FTP-Server einricht. per dyndns.org bereitet Probl

Computer: Software & Programmierung Server-Software
#1

Hallo zusammen.

Vorab die Konfiguration:
Firmennetzwerk, basierend auf IP-Adressen 192.168.1.xx
Anschluss ans Internet per Router der Firma Mentor mit integrierter Firewall, er nennt sich „ADSL/Cable Broadband Router“, zu konfigurieren via Browser und der IP 192.168.1.1
3 Stk. Apple Macintosh G4 1,25 GHz (Firewalls in den Syst.einstellungen sind alle aus.
In Sharing > Dienste sind FTP-Zugriff und Personal File Sharing aktiviert (letzteres, um natürlich Daten im Firmen internen Netzwerk austauschen zu können)

Ich versuche bei uns in der Firma einen FTP-Server einzurichten - für externe Kunden zum down- und uploaden.

Dafür habe ich bei dyndns.org eine FTP-Adresse für dynamische IPs registriert.
Der Daemon „DNSupdate 2.7“ übernimmt für mich automatisch das ständige Aktualisieren der IP bei dyndns.org (läuft auf einem der drei Macs, auf dem der FTP-Server laufen soll, im Hintergrund). Wird auch als OK dargestellt.
http://www.versiontracker.com/dyn/moreinfo/macosx/9192

Zum Verwalten der User und Logdaten usw. kann ich wärmstens den PureFTPdManager empfehlen. Mit ihm istz die Konfiguration extrem einfach, übersichtlich, und man kann die User auf ihr eigenes Verzeichnis beschränken (mit anderen Programmen konnten User nach dem Login Verzeichnisse höher…)
http://www.versiontracker.com/dyn/moreinfo/macosx/21703

Mein Problem: Ich kann mich mit einem FTP-Programm das am gleichen Rechner läuft über die ftp.dyndns.org anmelden und up- oder downloaden. Auch von einem weiteren Rechner unserer drei Macs geht das. Von einem Rechner ausserhalb unseres Netzwerkes geht das nicht.

Also nehme ich an, es ist eine Einstellung im Router…
Ports 20 und 21 habe ich bereits freigegeben.
Aber was nun? Ich hoffe, es kennt sich jemand aus?.. Stefan Schustereit?..

Vielen Dank im Voraus!

FTP-Server hinter DSL-Router
#2

Hallo,

Also nehme ich an, es ist eine Einstellung im Router…
Ports 20 und 21 habe ich bereits freigegeben.
Aber was nun? Ich hoffe, es kennt sich jemand aus?.. Stefan
Schustereit?..

Freigeben reicht nicht. Du musst eingehende Verbindungen auf Port 20/21 auf den Serverrechner Weiterleiten lassen, meistens heißt diese Option „Port Forewarding“ oder so.

Und noch was: es ist keine gute Idee einen Ftp-Server hinter einem NAT-Router zu betreiben, denn der wird nur im passiven Modus funktionieren.

Grüße,
Moritz

#3

Wow, Danke für die schnelle Antwort.
Die Weiterleitung ist auch bereits eingerichtet worden. Geht trotzdem nicht.
Die o.g. Einstellungen befinden sich unter der Rubrik NAT > Special Application. Unter NAT gibt es noch „Virtual Server“, worunter man irgendwas mit TCP oder UDP einstellen kann/muss. Ist da noch was zu verändern?..
Oder muss man unter Firewall > DMZ etwas einstellen? Folgendes steht dort:
„DMZ(Demilitarized Zone)
If you have a local client PC that cannot run an Internet application properly from behind the NAT firewall, you can open the client up to unrestricted two-way Internet access by defining a virtual DMZ Host.
Enable (Ankreuzfeld)
IP Address of Virtual DMZ Host (IP eingeben)“
Muss ich dieses aktivieren oder deaktivieren?

Leider muss ich den FTP-Server hinter dem Router betreiben, weil das unser einziger Internetzugang ist. :frowning:

Vielen Dank schonmal.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#4

Hallo,

Die Weiterleitung ist auch bereits eingerichtet worden. Geht
trotzdem nicht.
Die o.g. Einstellungen befinden sich unter der Rubrik NAT >
Special Application. Unter NAT gibt es noch „Virtual Server“,

Virtual Server hört sich gut an. Da musst du die Weiterleitung von beiden Ports (sowohl TCP als auch UDP) auf deinen Server einstellen.

Oder muss man unter Firewall > DMZ etwas einstellen?
Folgendes steht dort:
„DMZ(Demilitarized Zone)
If you have a local client PC that cannot run an Internet
application properly from behind the NAT firewall, you can
open the client up to unrestricted two-way Internet access by
defining a virtual DMZ Host.
Enable (Ankreuzfeld)
IP Address of Virtual DMZ Host (IP eingeben)“
Muss ich dieses aktivieren oder deaktivieren?

Hm…
Eigentlich ist das nicht das was du willst, weil dann alle Sicherheitsfunktionen des Router für diesen Host deaktiviert sind. Wenn alles andere nicht klappt kannst du das aber auch verwenden.

Wenn du nicht davor zurückschreckst dir neue Hardware zu kaufen könntest du auch einen Server vor den Router setzen, der hat dann das Problem mit dem NAT-Routing nicht.

Grüße,
Moritz (der hofft jetzt keinen Unsinn geschrieben zu haben)

#5

Aber was nun? Ich hoffe, es kennt sich jemand aus?.. Stefan
Schustereit?..

Ich bin ja schon da :wink: Moritz hat alle Stichworte schon gegeben: Port Forwarding und passive FTP.

Du hast möglicherweise nicht weit genug gedacht. Du hast dir bei dyndns.org die Adresse meinftpserver.dyndns.org für einen deiner Macs organisiert. Bei Aufruf von nslookup im Terminal bekommst du also so etwas wie:

% nslookup meinftpserver.dyndns.org

Server: 204.66.77.88
Address: 204.66.77.88#53

Non-authoritative answer:
Name: meinftpserver.dyndns.org
Address: 192.168.1.33

Nslookup ist ein Programm, mit dem man die Zuordnung einer IP-Adresse zu einem Domainnamen abfragen kann. Im Dienstprogramme-Ordner liefert Apple etwas zum Klicken mit, das die gleiche Abfrage macht (ich hab den Namen vergessen. Fängt mit Net an und heißt nicht Netinfo).

Ich hab gerade keinen Mac vor mir, sondern poste gerade die Ausgabe einer Linux-Maschine, aber so ähnlich wie oben müsste es bei dir auch aussehen. Wichtig ist die letzte Zeile: Address: 192.168.1.33.

Ist es so, dass die zurückgegebene Adresse mit 192.168 beginnt? Wenn ja: Dyndns gibt die private Adresse deines Macs aus (192.168.1.33) und die ist aus dem Internet schlichtweg nicht zu erreichen. Aus dem Internet ist nur die Adresse zu erreichen, die der Provider deinem Router vergibt, aber nicht die, die dein Router deinem Mac vergibt.

Du musst also bei Dyndns die Adresse deines Routers angeben, und daher braucht also der Router einen Dyndns-Client. Manche Router wie mein Zyxel haben so etwas an Bord (auch wenn der schlichtweg nicht funktioniert).

Die IP-Adresse deines FTP-Servers muss die deines Routers sein, denn nur der ist aus dem Internet zu erreichen. Dort müssen dann die Ports 20 und 21 freigeschaltet werden (zum Testen erst mal alle Ports freischalten) und gleichzeitig muss der Router ein port forwarding bekommen.

Der Router hat ja keinen FTP-Server. Er muss also Anfragen an seine IP-Adresse weiterleiten an den Mac, der den FTP-Server hat. Diese Virtual Server-Sache da auf deinem Router ist genau das Richtige. Dort trägst du ein, dass die TCP-Ports 20 und 21 weitergeleitet werden auf die TCP-Ports 20 und 21 deines Macs (192.168.1.33).

Jetzt probieren, am besten von außen. Mit nslookup kann man immer nachsehen, ob die Adresse des Routers von dyndns richtig zurückgegeben wird. Mit einem Portscanner kann man die Ports 20 und 21 scannen, ob sie auch offen sind. Für beides gibt es Webformulare, einfach mal danach googeln. Damit kann man seine Konfiguration von einem Rechner im Internet testen, denn da sitzen ja auch deine Kunden.

Wenn alles geht, alle Ports außer den benötigten schließen und wieder testen. Natürlich auch mit dem FTP-Client, und wenn das nicht gehen sollte, muss dort die Transfermethode auf passive umgestellt werden.

Viel Erfolg,
Stefan

#6

So, ich habe es nun hinbekommen.
Alle Einstellungen (auch ohn DMZ) waren richtig im Router. Der Fehler lag an einer Einstellung im DNSupdate (der Daemon, der die dynamische IP an dyndns.org mitteilt). Ich hatte irgendwo gelesen, dass man „Default Interface“ eingestellt lassen soll. Da wir hinter einem ADSL/Cable-Modem hocken, muss diese Einstellung gewählt werden.
Darauf gekommen bin ich, als ich mir nach Einloggen auf der Webseite von dyndns.org die zuletzt aktualisierte IP und die im Moment des eingeloggt seins von meinem Browser übermittelte ansah. Beide waren unterschiedlich und die andere war am Tag meiner Accounterstellung zuletzt aktualisiert worden. Da stimmte was nicht…

Danke aber an alle, die geantwortet haben.
vielleicht kann meine Lösung ja auch jemand anderem helfen…

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#7

Hallo,

Ich versuche bei uns in der Firma einen FTP-Server
einzurichten - für externe Kunden zum down- und uploaden.

Okay.

Dafür habe ich bei dyndns.org eine FTP-Adresse für dynamische
IPs registriert.

Auwei.

Mein Tipp: man kann FTP-Server hinter einen Router und mit Dyndns betreiben. Das ist nett, wenn man mal mit den Kumpels basteln will.

Für eine Firma ist das aber vollkommen untauglich, spätestens der nächste Kunde, der aus einem Netzwerk kommt, welches seinerseits mit einem Router angebunden ist, wird Probleme bekommen, auf Euren FTP-Server zuzugreifen.

Oder - fast noch schlimmer - wegen eines hängenden Dyndns-Updates gelangen Username und Passwort in falsche Hände (Das ist ohnehin ein Problem bei FTP).

Kurz: Wenn DU Deine Kunden nicht nerven willst, sieh zu, daß Du für den FTP-Server eine gescheite Anbindung bekommst oder - wenn es schon Dyndns sein muß - Du den Donload als HTTP anbietest. Das Protokoll ist weitaus gutmütiger.

HTH,

Sebastian