Hilfe bei FTP Portfreigaben DNS218 und Fritzbox 7590

[reeliq]

Hallo zusammen,

ich hoffe jemand kann mir bei meinem Problem helfen. Wahrscheinlich ist es einfacher als ich vermute.
Aber wahrscheinlich habe ich etwas Grundsätzliches zu Portfreigaben hinter Firewalls nicht verstanden.

Ich versuche vergeblich von außen per DDNS auf den FTP-Server auf der DS218 zuzugreifen.
Meine Netzwerkgeräte stehen ja im Titel.



Auf der DS läuft DSM 7.1-42661
den FTP-Zugriff teste ich per ftptest.net

Dort eingestellt sind:

• Host: <meinaccount>.selfhost.eu
• Port: 21
• Username: <meinusername>
• Password: <meinpasswd>
• Protocol: ...alle drei Varianten probiert, aber es soll "Explicit FTP over TLS" verwendet werden.

Das Logfile gibt gute Informationen über die Prozedur

Status: Resolving address of <meinaccount>.selfhost.eu​

Status: Connecting to 79.192.251.127​

Warning: The entered address does not resolve to an IPv6 address.​

Status: Connected, waiting for welcome message...​

Reply: 220 DNS218 FTP server ready.​

Command: CLNT https://ftptest.net on behalf of 79.192.251.127​

Reply: 500 CLNT https://ftptest.net on behalf of 79.192.251.127: command not understood.​

Command: AUTH TLS​

Reply: 234 AUTH TLS command successful.​

Status: Performing TLS handshake...​

Status: TLS handshake successful, verifying certificate...​

Status: Received 1 certificates from server.​

Status: cert[0]: subject='C=TW,L=Taipei,O=Synology Inc.,CN=synology' issuer='C=TW,L=Taipei,O=Synology Inc.,CN=Synology Inc. CA'​

Command: USER <meinusername>​

Reply: 331 Password required for <meinusername>.​

Command: PASS ********​

Reply: 230 User otrfiles logged in, access restrictions apply.​

Command: SYST​

Reply: 215 UNIX Type: L8​

Command: FEAT​

Reply: 211- Extensions supported:​

Reply: AUTH TLS​

Reply: PBSZ​

Reply: PROT​

Reply: CCC​

Reply: SIZE​

Reply: MDTM​

Reply: REST STREAM​

Reply: MFMT​

Reply: TVFS​

Reply: MLST modify*;type*;unique*;size*;UNIX.mode*;UNIX.owner*;UNIX.group*;​

Reply: MLSD modify*;type*;unique*;size*;UNIX.mode*;UNIX.owner*;UNIX.group*;​

Reply: UTF8​

Reply: 211 End.​

Command: PBSZ 0​

Reply: 200 PBSZ command successful (PBSZ=0).​

Command: PROT P​

Reply: 200 Protection level set to Private.​

Command: PWD​

Reply: 257 "/" is current directory.​

Status: Current path is /​

Command: TYPE I​

Reply: 200 Type set to I.​

Command: PASV​

Reply: 227 Entering Passive Mode (79,192,251,127,216,254)​

Command: MLSD​

Error: Could not establish data connection: No route to host​

Es besteht also schon mal eine Verbindung zu meinem User auf "/" - nur werden keine Daten übertragen.
(eine weitere offene Frage ist die nach der Synology-eigenen Pfadbezeichnung - aber das ist ein anderes Thema)

Die zusätzlichen Informationen deuten auf fehlerhafte Portweiterleitungen im passiven FTP-Modus hin:

Error: Could not establish data connection: No route to host​

Check that is part of your passive mode port range. If it is outside your desired port range, you have a router and/or firewall that is modifying your FTP data.​

- Make sure that this port is open in your firewall​

- Port needs to be forwarded in your router​

- In some cases your ISP might block that port. In this case configure the server to use a different passive mode port range. Contact your ISP for details which ports are blocked.​

So und jetzt gehen meine Schwierigkeiten los.

Die ersten Versuche waren noch mit banalen Einstellungen:
DS - Dateidienste FTP

- FTP und FTP SSL/TLS aktiviert​

- Portnummer 21​

- Standardportbereich verwenden (55536-55839) aktiviert​

- Externe IP im PASV-Modus - meine aktuelle öffentliche IP​

- FXP aktiviert​

In der FB

- Portfreigabe auf die DS mit Port 21​

- DynDNS Eintrag meines selfhost-Accounts​

Das war erfolglos

Weitere Schritte:
Ich habe auf der FB DynDNS und Portfreigabe gelöscht und dies auf der DS unter „DDNS“ und „Routerkonfiguration“ versucht.
In der Routerkonfiguration scheitere ich bereits an der Entscheidung:

- Integrierte Anwendung vs.​

- Benutzerdefinierter Port​

​

Bei der integrierten FTP-Einstellung (21,55536-55899 ist voreingestellt) Dabei kommt die Warnung "Anzahl zuordenbarer Ports überschritten".
Jetzt frage ich mich, warum stehen werden so viele Ports angeboten, wenn nur 100 freigegeben werden dürfen..? Hmmmmm!!

Vermutlich habe ich mich inzwischen komplett in den vielen verschiedenen Optionen und Einstellungen verrannt – daher erspare ich Euch alle weiteren Versuchsbeschreibungen.

Was ich meine verstanden zu haben:
Im passiven Modus muss ein Portbereich im Router (FB) definiert werden und an die DS weitergeleitet werden.
Das betrifft dann allerdings nicht mehr die DS sondern die FB..
Ich denke trotzdem, daß meine Kombination ziemlich Mainstream ist und hoffe, daß mir jemand hier erklären kann, was zu tun ist

Viele Grüße

reeliq

 

[Jim_OS]

Hi,

ich habe ehrlich gesagt Dein Posting eben nur überflogen und dabei etwas von Fritzbox, DNS und Weiterleitung ins LAN gelesen. Wie gesagt, unabhängig davon was Du alles wo und wie eingerichtet hast: An den DNS-Rebind-Schutz der Fritzbox hast Du gedacht?
Falls nein: https://avm.de/service/wissensdaten...Auflosung-privater-IP-Adressen-nicht-moglich/

VG Jim

 

[reeliq]

Hi Jim,

dank Dir für die rasche Antwort...
hmmmm, ich bin mir nicht sicher ob ich verstehe, was der DNS-Rebind-Schutz wirklich bedeutet...

Ich kann von außen per QuickConnect auf die DMS-Oberfläche zugreifen.
(Das war nur testweise und ich möchte gerne auf QuickConnect verzichten)
Ich kann natürlich auch von meinem PC [192.168.178.24] auf die Weboberfläche der DS [192.168.178.46] zugreifen.
Das geht über die IP - da wird kein Name aufgelöst
Also ist es wohl nicht das, was Du (bzw. der Rebind-Schutz) meinst.

Von aussen wird per DDNS die aktuelle öffentliche IP meines Routers angesprochen.
Und im Router - so mein Verständnis - über den Port 21 auf den Ordner auf der DS zugegriffen (mit den Berechtigungen des definierten users)

Wo kommt da DNS ins Spiel?

VG
reeliq

 

[Jim_OS]

Ich hatte in Deinem Posting etwas von DynDNS gelesen und darüber den Zugriff vom WAN ins LAN. Dann kommt der DNS-Rebind-Schutz der Fritzbox ins Spiel, so wie das AVM in dem Beispiel auch genannt hat.

Beispiel:
Ein Computer im FRITZ!Box-Heimnetz (192.168.178.29) kann nicht auf einen Webserver im gleichen Heimnetz zugreifen, da die DNS-Anfrage für diesen Webserver (meine-domain.de) mit einer IP-Adresse aus dem selben Heimnetz (192.168.178.20) beantwortet wird.

Oder z.B. hier bei mir zu Hause: Wenn ich über das WAN per DuckDNS auf meinen Home Assistant Server im LAN zugreifen will dann funktioniert das nur wenn ich dafür eine Ausnahme - also z.B. MeinHAServer.duckdns.org - unter DNS-Rebind-Schutz eintrage.

VG Jim

 

[reeliq]

Hi Jim,

dank Dir für Deine Mühe!
ich bin mir allerdings wirklich nicht sicher ob das mein Problem ist..
Das Logfile zeigt ja, daß die FTP-Anfrage klaglos bis zum zugewiesenen Ordner auf der DS durchgereicht wurde...
Es wurden nur keine Daten übertragen.
... und was hat es dann mit der Meldung zur "passive port range" auf sich?
Bei einem Versuch mit www2ftp ist es mir sogar gelungen auf der DS Ordner anzulegen und Files hochzuladen.
Die lagen dort allerdings nur als File mit 0 Byte vor...
Aber gut..

wenn ich mal "WAN" mit "von außen" bzw "aus dem Internet" gleichsetze soll ich wohl bei den Hostnamen-Ausnahmen meinen selfhost-Account eintragen <myaccount>.selfhost.eu

Das macht allerdings keinen Unterschied - die Fehlermeldung ist die gleiche wie vorher...

 

[ottosykora]

passive Ports: 10 genügen doch
diese in der FB durchleiten

 

[reeliq]

Hi ottosykora,

OK ich beschreibe mal Schritt für Schritt, was ich tue...

Für passives FTP sind die Ports 1025 bis 65535 möglich (DSM Hilfe)
An der FB gebe ich also 10 Ports frei (von 1025 bis 1035)



Jetzt taucht das erste Fragezeichen auf:
Bei "Port extern gewünscht" wird jetzt 1025 vorgeschlagen.
Kann ich den einfach übernehmen - dann ist es ja nicht mehr 21???

nun gut - Versuch macht - ... naja klug möchte ich das nicht nennen...

In der DS den gleichen Portbereich für passives FTP freigegeben





Dann gibt mir ftptest die Meldung "Could not connect to server"

Also in der FB den gewünschten externen Port doch auf 21 setzen

gleiches Ergebnis bei ftptest:


Ich muss wohl eingestehen, daß ich irgendetwas Grundsätzliches nicht verstehe.

Jedenfalls kam ich mit den Einstellungen in meinem ersten Post deutlich weiter..

Es bleibt mir also gar nichts anderes übrig, als um eine Schritt für Schritt Anleitung zu bitten, falls jemand die Geduld mit mir hat.

Herzliche Grüße in die Runde

 

[Benares]

Du musst 2 Zeilen anlegen, einmal für 21->21 und einmal für 1025->1025-1035, wenn die Port 21 und 1025-1035 weiterleiten möchtest.

 

[ottosykora]

bei mir habe ich passive Ports 55536 - 55539
dann braucht es den 21, den kann man auch anders definieren, das muss dann aber separat im Router durchgeleitet werden und wenn es nicht standart ist dann natürlich auch in dem FTP Client dann

jdenfalls braucht man dabei jeweils den FTP Service Port (~21) und mindestens 1 passiv Port

vielleicht hier nachlesen wozu man zwei Ports braucht
https://de.wikipedia.org/wiki/File_Transfer_Protocol

 

[reeliq]

Du musst 2 Zeilen anlegen, einmal für 21->21 und einmal für 1025->1025-1035, wenn die Port 21 und 1025-1035 weiterleiten möchtest.

Hi Benares,

verzeih, wenn ich dumm frage...
Wo genau soll ich zwei Zeilen anlegen?
Die Eingabemasken der FB und der DS lassen nicht mehrere Zeilen zu...

@ottosykora
Danke - ich meinte grob verstanden zu haben, worum es bei aktivem und passivem FTP geht.
In der Praxis stehe ich dann doch wie der Ochs vorm Berg.

Kannst Du mir sagen, wo genau (sowohl in der FB als auch in der DS) und auf welche Art und Weise Du die Ports eingegeben hast?
Evtl mit Screenshots?

Ich habe hier diese beiden Eingabemasken:

Fritzbox


DiskStation



Was muss wo genau hin??
Ich stelle mich glaube ich blöd an - ich meinte, bisher alles genau so zu machen wie gefordert und bin auch sonst nicht auf den Kopf gefallen...
Aber hier habe ich anscheineńd ein Brett vorm Kopf!

 

[Benares]

Pro Gerät (Ziel) kannst du doch beliebig Freigaben anlegen, das meinte ich. Du brauchst 2 Stk.
Dein 1. Screenshot ist Quatsch, der würde Port 21 an 1025 weiterleiten, Port 22 an 1026 usw.

 

[ottosykora]

fange am besten mit Standard, dann kann man es später ändern

21 extern auf 21 intern
1025-1035 extern auf intern 1025-1035

 

[reeliq]

Ahhhhh
Ich glaube jetzt fängt der Groschen an zu rollen...
Ich kann in der Fritzbox für das Ziel "DiskStation" mehrere(!!) Freigaben einrichten

Jetzt sieht es folgendermaßen aus:


Freigabe 1:



Freigabe 2




und was soll ich sagen:
Kaum macht man es richtig - schon klappt's!!

Jetzt sieht die Meldung von ftptest so aus:

Vielen herzlichen Dank Euch allen..!

Jetzt muss ich nur noch begreifen wie die richtige Pfadangabe des Zielordners lautet.
Synology gibt den Pfad nicht wie aus Linux gewohnt an...

Bis dann

reeliq

 

[Benares]

Jetzt muss ich nur noch begreifen wie die richtige Pfadangabe des Zielordners lautet.

Bei FTP ist / immer /volume1. Du musst also /daten angeben und auf /volume1/daten zu landen.

 

[synfor]

Nein, das Rootverzeichnis bei FTP ist eine Einstellungssache, siehe: siehe https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_ftp_general?version=7#b_11

 

[reeliq]

habe mich rasch mal per telnet eingewählt.
in der Ordnerstruktur ist es tatsächlich
/volume1/daten

 

[reeliq]

Ich danke Euch allen sehr.
Die Lösung lag direkt vor meinen Augen - ich war nur blnd sie zu sehen.
Die Antworten von benares mit "zweiter Zeile" und "mehrere Freigaben pro Gerät" haben mir geholfen.

Mein weiteres Problem mit dem FTP-Push schildere ich in einem anderen Thread zum gleichen Thema:

https://www.synology-forum.de/threads/ftp-push-kann-keine-dateien-uebertragen.79561/

Viele Grüße

reeliq

P.S.:
kann ich den Threadtitel eigentlich mit [gelöst] editieren?