FTP-Server von außen nicht erreichbar

    Hallo zusammen :)


    Ich möchte gerne den FTP-Server der NAS nutzen.

    Die Freigaben habe ich schon gesetzt. Aus meinem Netzwerk kann ich auf den FTP zugreifen.

    Leider kann ich mich von außerhalb nicht auf den FTP Server anmelden.


    Ich habe den Port 21 freigegeben.

    Ich habe außerdem viele andere Ports ausprobiert. Ich habe mich dabei an folgende Liste gehalten: https://de.wikipedia.org/wiki/…er_standardisierten_Ports

    Leider hatte ich bisher keinen Erfolg und möchte euch nun fragen, ob jemand den FTP Server auf der NAS nutzt und mir die Portfreigaben verraten kann, die genutzt werden?


    Vielleicht helfen die Screenshots:

    2021-11-01 14_30_18-nas02.png  2021-11-01 14_30_53-nas02.png


    PS: Welches wären die Standart-Passive-Ports?


    Einen Auszug aus meiner Log:


    Es sieht also so aus, als könne die TLS Verbindung hergestellt werden. Aber das Verzeichnis wird am ende nicht angezeigt.

    Die Verbindung versuche ich von einer externen Maschine bei einem guten Freund, der mir einen RDP-Zugang zu Verfügung stellt. Der Anschluss dort ist eine IPv4 (ohne IPv6)
    Ich verwende den FileZilla.


    Ich danke euch vielmals.

    Wünsche allen, die heute Feiertag haben einen schönen Feiertag.

    Beste Grüße

    2 Mal editiert, zuletzt von donnerwolke_ () aus folgendem Grund: log hinzugefügt

    Lass das!

    Sonst tummeln sich bald andere auf dem NAS oder Deine Daten werden verschlüsselt.

    Abgesehen davon ist FTP kein sehr sicheres Protokoll.

    Zugriff von außen nur über eine VPN Verbindung, alles andere ist schlichtweg leichtsinng bis grob fahrlässig!


    Gruss

    Gibt es alternativen?

    Ich möchte wirklich gerne etwas nutzen um Dateien mit Freunden austauschen zu können.

    Ich möchte aber nicht allen eine VPN Verbindung ermöglichen. Ist schließlich immer noch mein Netzwerk.


    Ich hätte das mit dem FTP trotzdem gerne gewusst gehabt.

    Vielen Lieben Dank.

    Dann tauscht Euch über irgendeine Cloud aus, Dropbox oder ähnliches.

    Und wenn Du schon Deinen Freunden nicht traust, dann solltest Du erst recht nicht einfach jedem den Zugriff ermöglichen, abe genau das machst Du ohne VPN!

    Aber bitte, es sind nicht meine Daten :P.


    Welcher Router ist im Einsatz, wie kommst Du von außen in Dein Netzwerk? Wer macht das DynDNS?


    Gruss

    Ich habe eine Cloud hier. Jedoch sind die Datenmengen zu groß.

    Das hatte ich bereits probiert. Demnach fallen Dropbox & Konsorten auch raus.

    Es geht hierbei auch nicht um persönliche Daten. Diese tauschen wir bereits über die Cloud aus.


    Ich habe eine Fritzbox hier stehen.

    Eine DynDNS nutze ich nicht mehr (nur noch als Backup)

    Ich habe eine feste IP und eine eigene Domain. Demnach habe ich einen A Record gesetzt, mit dem ich auf die Kiste kommen könnte.


    Vielen Dank.

    Die feste IP hat doch sicherlich die Fritz, oder? Und der A-Record zeigt auch auf die IP der Fritz?

    Dann müsstest Du in der Fritzbox eine entsprechende Portweiterleitung einrichten.


    Ansonsten musst Du Dein Konstrukt etwas näher erläutern.


    Gruss

    Welche Dateien getauscht werden ist ja egal..wird das ganze NAS verschlüsselt sind alle Dateien darauf betroffen .. wobei ich bisher von keiner ftp Lücke gehört habe die Angreifern vollzugriff erlaubt hätte ..aber das kann sich ja immer ändern


    Was ich machen würde..nen Container oder VM mit nextcloud einrichten...wenn der gekapert wird, ist ja Alles noch gekapselt

    Einmal editiert, zuletzt von dolbyman ()

    Ich habe eine Nextcloud, welche auch in einer VM läuft.


    Ja, richtig, meine Fritzbox hat eine feste IP und ich muss eine Portweiterleitung machen um von aussen auf den FTP zu kommen.

    Und genau das scheint mein Problem zu sein, weil ich auf den FTP von aussen nicht drauf komme.


    Welche Portfreigaben werden hier benötigt?

    FTP/tcp, FTP over TLS/tcp und ggf die passiven Ports/tcp?

    Normalerweise nur den Port der von außen kommt auf den Port des FTP Servers.


    Wenn Du den FTP Server unter ftp01.domain.de:4711 ansprichst, dann trägt Du in der Fritz als Weiterleitung lediglich ein: externer Port 4711 -> 192.168.178.100 Port 22 (für die VM habe ich die 192.168.178.100 angenommen, musst Du natürlich Deine echte IP eintragen).


    Sonst nichts.

    So hat es seinerzeit bei mir funktioniert, bevor ich auf VPN gewechselt habe.


    Gruss

    Einmal editiert, zuletzt von FSC830 () aus folgendem Grund: Port korrigiert

    und für FTP over TLS?
    Muss ich für die passiven Ports nicht auch ne Freigabe machen?

    Ja, die müssen ebenfalls alle offen sein/ weitergeleitet werden da die Verbindung auf diesen Ports nicht vom Server aufgebaut wird, sondern der Server dem Client nur den zu verwendenden Port mitteilt, die Verbindung dahin aber von Client aufgebaut wird.


    Ich würde das nicht machen.

    ftp ist sehr unsicher und sollte deswegen außerhalb eines wirklich vertrauenswürdigen LANs nicht mehr verwendet werden. Bereits ein Firmen-LAN ist nicht vertrauenswürdig genug. Grund: ftp überträgt alle Daten im Klartext, und "alle Daten" schließt das Passwort mit ein. Jeder, der einen Netzwerksniffer im LAN betreibt oder der zwischen den beiden Endpunkten sitzt (Internet-Provider, Geheimdienst, Backbone-Betreiber, etc.) kann Benutzername und Passwort im Klartext lesen.


    Sichere Alternativen sind sftp (ftp über ssh) und ftps (ftp über ssl). Mit ftps kenne ich mich nicht aus.


    Ein Zugriff über sftp lässt sich sicher konfigurieren. Dazu muss man folgendes tun:

    • In qts wird bei Telnet/SSH ssh angekreuzt und auch sftp, der Port bleibt bei 22
    • Für alle Benutzer, die sich mit ssh anmelden dürften (nicht nur die sftp-Nutzer, sondern auch deine internen Nutzer, die ssh nutzen sollen, um das NAS zu verwalten), müssen ssh-Keys erzeugt werden und die öffentlichen Schlüssel in die entsprechenden authorized_keys eingetragen werden.
    • In der ssh-Konfigurationsdatei sshd-config muss die Anmeldung über ssh-Keys gestattet und die über Passwörter gesperrt werden (sonst hat man ein potentielles Sicherheitsrisiko - irgendein Account hat ein schwaches Passwort). Das Problem ist, dass sshd_config bei jedem Reboot neu erstellt wird. Ich empfehle, in autorun.sh sshd mit Parameter -f und einer alternativen Konfigurationsdatei neu zu starten.
    • Im Router wird eine Portweiterleitung von einem hohen Port (z. B. 55123) auf den Port 22 des NAS angelegt. Der sftp-Aufruf erfolgt dann später mit sftp -P 55123 adresse

    Der Haken ist jetzt, dass der so angelegte ssh-Nutzer recht viel machen darf. Er hat nicht nur Shell-Zugriff, sondern kommt über die ssh-Portweiterleitung (ssh-Tunnel) an alle Geräte ran, auf die auch das NAS zugreifen könnte, also fast wie im VPN.


    Der ssh-Nutzer kann eingeschränkt werden. Mit AllowTcpForwarding no in der Konfigurationsdatei kann der Zugriff auf andere Geräte unterbunden werden. Eine weitere Reduktion auf nur die sftp-Funktion ist möglich, siehe z. B. hier (für Linux; passt aber, für Qnap gibt es da keine spezielle Doku mehr - ich habe dies aber nicht ausprobiert).

    Wie ich ja schon sagte: ich möchte sehr viele Daten freigeben. Aber ich habe mich an das was ihr mir geraten habt, gehalten. Aktuell nutze ich den FTP weiterhin nicht. Ich habe eine andere, sichere Lösung gefunden.

    Die Sache mit dem SSH gucke ich mir irgendwann mal an. Aber das ist erst mal nicht notwendig. Danke euch allen für eure Infos. :)