Opensense feste ip > lan ftp server

Joerg_Boecker · 25. November 2024 um 18:59

Hallo Leute, verzweifel grad. Habe vsftp auf debian am laufen 192.168.1.200 interner connect mit filezilla läuft. Aber extern auf festeip:21 kommt nix nichtmal block nachrichten. NAT rule WANAdress> 192.168.1.200:21 ist erstellt. Komme nicht auf den ftp server weder lan > extern > ftp noch extern > ftp von filezilla gibts nen timeout

m-electronics · 25. November 2024 um 20:00

Hallo, hast du die vom NAT erstellte FW-Regel über die Block-All (soweit manuell vorhanden) geschoben?

Joerg_Boecker · 25. November 2024 um 20:36

ist im moment nur eine nat regel außer der logout regel

also port 21 und port 10000-11000 sind auf den ftp server genattet

es scheint aber so als ob von extern der ftp port zugänglich ist . von lan über extern zu lan aber nicht

filezilla von meinem pc gibt nur
143.100.194:21…
Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

m-electronics · 25. November 2024 um 20:41

Ne, LAN → Extern → LAN will man auch nicht haben. Da muss man Hairpin-Modes einschalten etc.
Aber du sagtest ja von „richtigem“ Außen geht es auch nicht?

Joerg_Boecker · 25. November 2024 um 20:45

dachte ich zumindest intern gehts ipv6 geht auch ping geht auch muss aber testen ob der ftp von außen errreichbar ist über ipv4

vom ftp host ping

m-electronics · 25. November 2024 um 20:47

Aber schau bitte deine Regelsortierung an.

Joerg_Boecker · 25. November 2024 um 20:54

außer den standart regeln gibts nur die ftp wan regeln zwecks test

m-electronics · 25. November 2024 um 20:58

Die FTP-Port-Regel (21) ist deaktiviert.
Und eine Regel von 10000-11000 auf Port 10000 geht auch nicht.

Joerg_Boecker · 25. November 2024 um 21:01

warn nur zum testen die ftp regel ist aktiv grad und die 10000er sollte fürs aktive ftp sein auch nur schneller test

m-electronics · 25. November 2024 um 21:08

Die Regel mit der LAN-IP als Destination ist schon richtig für das NAT.
Aber kannst du mal einen tcpdump auf dem FTP starten und schauen wenn du von wirklich außen verbindest, ob da Pakete ankommen?

Joerg_Boecker · 25. November 2024 um 21:19

ne tot

wobei das lan > extern > lan ist!

m-electronics · 25. November 2024 um 21:22

Das wird auch geblockt von der FW, du musst wirklich aus dem Mobilfunk oder so kommen

Joerg_Boecker · 25. November 2024 um 21:25

danke erstmal werd ich morgen mal testen

Joerg_Boecker · 26. November 2024 um 15:17

handy nix und via dsl extern auch nix

m-electronics · 26. November 2024 um 15:43

Im tcpdump meinst du?

Joerg_Boecker · 26. November 2024 um 15:45

komischerweise auch im firewall log nicht / im dump auch nicht

m-electronics · 26. November 2024 um 16:18

Welche Regeln hast du denn jetzt gerade aktiv?

Joerg_Boecker · 26. November 2024 um 16:23

auf lan erstmal nur die default to any regeln

hardware hatteich vergessen feste ip / modem cm3500 > opnsense > heimnetz 192.168.1.0

m-electronics · 26. November 2024 um 16:33

Ok, die Regeln passen soweit. Hast du vielleicht CGNAT?

m-electronics · 26. November 2024 um 16:35

Hast du die oberste WAN-Regel selbst erstellt?
Weil normalerweise steht da NAT dabei