500 Illegal PORT range rejected

[sarge]

Hi Leute

Hab mir seit einigen Tagen ne 411+ zugelegt, bis jetzt konnte ich alles sauber einrichten, nun habe ich ein Problem wo ich leider nicht weiter komme.
Ich komme per dyndns nicht auf den ftpserver rauf, lokal funktioniert alles, als Client verwende ich FTPRush.


Einstellung 411+
port 567 -> habe auch port 21 versucht
passivport standart 55536-55663
Externe IP im Passiv Modus berichten
SSl/TLS an

Router
Speedport w721v
Natportregel TCP
Umgeleitete Ports - öffentlich 55536
Umgeleitete Ports - Private Client 55663

FTPLOG

[1] Verbinde zu Test
[1] Aufloesen von dyndns.org...
[1] dyndns.org => xx.xxx.xxx.xxx
[1] Verbinde zu xx.xxx.xxx.xxx:567
[1] 220 COBRA FTP server ready.
[1] AUTH SSL
[1] 234 AUTH SSL command successful.
[1] Verschluesselungs-Algorithmus: TLSv1 AES256-SHA-256
[1] PBSZ 0
[1] 200 PBSZ command successful (PBSZ=0).
[1] USER Test
[1] 331 Password required for Test.
[1] PASS (versteckt)
[1] 230 User Test logged in.
[1] SYST
[1] 215 UNIX Type: L8
[1] PROT P
[1] 200 Protection level set to Private.
[1] TYPE A
[1] 200 Type set to A.
[1] REST 1
[1] 350 Restarting at 1. Send STORE or RETRIEVE to initiate transfer.
[1] REST 0
[1] 350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
[1] FEAT
[1] 211- Extensions supported:
[1] AUTH TLS
[1] PBSZ
[1] PROT
[1] SIZE
[1] MDTM
[1] MFMT
[1] REST STREAM
[1] 211 End.
[1] PWD
[1] 257 "/" is current directory.
[1] PASV
[1] 227 Entering Passive Mode (xx,xxx,xxx,xxx,217,40)
[1] Oeffne Datenverbindung zu IP: xx.xxx.xxx.xxx PORT: 55592
[1] Verbindung nicht moeglich zu xx.xxx.xxx.xxx:55592 (Verbindungs Timeout(10060))
[1] Ueberwachung an IP: 192.168.2.100 PORT: 56059 fuer Datenverbindung
[1] PORT 192,168,2,100,218,251
[1] 500 Illegal PORT range rejected.
[1] Test getrennt

Die DS Firewall hatte ich auch schon komplett offen für alle angegeben ports.
Ich weis leider nicht mehr weiter, ich habe es auch mit mehreren diversen passiv ports getestet, leider bekomme ich immer die gleiche fehlermeldung.
Ich hoffe Ihr könnt mir da weiter helfen .

Danke

Gruß
Sarge

 

[Trolli]

Hast Du im Disk Station Manager die Option "externe IP im passiv Mode berichten" eingeschaltet? Wenn nicht, solltest Du das mal probieren.

 

[goetz]

Hallo,
Du mußt den Portbereich 55536-55663 weiterleiten.

Gruß Götz

 

[Trolli]

Da hast Du recht, goetz. Jetzt sehe ich es auch...

 

[sarge]

Ihr seit hier echt schnell Leute

Ich habe beide Option aktiviert , Option "externe IP im passiv Mode berichten <-- ist aktiv
die ports wurden auch weitergeleitet
Umgeleitete Ports - Öffentlich 55536
Umgeleitete Ports - Private Client 55663
das ist die Option beim T-Com Router

Gruß

 

[Trolli]

Du musst sowohl bei den öffentlichen Ports als auch bei den Client Ports "55536-55663" reinschreiben, um den gesamten Bereich zu öffnen.

 

[sarge]

Mensch Trolli

Du warst jetzt meine Rettung , ich Danke Dir
Super Support hier , nun funst ALLLLLES

Gruß Sarge

 

[lutzen]

Hallo! Ich habe ein ähnliches Problem und hoffe ihr könnt mir auch helfen!

• Ich versuche mich mit Total Commander zu dem FTPS-Dienst auf dem NAS (DS111) zu verbinden.
• Dieser läuft auf Port 21 und 55536 - 55543 (passiv, Voreinstellung der Ports vom NAS, DSM4.1).
• Diesen Portbereich habe ich im Router freigegeben und lokal aufs NAS weitergeleitet (alle als TCP & UDP).
• Bei einem Freund funktioniert es, dass er sich übers Internet aufs NAS connecten kann (aktiv sowie passiv).
• Bei mir geht dies jedoch leider nicht.
• "externe IP im passiv Mode berichten" ist an.
• Ich habe das Errorlog von Total Commander:

Connect to: (24.10.2012 9:58:05 AM)
hostname=XXX.myds.me
username=XXX
startdir=
XXX.myds.me=XXX.XXX.XXX.XXX
220 XXXStation FTP server ready.
AUTH TLS
234 AUTH SSL command successful.
Cert subject: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=FTP Team/CN=synology.com/emailAddress=product@synology.com
Cert issuer: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=Certificate Authority/CN=Synology Inc. CA/emailAddress=product@synology.com
USER XXX
331 Password required for XXX.
PASS ***********
230 User XXX logged in.
SYST
215 UNIX Type: L8
FEAT
211- Extensions supported:
AUTH TLS
PBSZ
PROT
SIZE
MDTM
MFMT
REST STREAM
UTF8
211 End.
PBSZ 0
200 PBSZ command successful (PBSZ=0).
PROT P
200 Protection level set to Private.
OPTS UTF8 ON
200 OK, UTF-8 enabled
Connect ok!
PWD
257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (XXX,XXX,XXX,XXX,216,242)
PORT XXX,XXX,XXX,XXX,11,89
500 Illegal PORT range rejected.

• Aus Sicherheitsgründen habe ich private Daten mit XXX überschrieben. Er versucht offenbar den Passiv-Modus, da er im Aktiv-Modus wohl nicht durchkommt. In der Zeile
  227 Entering Passive Mode (XXX,XXX,XXX,XXX,216,242), muss man ja meines Wissens nach die vorletzte Zahl mit 256 Multiplizieren und die letzte Zahl hinzuaddieren, kommt also auf 55538, was ja prinzipiell in dem Portbereich liegt, der vorgesehen & freigegeben ist. Die IP davor, die mit XXX unkenntlich gemacht wurde, entspricht der Internet-IP von dem Anschluss, wo das NAS steht. (Bevor ich die Option "externe IP im passiv Mode berichten" angemacht habe, stand hier immer nur die LAN-IP vom Nas)
• Was mir jedoch zu denken gibt, ist die Zeile darunter: PORT XXX,XXX,XXX,XXX,11,89. Dort steht zunächst die IP von dem Anschluss, von dem aus ich mich zum NAS verbinden will, allerdings ist das die LAN-IP (ok...meinetwegen), aber dahinter stehen ja ganz andere Portangaben und zwar 11,89. Wenn man das genauso rechnet wie oben, kommt man dort auf Port 2905.... da bin ich jetzt verwirrt. Anschliessend kommt der Fehler wie oben beschrieben.

Tja, meine Frage wäre jetzt, wie ich mich der Problemlösung annähern kann. Port 20 hab ich Testweise auch mit freigegeben, aber ohne Erfolg. Bringt es was,wenn ich den grösseren Portbereich im NAS einstellen & freigeben würde, der hier vorher angesprochen wurde 55536-55663, was ja über 100 ports sind, wohingegen ich momentan nur 8 Ports dafür freigegeben hab, was jedoch der Voreinstellung vom Nas entspricht und eh nur für einen User oder so ist. (der andere kommt immer im Aktiv-Modus durch.)

PS: Ich werde demnächst auch mal diese Lösung aus dem internationalen Synology-Forum ausprobieren:

[SOLVED]
It sound strange but I change in FTP configuration pasv port range from default to custom leaving the same values (55536 - 55567). After that ftps connection is working like a charm.

( http://forum.synology.com/enu/viewtopic.php?f=15&t=48800)

 

[Puppetmaster]

• Dieser läuft auf Port 21 und 55536 - 55543 (passiv, Voreinstellung der Ports vom NAS, DSM4.1).

Das ist aber nicht der Standardportbereicht bei ftp, oder?
Vielleicht vergibst du mal einen anderen. Z.b. 55536 bis 55663. Ebenso natürlich im Router 1:1 die Ports durchreichen.

Ausserdem sehe ich, daß du kein Startverzeichnis eingerichtet hast (laut Log). Wenn das das Startverzeichnis auf dem Server meint, dann würde ich da auch mal eins angeben. Bei mir hat sich auch schon ftp daran verschluckt, daß da nichts stand. Aber probiere erstmal die Geschichte mit den Ports, denn

500 Illegal PORT range rejected.

deutet ja in die Richtung.

 

[lutzen]

Hallo! Danke für die schnelle Antwort. Der Portrange war der, der auf meinem DSM4.1 auf DS111 Standardmässig eingestellt war. Aber ich werd ihn mal erweitern und morgen testen. Ich meld mich wieder!

Wenn er sich am Startdir stören würde, dürfte es ja auch bei den andern Usern nich klappen, aber ich werds mal setzen um das auszuschließen.

 

[Trolli]

Schau mal hier - im internationalen Forum wurde ein ähnlicher Fall gelöst:
-> http://forum.synology.com/enu/viewtopic.php?f=15&t=48800

Die Ursache ist mir dabei allerdings nicht so ganz klar. Die Kommunikation auf Port 21 funktioniert ja. Der Client sendet den Befehl PASV an den Server, der daraufhin einen freien Port zurückmeldet (55538). Jetzt müsste der Client den Datentransfer von einem beliebigen Port aus starten (wahrscheinlich wird hier Port 2905 verwendet). Dabei sollte auf der Clientseite Port 2905 verwendet werden und auf der Serverseite Port 55538. Der Port 2905 muss dabei nicht explizit im Router weitergeleitet werden, da er ja vom Client aus geöffnet wird...

Setzt Du eine Firewall auf dem Client-PC ein? Wenn ja, welche?

 

[lutzen]

Ja an der Client-Firewall kann es wohl auch liegen - ist die Instituts-Firewall. In den IT-Richtlinien ist es nicht verboten, sich zum FTP zuhause zu connecten. Aber Hilfestellung wollten mir die Jungs auch nicht geben.

EDIT: Es sollte eigentlich nich an der Firewall liegen, denn ich kann vom Client aus ganz normal zu home.arcor.de FTP-Server connecten mittels TotalCommander, aktiv, sowie passiv auf 151.189.20.30:1401 (arcor server). Der einzige Unterschied ist, dass dies eine ungesicherte FTP-Verbindung ist, während ich zum NAS über die verschlüsselte FTPS-Methode connecten möchte. Würde es helfen, wenn ich das erfolgreiche Log von dieser Verbindung zum ARCOR Ftp mal gegenüberstelle? Sollte ich dann im Umkehrschluss mal probieren passive Ports um 1401 am NAS/Router zu verwenden?

 

[lutzen]

Soo, also ich habe die ganzen Ports von 55543 bis 55663 geöffnet und im Router weitergeleitet. Außerdem habe ich im NAS eben diese benutzerdefinierte Portrange eingestellt, um auszuschließen, dass es daran liegt (Beitrag von Trolli). Ein Startdir habe ich auch mal probiert. Alles nutzt leider nicht, offenbar kann er auf dem Client-Port, den der Server vom Client erhält sich nicht verbinden. Aber wieso geht es dann zum arcor FTP? Der einzige Unterschied ist eigentlich die Verschlüsselung. Sehr komisch