8
Port 21 auf ner FortiGate 60C
Hallo zusammen,
ich bin freiberuflich im Bereich Netzwerk und Systemadministration zuständig und in letzter Zeit etwas verstärkt mit den Appliances von Fortinet betreut. Da hab ich in der Arbeit mit den Geräten eine für mich etwas merkwürdige Beobachtugn gemacht aber wohlmöglich hab ich auch anderweitig etwas übersehen.
Undzwar möchte ich ganze gerne Port21 forwarden um den FTP unserer NAS im eigens dafür eingerichteten VLAN von außen ansprechbar zu machen. Kurios ist für mich erstmal das ich leider den Port21 nicht offen bekomme egal was ich veranstalte.
Ich kann diverse Ports öffnen so beispielsweise Port 22 oder wahlweise auch andere und verifiziere ob diese geöffnet sind mittels diverser Postscanner. Dazu lasse ich dann jeweils testweise einen Dienst auf dem jeweiligen Port lauschen und weigesagt bei Port21 verweigert mir die Forti das Forwarding als wenn irgendwo n Geisterdienst bereits auf diesem Port laufen würde. Eventuell habt ihr ja nen Tip für mich denn im Augenblick steh ich da gewissermaßen vor einem Rätsel.
Ich kann diverse Ports öffnen so beispielsweise Port 22 oder wahlweise auch andere und verifiziere ob diese geöffnet sind mittels diverser Postscanner. Dazu lasse ich dann jeweils testweise einen Dienst auf dem jeweiligen Port lauschen und weigesagt bei Port21 verweigert mir die Forti das Forwarding als wenn irgendwo n Geisterdienst bereits auf diesem Port laufen würde. Eventuell habt ihr ja nen Tip für mich denn im Augenblick steh ich da gewissermaßen vor einem Rätsel.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 154094
Url: https://administrator.de/contentid/154094
Printed on: April 19, 2024 at 22:04 o'clock
8 Comments
Latest comment
Moin,
erscheint denn eine Fehlermeldung?
Außerdem mußt Du bedenken, dass Du für FTP nicht nur den Kontroll-Port 21 benötigst sondern auch die Datenports. Diese werden dynamisch vom FTP Server vergeben, der dazu auch Deine öffentliche IP wissen muss.
Stefan
erscheint denn eine Fehlermeldung?
Außerdem mußt Du bedenken, dass Du für FTP nicht nur den Kontroll-Port 21 benötigst sondern auch die Datenports. Diese werden dynamisch vom FTP Server vergeben, der dazu auch Deine öffentliche IP wissen muss.
Stefan
FTP besteht immer aus 2Ports !! TCP 20 und TCP 21 ! Vermutlich tappst du in diese Falle ?!
Nur mit 21 kannst du arbeiten wenn deine Clients FTP im Passive Mode Supporten.
http://slacksite.com/other/ftp.html
Nur mit 21 kannst du arbeiten wenn deine Clients FTP im Passive Mode Supporten.
http://slacksite.com/other/ftp.html
"The confusion begins however, when we find that depending on the mode, the data port is not always on port 20. "
Möglicherweise hab ich mich etwas missverständlich ausgedrückt. Das aktiv FTP mehr als nur Port 21 zur Kommuikation benötigt ist mir schon klar aber das ist nicht die Crux in der Sache.
Denn als ich mich gestern damit beschäftigt habe eben weil ich permanent ein Connection Refused vom FTP Client bekam bei dem Versuch mich mit dem FTP Server der NAS zu verbinden ist mir eben aufgefallen das ich Port21 ganz explizit nicht geöffnet bekomme. Wenn ich den Serverport des FTP Servers hingegen ändere auf sagen wir 60000 bekomme ich passiv auch die Verbindung bei entsprechender Änderung der Virtual IP Einstellung in der Fortigate.
Woran es scheitert ist das wenn ich Port21 forwarde ich ja zumindest in der Lage sein sollte den offenen Zustand des Ports über einen der vielen Portscanner zu verifizieren. Leider aber ist Port21 immer dicht wohingegen ich bei dem Versuch andere Ports zu öffnen die entsprechende Bestätigung über den Portscanner erhalte das diese von außen erreichbar sind. Das ist es halt was ich nicht verstehe denn die FTP Verbindung als solche ist ja noch einen Schritt weiter aber das Port21 sich absolut nicht öffnen lässt als wäre der Port in irgendeiner Art und Weise belegt bereitet mir Kopf zerbrechen.
Denn als ich mich gestern damit beschäftigt habe eben weil ich permanent ein Connection Refused vom FTP Client bekam bei dem Versuch mich mit dem FTP Server der NAS zu verbinden ist mir eben aufgefallen das ich Port21 ganz explizit nicht geöffnet bekomme. Wenn ich den Serverport des FTP Servers hingegen ändere auf sagen wir 60000 bekomme ich passiv auch die Verbindung bei entsprechender Änderung der Virtual IP Einstellung in der Fortigate.
Woran es scheitert ist das wenn ich Port21 forwarde ich ja zumindest in der Lage sein sollte den offenen Zustand des Ports über einen der vielen Portscanner zu verifizieren. Leider aber ist Port21 immer dicht wohingegen ich bei dem Versuch andere Ports zu öffnen die entsprechende Bestätigung über den Portscanner erhalte das diese von außen erreichbar sind. Das ist es halt was ich nicht verstehe denn die FTP Verbindung als solche ist ja noch einen Schritt weiter aber das Port21 sich absolut nicht öffnen lässt als wäre der Port in irgendeiner Art und Weise belegt bereitet mir Kopf zerbrechen.
Dann hast du ganz klar ein Problem auf der Fortigate, das die diesne Port nicht forwardet. Eine andere Schlussfolgerung kann es nicht geben !
Was klar sein muss sind folgende Fakten:
Kannst du diese 3 Punkte sicher ausschliessen hast du entweder ein Konfig Problem oder einen Bug auf der Fortigate. Zu vermuten ist eher ersteres...
Was klar sein muss sind folgende Fakten:
- Das NAS muss zwingend den FTP Passive Mode supporten !
- Der FTP Client muss zwingend den FTP Passive Mode supporten ! Gut zum Test sind z.B. der Firefox Browser mit ftp://... im URL Fenster denn der nutzt immer den Passive Modus !
- Der FTP Zugang sollte zwingend vorher im lokalen Netz direkt am NAS getestet werden im Passive Mode um sicherzugehen das das NAS Passive Mode kann.
Kannst du diese 3 Punkte sicher ausschliessen hast du entweder ein Konfig Problem oder einen Bug auf der Fortigate. Zu vermuten ist eher ersteres...
So Entwarnung ich habs mittlerweile lösen können. Ich hab mal die Konfiguration der FritzBox überprüft an die die Forti als Exposed Host (DMZ) angebunden ist. Nach dem letzten Firmware Update der Fritze hat sich ein neues Feature eingeschlichen das NAS ähnliche Dienste bereitstellt darunter eben auch FTP und aufgrund dessen war Port 21 belegt *seufz*
Nun jetzt funktioniert die Verbindung wenn ich Port21 an der Forti weiterreiche ohne Probleme. Ich hätte allerdings ganz gerne Explicit Secure FTP aktiviert und dabei verweigert mir der FTP die Verbindung mit der Fehlermeldung
"Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." danach dann Timeout.
Hier hab ich offenbar noch n Fehler drin. Explicit Secure FTP läuft doch nach wie vor über Port21. Also müsste ich doch im Prinzip lediglich Port20,21 und ggf. den vorher festgelegten PASSIV Portrange an die NAS über die Forti forwarden oder fehlt noch etwas?
Nun jetzt funktioniert die Verbindung wenn ich Port21 an der Forti weiterreiche ohne Probleme. Ich hätte allerdings ganz gerne Explicit Secure FTP aktiviert und dabei verweigert mir der FTP die Verbindung mit der Fehlermeldung
"Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." danach dann Timeout.
Hier hab ich offenbar noch n Fehler drin. Explicit Secure FTP läuft doch nach wie vor über Port21. Also müsste ich doch im Prinzip lediglich Port20,21 und ggf. den vorher festgelegten PASSIV Portrange an die NAS über die Forti forwarden oder fehlt noch etwas?
Vergiss doch die doofe FB und konfiguriere die nur als dummes Modem (PPPoE Passthrough) oder kaufe dir ein nur DSL Modem !
Damit ersparts du dir die sinnvole PFW Frickelei mit einem Router davor.
Die Fortigate kann doch selber PPPoE direkt und da macht ein kompletter Router davor doch gar keinen Sinn !
Ein simples Modem oder die FB im PPPoE Passthrough Modus erleichtert dir das Leben ungemein !
Wenns das denn war bitte
How can I mark a post as solved?
Damit ersparts du dir die sinnvole PFW Frickelei mit einem Router davor.
Die Fortigate kann doch selber PPPoE direkt und da macht ein kompletter Router davor doch gar keinen Sinn !
Ein simples Modem oder die FB im PPPoE Passthrough Modus erleichtert dir das Leben ungemein !
Wenns das denn war bitte
How can I mark a post as solved?
Viel mehr macht sie ja auch nicht. Die FritzBox wählt die PPPoE Verbindung dafür taugt se auch ganz gut reicht aber alles ungefilter an die Forti weiter. Die FritzBox nennt das Exposed Host ist aber nich viel anders als würde man die Forti an eine DMZ hängen. Hat denn jemand noch n Tip bezüglich Secure FTP Explicit? Weil sonst mach ich wie von dir gefordert zu und bezeichen das hier als gelöst
Danke schonmal.
Danke schonmal.
