Kein SFTP Logging mehr möglich

[Hans Willy]

Vorgestern ist ein Bekannter noch via WinScp auf die DS916+ gekommen, konnte nur einen Ordner wegen fehlender Berechtigungen nicht sehen, die Berechtigungen angepasst, Zugriff möglich.
Gestern kam er nicht mehr auf die DS916+ Meldung: Verbindung wurde abgelehnt. Habe daraufhin sogar die Berechtigungen für den Ordner zurück genommen, brachte auch nix, dessen war ich mir aber auch schon sicher.

Mit der lokalen IP ist ein SFTP Zugang möglich.

DS916+ kann angepingt werden:
Ping wird ausgeführt für XYZ.myfritz.net [000.000.000.00] mit 32 Bytes Daten:
Antwort von 000.000.000.00: Bytes=32 Zeit<1ms TTL=63
Antwort von 000.000.000.00: Bytes=32 Zeit=1ms TTL=63
Antwort von 000.000.000.00: Bytes=32 Zeit=1ms TTL=63
Antwort von 000.000.000.00: Bytes=32 Zeit=1ms TTL=63

Habe die Forenbeiträge alle gelesen, mittlerweile qualmt der Kopf und die Augen fallen zu.

Bitte um Unterstützung

 

[Ronny1978]

Hallo @Hans Willy ,

wir versuchen dir gern zu helfen.

Frage 1: Der Zugriff vom Bekannten erfolgt INTERN oder EXTERN? Der Ping <1ms sagt eigentlich intern.
Frage 2: Der Zugang deines Bekannten, wenn von Extern, ist durch ein separaten Konto angelegt, korrekt? -> Konto ist nicht gesperrt? / IP Adresse ist auch nicht gesperrt? -> setzt natürlich voraus, dass der Konto-/Zugriffschutz in der DS eingeschalten ist, wovon ich jetzt mal ausgehe ?
Frage 3: Sind die Ports bei SFTP und SSH angepasst? Und ggf. dann auch so in der Fritzbox als Portweiterleitung eingerichtet?
Frage 4: Die DS hat eine feste IP Adresse?
Frage 5: Welche DSM Version hast du? Von der Optik her würde ich 7.1 oder 7.2 vermuten. Aber eben nur "vermuten".

Danke erst einmal für das Beantworten der Fragen vorab.

 

[Hans Willy]

1.) Der Ping ist von der lokalen IP auf das NAS, der Bekannte greift extern darauf zu.
2.) Ja, er hat ein separates Konto und es ist nicht gesperrt.
3.) Ja das NAS hat eine feste IP Adresse.
4.) 7.2

 

[ctrlaltdelete]

Welche Ports hast du im Router weitergeleitet?
Greift er per VPN zu oder DDNS?
Löst DDNS richtig auf die externe IP des Routers auf?
Was für einen Internetanschluss hast du, IPv4, DS-Lite?

 

[Hans Willy]

1.) 20023
2.) DDNS
3.) ja, der DDNS ist über Ping zu erreichen.
4.) Kabelanschluss 1000MB download und 50 MB upload.

 

[ctrlaltdelete]

Sind andere Dienste von außen erreichbar und funktionieren?
Hast du mal geschaut ob sein Benutzer gesperrt ist, wegen falscher Anmeldung?

 

[Hans Willy]

1.) die Weboberfläche ist erreichbar, Quickconnect greift auch darauf zu und WinScp ist das einzige Programme, welches von exten ausgeführt wird.
2.) der Benutzer ist nicht gesperrt. Ich für mich selber auch Testweise einen Zugang in WinScp eingerichtet und teste das ganze mi dem Zugang.

 

[ctrlaltdelete]

Hast du eine "echte" IPv4 vom Provider?

 

[Hans Willy]

Ja

 

[Ronny1978]

Hast du mal einen Online Portscanner probiert und dort auch nur den Port 20023? Dann könntest du ja prüfen, ob das "Signal" durchkommt bzw. der Port offen ist. Aber macht bei sowas nicht vielleicht eine VPN (Wireguard) zur Fritzbox mehr Sinn, wie den Port zu öffnen?

 

[Rotbart]

Hast du auch geprüft ob die IP gesperrt ist ?

 

[luddi]

Aber macht bei sowas nicht vielleicht eine VPN (Wireguard) zur Fritzbox mehr Sinn, wie den Port zu öffnen?

Wenn der User von Außen nur Zugriff auf die Daten via SFTP bekommen soll dann sollte er auch nicht auf das lokale Netzwerk zugreifen können. Eine strikte Trennung macht durchaus Sinn.

 

[Ronny1978]

Eine strikte Trennung macht durchaus Sinn.

Stimmt. Ich hatte nicht bedacht, dass du bei der Fritzbox dann keine Einschränkungen machen kannst. Bei OpnSense schon... vergessen.

 

[Ronny1978]

ob die IP gesperrt ist ?

Hatte ich mit meiner Frage 2 eigentlich bezweckt. Vielleicht habe ich mich auch nicht korrekt ausgedrückt. Mein Fehler.

 

[Rotbart]

Ich weiß, war schon richtig @Hans Willy hat aber nur geantwortet das das Konto nicht gesperrt ist, die IP-Sperre ist ja woanders und da kam noch keine Rückmeldung

 

[Hans Willy]

Ich war auf einem Senioren Treff von daher kann ich jetzt erst antworten.

1.) zu Wireguard, ich 2 Bekannte die darauf zugreifen und es ist über Zugänge nicht möglich, Wireguard ist beim kopieren wesentlich langsamer als sftp laut Netzauslastung.
2.) es is keine der IP´s gesperrt.

 

[Hans Willy]

Ich habe den Fehler gefunden, verstehe aber nicht wieso der Fehler auf einmal auftritt:

Ich habe 2 Lan-Kabel an der DS916+ angeschlossen.

Lan 1: DHCP 192.168.xxx.xy

Lan 2: DHCP 192.168.xxx.yz

Die sind auch beide in der Fritzbox sichtbar.

Stelle ich das jetzt auf Bond ( Adaptive Load Ballance) um habe ich laut DS916+ nur noch: 192.168.xxx.xy

In der Fritzbox habe ich jetzt 2 mal die gleiche drin stehen, das dürfte doch eigentlich gar nicht der Fall sein.

Gehe ich vom Bond weg läuft es.

 

[ctrlaltdelete]

oh man, ohne Worte, aber schön, dass du deinen Fehler gefunden hast.
einen Bond ohne Switch, der das unterstützt, bringt dir nichts.

 

[dil88]

... nichts, außer Ärger

 

[ctrlaltdelete]

Ich glaube ich bastel mal ein Formular, welche Infos ich brauche um Fragen zu beantworten. Wäre das Wort Bond im Startpost gefallen, hätte ich sofort die Antwort parat gehabt.