 september 2003 17:17

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Op m'n router gemapt:
Poort 20 en 21 TCP en UDP naar het interne IP van de server. Om te testen:
En dat gaat dus niet goed.

Voor zo ver ik weet logt m'n routert niks...

Ik vertrek nu naar huis, ben vanavond weer terug on-line. Hey en *mocht* het ineens gewoon werken: aub n i e t m'n FTP-server gaan abusen he

[ Voor 67% gewijzigd door Anoniem: 35417 op 29-09-2003 18:15 ]

Bloed, zweet & koffie

maandag 29 september 2003 17:19

Acties:

0 Henk 'm!

job

ik kan er gewoon op hoor.
alleen duurt het connecten wel vrij lang

er zit alleen nog ergens een foutje.
als ik connect geeft die de melding connecting to 10.0.0.2
dus het gaat niet helemaal goed. maar kijk eens of het bestand wat ik er nu opgooi ook aankomt?

duurt minuut of 5.

code:

1
2
3

 TCP    *****:1202               a80-126-83-**.adsl.xs4all.nl:ftp  ESTABLISHED
 TCP    *****:1220               a80-126-83-**.adsl.xs4all.nl:ftp  ESTABLISHED
 TCP    *****:1286               a80-126-83-**.adsl.xs4all.nl:48959  ESTABLISHED

dat ben jij toch??

[ Voor 100% gewijzigd door job op 29-09-2003 17:24 ]

maandag 29 september 2003 17:21

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Jij kan er gewoon op? Wtf? Ik heb hier (op m'n werk) niets aan het IP-verkeer veranderd sinds dat het voor de laatste keer werkte...

Bloed, zweet & koffie

maandag 29 september 2003 17:22

Acties:

0 Henk 'm!

Joen

Ah, to many connections

Jah, nu wil iederene natuurlijk tegelijk je proberen te helpen

maandag 29 september 2003 17:23

Acties:

0 Henk 'm!

Tyf

Yup werkt hier ook na ff te moeten wachten

maandag 29 september 2003 17:23

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Wacht maar ff af - vanavond om 20.00 uur ben ik weer on-line, dan zal ik ff het aantal mogelijke connecties opschroeven.

* CmdrKeen wordt helemaal warm van binnen van alle mensen die proberen te helpen

Bloed, zweet & koffie

maandag 29 september 2003 17:24

Acties:

0 Henk 'm!

ThaHandy

Discovery Channel

1 liedje zie ik

@ passievemode wil niet blijkbaar

[code]WinSock 2.0
Connecting to ****
Connected to **** Port 21
220-GuildFTPD FTP Server (c) 1999,2000
220-Version 0.97
220-Haai & welkom op Oogbal!
220 Please enter your name:
USER got
331 User name okay, Need password.
PASS (hidden)
230-Welkom op Oogbal. Je hebt nog 2649 MB ruimte in je account, dus leef je uit

230 User logged in.
SYST
215 DOS/360
REST 100
350 Restarting at byte offset 100. Send RETR to initiate transfer.
REST 0
350 Restarting at byte offset 0. Send RETR to initiate transfer.
CWD /
250 "\" is current directory.
PWD
257 "\" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (10,0,0,2,4,69)

[ Voor 124% gewijzigd door ThaHandy op 29-09-2003 17:29 ]

maandag 29 september 2003 17:26

Acties:

0 Henk 'm!

Paitor

rages doen :P

Hier doet ie het ook gewoon, een klein probleempje is er wel:
Er worden nu al mp3tjes e.d. op gezet, zou dus ff je link weghalen.
Je server is nu toch goed gebleken...

edit:
Test je het soms alleen maar op je werk?
Wie weet is daar wel die poort geblocked???

edit2:
Ik snapte wel dat het de testfile was, zag dat ie nog van grootte veranderde,
maar lullige is dat de policy wat minder makkelijk is in dat soort dingen.
Een test.bin van 5 MB was wat beter geweest

[ Voor 52% gewijzigd door Paitor op 29-09-2003 17:28 ]

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

maandag 29 september 2003 17:26

Acties:

0 Henk 'm!

job

jep, die heb ik er net opgezet.

moet toch even testen

[ Voor 32% gewijzigd door job op 29-09-2003 17:27 ]

maandag 29 september 2003 17:27

Acties:

0 Henk 'm!

Anoniem: 45269

kan hier ook gewoon inloggen met IE hoor, nog behoorlijk snel ook...

maandag 29 september 2003 17:31

Acties:

0 Henk 'm!

job

hmm, helemaal lekker gaat het inloggen nog niet.
met passive mode wil hij connecten met 10.0.0.2 die natuurlijk niet bestaat aan mijn kant van de verbinding.

maandag 29 september 2003 17:32

Acties:

0 Henk 'm!

datkanveelbeter

snel? Heb je al geprobeert dat mp3'tje te DL > Echt supertraag +-10KB/s

maandag 29 september 2003 18:26

Acties:

0 Henk 'm!

Anoniem: 35417

Vilenin schreef op 29 September 2003 @ 17:17:
Op m'n router gemapt:
Poort 20 en 21 TCP en UDP naar het interne IP van de server. Om te testen:
En dat gaat dus niet goed.

Dit willen wij hier dus niet zien. Ten eerste voor je eigen veiligheid: je IP/hostname zomaar publiekelijk posten heeft risico's. En dat de account die je noemt schrijfrechten heeft is natuurlijk helemaal verwerpelijk. Je ziet dat het direct al misgaat. Ik stel dan ook voor dat je de rechten van die account direct beperkt, en de illegale zut wegzet. Er zijn een aantal mensen die de user/pass nu al hebben namelijk.
En daarnaast hebben we het sowieso liever niet dat je ons een adres geeft om te testen of jouw FTP het doet, daar zoek je maar iemand via ICQ ofzo voor op.

Zie voor de algemene regels:
http://gathering.tweakers.net/forum/faq

maandag 29 september 2003 19:12

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

@Crew: SORRY! Ik wist dat het niet de bedoeling was om mensen actief te vragen om te testen, maar nu vroeg men mij de info te posten (lege account, trage verbinding) - ik dacht dat dat wat anders was (ja stom realiseer ik me nu).

De account is verwijderd en 't zal niet meer gebeuren.

@de rest: bedankt voor het testen.

@degene die vroeg: wie weet is op je werk die poort geblokkeerd: *ik* ben degene die dat weet. En die poort is niet geblokkeerd.

/Edit - rootdir van de ftp-account die hier eerst stond is nu verwijderd, inclusief het MP3-tje dat erin stond. Just for the record.

[ Voor 14% gewijzigd door CmdrKeen op 29-09-2003 19:20 ]

Bloed, zweet & koffie

maandag 29 september 2003 20:17

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Jah de account is verwijderd..

Max users staat bij mij trouwens altijd op 5, tenzij 't een persoonlijke FTP-account is, dan staat-ie op 1.

[ Voor 63% gewijzigd door CmdrKeen op 29-09-2003 20:18 ]

Bloed, zweet & koffie

maandag 29 september 2003 21:02

Acties:

0 Henk 'm!

Joen

__
|\___________ Mijn woorden worden verwoord door jouw avatar

dinsdag 30 september 2003 09:09

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Hey alles goed en wel, maar ik kan nog steeds niet inloggen op mijn eigen server! Op m'n werk ingesteld op de firewall dat verkeer VAN mijn computer NAAR alle adressen met ALLE services en poorten toegestaan is.

Melding: [Data] Connection refused
Opening ASCII mode data connection for /bin/ls (2897 bytes)
Can't build data connection

Op m'n FTP-server zie ik mezelf trouwens wél inloggen!

Hoe kennet?

[ Voor 10% gewijzigd door CmdrKeen op 30-09-2003 09:09 ]

Bloed, zweet & koffie

dinsdag 30 september 2003 10:24

Acties:

0 Henk 'm!

Paitor

rages doen :P

Vilenin schreef op 30 September 2003 @ 09:09:

Hey alles goed en wel, maar ik kan nog steeds niet inloggen op mijn eigen server! Op m'n werk ingesteld op de firewall dat verkeer VAN mijn computer NAAR alle adressen met ALLE services en poorten toegestaan is.

Melding: [Data] Connection refused
Opening ASCII mode data connection for /bin/ls (2897 bytes)
Can't build data connection

Op m'n FTP-server zie ik mezelf trouwens wél inloggen!

Hoe kennet?

Klopt, die ASCII melding is het listen van je ftp dir, dan zit je er dus technisch wel in.
Lijkt me toch een passive / active mode probleem.

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

dinsdag 30 september 2003 10:26

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Ok, maar hoe kan ik dat dan veranderen? In mijn FTP-server zit geen instelling voor active/passive (GuildFTPd 0.999.9), maar er staat wel expliciet bij vermeld dat-ie zowel active als passive ondersteunt. Zelfde geldt voor de FTP-clients die ik gebruikt heb (zie openingspost).
Is dat op de een of andere manier te forceren (bv. door bepaalde poorten open of dicht te zetten)?

Zoals eerder gezegd lijkt het erop dat de server een random poort kiest en tegen de client zegt dat-ie daarop kan connecten, maar dat kan dan natuurlijk niet. Workaround is om alle "hoge" poorten te forwarden naar m'n FTP-server, maar dat zie ik echt niet zitten omdat ik nou juist zo veel mogelijk *dicht* wil houden

[ Voor 31% gewijzigd door CmdrKeen op 30-09-2003 10:27 ]

Bloed, zweet & koffie

dinsdag 30 september 2003 10:56

Acties:

0 Henk 'm!

Paitor

rages doen :P

probeer het eens voor de gein met smartFTP?
Die heb ik namelijk gebruikt, en ik kwam er dus gewoon netjes op, zelfs in active mode.
kan je ook op je werk poort 20 / 21 naar jouw pc toe mappen?
Misschien lost dat wel iets op.
Blijft een beetje vreemd probleem waarvan ik niet helemaal begrijp waardoor het veroorzaakt wordt eigenlijk

Alles zou het in principe moeten doen.

En inderdaad, de server kiest altijd een random port, das hoe het gaat.
Maar hier lukt het achter mijn router dan wel om te connecten...

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

dinsdag 30 september 2003 11:09

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

SmartFTP v1.0 Unlicensed ->
150 Opening ASCII mode data connection for /bin/ls (2848 bytes).
Connection closed. Server timeout.
425 Can't build data connection.

Bloed, zweet & koffie

dinsdag 30 september 2003 12:53

Acties:

0 Henk 'm!

_-= Erikje =-_

In bijvoorbeeld bulletproofftpd kun je instellen welke poorten de server gebruikt om passive connecties binnen te laten (dus je mapt dan bijvoorbeeld 20,21, 1234-1300) naar je server, dan kunnen mensen ook een passive connectie maken

dinsdag 30 september 2003 15:37

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Ok, ik heb nu Bullet Proof FTP Server 2.15 geïnstalleerd en bij FTP Server Setup -> Multi IP Settings "Passive mode IP: 10.0.0.2 (=hier het interne adres van m'n FTP-server)". Bij Passive Port Range staat: 4000 to 4010. Deze poortnummers heb ik ook gemapt op m'n router naar m'n FTP-server.

De client zegt:
227 Entering Passive Mode(10,0,0,2,15,169).
LIST -l
Information: [Data] Connection refused.

15*256+169=4009, dus het toekennen van de reeks van poorten voor gebruik voor passive transfers zit wel goed, maar werken wil het nog steeds niet!

Ik kan overigens gewoon inloggen, maar dus geen list krijgen!

De firewall waar ik momenteel achter zit te testen, laat alles door van binnen naar buiten.

Bloed, zweet & koffie

woensdag 1 oktober 2003 01:46

Acties:

0 Henk 'm!

Paitor

rages doen :P

Vilenin schreef op 30 September 2003 @ 15:37:
Ok, ik heb nu Bullet Proof FTP Server 2.15 geïnstalleerd en bij FTP Server Setup -> Multi IP Settings "Passive mode IP: 10.0.0.2 (=hier het interne adres van m'n FTP-server)". Bij Passive Port Range staat: 4000 to 4010. Deze poortnummers heb ik ook gemapt op m'n router naar m'n FTP-server.

De client zegt:
227 Entering Passive Mode(10,0,0,2,15,169).
LIST -l
Information: [Data] Connection refused.

15*256+169=4009, dus het toekennen van de reeks van poorten voor gebruik voor passive transfers zit wel goed, maar werken wil het nog steeds niet!

Ik kan overigens gewoon inloggen, maar dus geen list krijgen!

De firewall waar ik momenteel achter zit te testen, laat alles door van binnen naar buiten.

Ik ben toch bang dat het ergens in je systeem wordt tegen gehouden...
het is de enige logische verklaring.

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

woensdag 1 oktober 2003 06:32

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Paitor, ik ben het met je eens dat het ergens in mijn systeem moet zitten, maar consider dit:

- Het heeft altijd gewerkt, tot ik mijn Speed Touch Home naar Pro getweaked heb.
- Ik kan zonder problemen naar andere FTP-sites FTP'en, active en passive en op standaardpoorten en andere poorten.
- Mijn firewall laat alles vanaf mijn computer naar alle plekken op het internet toe (FROM <mijnip> TO ALL: ALLOW.
- Er is geen proxy nodig om naar buiten te mogen.
- Zowel mijn privé- als bedrijfs-ISP hebben verklaard geen enkele poort of IP-reeks (of aparte adressen) te blokkeren.

De vraag is dus: wat op het netwerk op mijn bedrijf houdt de FTP-verbinding tegen?

[ Voor 14% gewijzigd door CmdrKeen op 01-10-2003 06:38 ]

Bloed, zweet & koffie

dinsdag 7 oktober 2003 11:04

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Topicstarter

Tis gelukt. Voor degene die dit topic later met de search vindt, post ik hier de oplossing. De oplossing vond ik nota bene in de help van het FTP-serverprogramma zelf

Oplossing:
1 Poorten voor passieve verbinding definiëren in FTP-serversoftware
2 IP-adres van passieve FTP-server in FTP-serversoftware definiëren: dit moet het externe IP-adres zijn, dus het IP dat je van je ISP krijgt.
3 Poort 21 TCP op je router mappen naar je FTP-server
4 De poorten uit stap 1 als TCP op je router mappen naar je FTP-server.

De FTP-serversoftware die ik gebruik ik GuildFTPd (freeware, klein snel, enz. enz.), maar ik weet dat je het met BulletProof FTP (url onbekend, shareware) ook kan doen.

Ploatjes (sorry voor dn opmaak):

Afbeeldingslocatie: http://www.xs4all.nl/~mhuijgen/martin/got/pasv1.gif

Afbeeldingslocatie: http://www.xs4all.nl/~mhuijgen/martin/got/pasv1.gif

Afbeeldingslocatie: http://www.xs4all.nl/~mhuijgen/martin/got/pasv2.gif

[ Voor 11% gewijzigd door CmdrKeen op 07-10-2003 11:13 ]

Bloed, zweet & koffie