SFTP eingeschränkte Verbindung

[Swp2000]

Hallo Leute,

ich habe Probleme von extern auf den SFTP zu kommen. Vorweg was ich getan habe:
Nutzer angelegt und freigaben zu den Ordnern vergeben. SFTP aktiviert. SFTP auch in der Firewall der DS aktiviert. Im Router habe ich Port 20000 für SFTP vergeben der aber auf den internen Port 22 weitergereicht wird.

Filezilla installiert und einen Test gestartet. Interne IP eingegeben(192.168.1.55), Benutzer eingegeben(Extern) Passwort, und Port 20000. Keine Verbindung möglich!! Port auf 22 geändert und siehe da ich komme drauf.
Das Ganze über die DYnDNS versucht, Port 20000 angegeben, keine Verbindung möglich. Warum?
Was mache ich falsch?

 

[ottosykora]

also für Test von aussen mit der DDNS musst du es auch von aussen testen, dann geht es natürlich nicht mit der internen IP.

dann kannst du auch schauen ob auf dem 20000 auch etwas antwortet bei dir:

http://www.guengel.ch/cgi-bin/portscanner.cgi

http://www.dnstools.ch/port-scanner.html

 

[Swp2000]

Über den Link habe ich von Zuhause mal meine DYNDNS gefolgt eines : und den Port 20000 eingegeben. Der Scanner sagt Port ist geschlossen

 

[jugi]

Na dann mach ihn auf

 

[Swp2000]

Ist doch offen.!
In der Fritz Box habe ich den Port 20000 TCP an interne IP 192.168.1.55 (Server) an Port 22 der DS geöffnet.

 

[jugi]

Wenn die Portscanner sagen, das der Port zu ist, dann ist er das auch. (Ok genau genommen antwortet nur nix).

Mach mal ein Screenshot von der Fritz!Box-Konfig.

 

[Puppetmaster]

Hast du auch schon einmal die Firewall der DS ausgeschaltet? Benötigst du die überhaupt!?

 

[Swp2000]

Diese ist eingeschaltet. Ja die zusätzliche Sicherheit möchte ich auch so belassen. Die Ports 22, sowie noch für andere Dienste sind für Deutschland (Region) freigeschaltet.
Hier ein Bild der Config aus der Fritz.Box:


DS:


Edit: ich habe den Port zwischenzeitlich auf 2002 geändert!

 

[Puppetmaster]

Welche zusätzliche Sicherheit versprichst du dir denn genau von der Firewall?
Und klappt es jetzt mit Port 2002 oder nicht? Diese Info geht aus deinem Post leider nicht hervor.

 

[ottosykora]

dann musst du aber einen Portscanner suchen der aus Deutschland sendet, meine beiden sind halt aus CH

Nur ist der Betrieb in D so weit ich informiert bin verboten, also gibt es wohl nicht so viele die zur Verfügung stehen.

Also schalte mal deinen Firewall ab, und mach einen Scann ob da wirklich was antwortet.

Danach kannst du zuerst mal versuchen die Firewall etwas lockerer einschalten, so was wie Europa etc. Dann nochmals versuchen.

 

[Swp2000]

Hast du auch schon einmal die Firewall der DS ausgeschaltet? Benötigst du die überhaupt!?

Selbst wenn ich die Firewall ausschalte geht es nicht. Der Portscanner sagt das der Port geschlossen ist. So wie ich es eingestellt habe sollte es ja funktionieren oder? eingehend von 2002 und weitergeleitet auf 22?

 

[ottosykora]

zeigt der Portscanner andere Port als offen? , respektive gibt dort etwas Antwort?

Note: die Portscanner aus CH zeigen den Port 25 als offen, das hat mit dem Provider Netz hier zu tun.

Du hast noch den 443 durchgeleitet, ist der Service des Routers auf ein anderes Port gelegt worden?

 

[Swp2000]

Nein das ist so wie im Screenshot zu sehen eingerichtet!

Wenn ich als Server: die Interne IP angebe, Benutzername + Passwort und den Port 22 habe ich eine Verbindung.Intern geht es schonmal.
Achja, ich denke aber das ist unwichtig. In der DS habe ich den Port von SFTP auf 22 belassen! Das stimmt ja so da der 2002 ja umgeleitet wird!

 

[ottosykora]

Nein das ist so wie im Screenshot zu sehen eingerichtet!

erreichst du dann von Aussen einen Webservice? Zum Bsp Photo Station? Oder was meldet sich wenn du von Aussen einfach https://DDNS oder https://externe IP in einem Browser eingibst?

Was mir gerade aufgefallen ist bei Filezilla.
Wenn ich als Server: die Interne IP angebe, Benutzername + Passwort und den Port 2002 sollte ich ja intern connecten können oder? Selbst das klappt nicht.
Achja, ich denke aber das ist unwichtig. In der DS habe ich den Port von SFTP auf 22 belassen! Das stimmt ja so da der 2002 ja umgeleitet wird!

also wenn du es intern versuchst, dann wird ja nichts geNATed, dann geht es direkt

Ob du von Innen auf deine externe IP (oder DDNS) zugreifen kannst weiss ich nicht, es gibt immer mehr Router die so was nicht können. Mein Provider hat bei seinem Router die Funktion NAT-Loopback abgeschaltet.

Wenn du ohne die Firewall einen Portscann machst mit einem der Scanner, sind irgendwelche Ports erreichbar?

was zeigt der Scanner http://www.dnstools.ch/port-scanner.html
wenn du keinen Port vorgibst, sondern ihn die 'üblichen ' scnannen lässt?


Welcher Router?
Welcher Provider?
Echte öffentliche IPv4 von Aussen?

 

[Swp2000]

Beim Portscanner ist alles geschlossen. Habe eine DNS von spdns.de falls das wichtig ist.
Hab eine FB 7490 und bin bei T-Online.
Was meinst du mit echte öffentliche IP?

Bei Engabe von https://XYT.spdns.de kommt eine Zeitüberschreitung!
Was ich jedoch komisch finde ist der DYN DNS Status in der FritzBox. Ist das normal?

 

[jugi]

ist die DS-Firewall gerade aus? Für deine IP ist der Port tatsächlich zu, es muss an einer der Firewalls liegen (Router oder DS).

und du solltest vllt deinen screenshot wieder rausnehmen, da steht die komplette URL drin


edit: eigenartigerweise geht nichtmal ein ping auf deine IP? huch?

 

[Puppetmaster]

Äh, du hast aber auch einen echten IPv4 Anschluss, ja? Nicht einen IPv6- oder Dual-Stack-Anschluss?

 

[Swp2000]

Ich habe den Fehler womöglich gefunden. Die DynDNS konnte sich nicht anmelden in der FB da ich die falsche Update-URL für den Token gewählt hatte. Bei Eingabe von https://xyz.spdns.de meldet sich nun die Webstation!
Jugi du sollte mit der URL ja jetzt zumindest die Webstation sehen?

 

[Swp2000]

Jetzt klappt es. Vielen Dank für Eure Hilfe.

 

[jugi]

ich bekam eben auch die fehlermeldung, dass mein login falsch war… also alles richtig