FTP Probleme wegen NAT

hi ihrs

ich habe kürzlich meinen alten digitus router ausgemustert und mir einen draytek vigor 2900G gekauft. leider ist mein ftpserver seit dem nicht mehr vom internet aus nutzbar. man kann sich zwar einloggen, aber danach wird in den passiven modus geswitcht und da fangen die probleme an. der server schickt die korrekte ip und einen port innerhalb der eingestellten pasv-portrange an den client zurück, aber der client schickt das nachfolnde paket zwar an die korrekte ip aber an einen komplett falschen port... im lan ist der server problemlos über die interne ip (192.168.x.x) erreichbar.

hier mal der betreffende teil des serverlogs:
>05/10/19 15:57:59, 25, 84.44.x.x, flo, PASV
>05/10/19 15:57:59, 25, 84.44.x.x, flo, 227 Entering Passive Mode (84,44,x,x,67,25)
>05/10/19 16:00:39, 25, 84.44.x.x, flo, disconnected. (00d00:02:40)

und hier der clientlog:
>[R] PASV
>[R] 227 Entering Passive Mode (84,44,x,x,211,93)
>[R] Opening data connection IP: 84.44.x.x PORT: 54109
>[R] Data Socket Error: Connection timed out
>[R] List Error

es wurden port 21 und die komplette pasv-range (17100 - 17200) im router dem rechner mit dem ftpserver zugewiesen. mit dem am ftp ist alles garantiert richtig eingestellt, denn wenn ich den alten router wieder anschliessem klappt auch wieder mit ftp. das problem liegt scheinbar irgendwo in der NAT des neuen routers... für lösungsvorschläge wäre ich wirklich dankbar!

greetz
flo

Gib die Ports auch mal in der FW des Routers frei.
Wäre aus meiner Sicht einen Versuch wert.

afaik hat der router keine separate firewall... dafür gibts halt die NAT-FW

Sicherheit - IP Firewall / DoS Abwehr / URL-Filter

NAT und eine anerkannt effektive Hardware-Firewall sorgen für Sicherheit, die Vigor Firewall wurde mehrfach von der Fachzeitschrift c´t gelobt.

Die Vigor Firewall erlaubt es komplexe, ineinander verzahnte, Filterregeln aufzustellen, so lässt sich das interne Netz vor unbefugtem Zugriff aus dem Internet schützen.

http://www.draytek.de/prod/Vigor2600G/Info-Vigor2600G.html

Zum Vergrößern anklicken....

Du weisst was NAT ist?
http://de.wikipedia.org/wiki/NAT

HAb jetzt zwei unabhängige Artikel betreff deines Routers zu FTP gelesen, schein also nicht an der FW zu liegen.

http://www.wintotal.de/Artikel/ftpserver/ftpserver3.php#12

http://portforward.com/english/routers/port_forwarding/Draytek/Vigor2600WE/FTP.htm

Aber warum hast Du die Port-Range von 17100 - 17200 weitergeleitet?

ich denke mal schon, dass ich weiss, was NAT iss

der firewall hab ich noch garkeine beachtung geschenkt, ist also noch defaultmässig ausgeschaltet. erstmal schaun, dass ich alle services ans laufen bekomme und dann wieder nach und nach dichtmachen

innerhalb der portrange 17100 - 17200 übermittelt der client dem server das PASV commando... damit dies auch beim server ankommt muss man die ports halt durchschleifen

der firewall hab ich noch garkeine beachtung geschenkt, ist also noch defaultmässig ausgeschaltet.

Zum Vergrößern anklicken....

Sie ist defaultmässig aktiviert.

aaaah ok, hab se soeben mal ausgeschaltet. dies hat allerdigns nichts bewirkt, wie es auch zu erwarten war. denn wenn ne firewall greift, lässt diese garnix durch und verändert nicht eifnach irgendwelche ports...

Beim Draytek hat es keinen Sinn einen Portrange, in deinem Fall 17100 ? 17200 festzulegen, wenn der FTP über den Standartport 21 läuft. Der Router ignoriert das. Für den Passiven- FTP brauchste beim Draytek auch keine Ports außer 21 forwarden. Am besten im Server die Ports 1024-65535 einstellen und schon sollte es klappen. Den Rest macht der Draytek von alleine.

Anders sieht es aus, wenn Du den FTP nicht über den Standartport 21 betreibst. Dann musst Du Ports für den Passiven ? FTP forwarden. Teste es mal.

Beim Draytek hat es keinen Sinn einen Portrange, in deinem Fall 17100 ? 17200 festzulegen, wenn der FTP über den Standartport 21 läuft. Der Router ignoriert das.

Zum Vergrößern anklicken....

warum sollte er eine forwarding-regel ignorieren? wofür würde ich denn dann ports überhaupt freigeben, wenn er diese regeln sowieso ignoriert?? oder meinst du, dass der router diese regel explizit ignoriert, weil se mit dem FTP zu tun hat???^^ (anmerkung am rande: woher soll er wissen, dass dieser port mit ftp was am hut hat???)

Für den Passiven- FTP brauchste beim Draytek auch keine Ports außer 21 forwarden. Am besten im Server die Ports 1024-65535 einstellen und schon sollte es klappen. Den Rest macht der Draytek von alleine.

Zum Vergrößern anklicken....

das wäre ja mal erstaunlich... hat der router übersinnliche fähigkeiten? oder woher weiss der dann plötzlich, dass das nicht angeforderte paket auf port 171xx zu dem datenstrom für rechner 192.168.x.x gehört und nicht zu verwerfen ist? weil immerhin heisst die passive verbidnung passiv, weil sie NICHT aktiv vom server zum client aufgebaut wird, sondern halt andersrum

Anders sieht es aus, wenn Du den FTP nicht über den Standartport 21 betreibst. Dann musst Du Ports für den Passiven ? FTP forwarden. Teste es mal.

Zum Vergrößern anklicken....

also den ftpport (egal ob 21 oder 0815...) muss man halt zur betreffenden IP durchschleifen. die tatsache, dass ftp in der regel über port 21 läuft sollte keinerlei änderung für den router bedeuten, wenn er sauber programmiert ist (also keine p@sv-pfuschereien etc...).

um als nicht belehrbar zu gelten, habe ich das soeben auch mal ausprobiert und es hat sich, wie zu erwarten, nichts geändert. und warum sollte das so auch funktionieren? über den port 21 wird der login etc. abgewickelt... sobald die autentifizierung abgeschlossen wurde, wird in den passiven modus geswitcht und dann erst das erste datenpaket mit nutzdaten (nämlich die filelist) übermittelt. von diesem moment an wird der port 21 nicht mehr genuzt afaik.

auch wenns total abwegig klingt: das problem liegt halt nach wie vor darin, dass die vom server angegebenen ports für PASV vom router offensichtlich geändert werden bevor diese beim client ankommen. dieser unternimmt darauf den verbindungsaufbau über einen nicht erwarteten port und schon kappts nicht mit der connection. draytek hat auch schon kontakt zum herstellen in taiwan aufgebaut, der sich dieser problems nun annehmen will...

also nach längerem kontakt mit den herstellern des routers in taiwan haben die es nun endlich hinbekommen:

am router muss man nur den port 21 zum ftp-rechner durchschleifen. im ftpserver stellt man als pasv-ports die volle range von 1024 bis 65536 ein und löscht den pasv-redirect...

zuerst hab ich garnet gerafft warum das überhaupt klappen sollte, aber es funktioniert definitiv. der router scheint sich die ip zu merken, unter der eine connection zum ftp auf port 21 aufgebaut wurde. und wenn nun die pasv-verbindung von der selben ip auf einem anderen port aufgebaut wird, wird dieses datenpaket zum selben rechner geforwardet. dies hat den vorteil, dass man keine portrange generell durchschleifen muss. allerdings kann damit jeder, der auf meinen ftp zugreift, auch sämtliche anderen ports an der maschine scannen und diese scans würden auch zum rechner durchkommen.

jedenfalls soweit meine theorie. eine entgültige bestätigung habe ich noch nicht bekommen und werde diesbezüglich auch nochmal rücksprache mit dem herstellen nehmen. bei interesse werd ich dies hier auch veröffentlichen.

Moin,

bei interesse werd ich dies hier auch veröffentlichen.

Zum Vergrößern anklicken....

Das wäre sehr nett, denn an Lösungen haben wir immer großes Interesse.
Vorab schon mal Danke.