Problem mit ProFTPd hinter Router

[Lefe]

Hi,

ich will einen FTPs Server mit einer dyn IP betreiben, der Zugriff soll nur verschlüsselt erlaubt sein und ich hab eine range für PassivePorts angegeben und den Rest durch die Firewall gesperrt. Das Problem an der Sache ist das der Server hinter einem Router hängt d.h. ich brauche MasqueradeAddress ***.dyndns.org lass ich den Server als standalone laufen funktioniert alles bis sich die IP ändert da diese ja nur beim start von ProFTPd aufgeschlüsselt wird, lass ich den Server mit inetd laufen würde zwar die IP bei jeder Verbindung neu aufgeschlüsselt aber der Server versucht jedem Client den gleichen Port für die Daten-Verbindung zuzuweisen was natürlich ein Prob ist. Weiß jemand wie ich das Problem lösen könnte?

Danke
Lefe

[stonki]

Hi,

ich will einen FTPs Server mit einer dyn IP betreiben, der Zugriff soll nur verschlüsselt erlaubt sein und ich hab eine range für PassivePorts angegeben und den Rest durch die Firewall gesperrt. Das Problem an der Sache ist das der Server hinter einem Router hängt d.h. ich brauche MasqueradeAddress ***.dyndns.org lass ich den Server als standalone laufen funktioniert alles bis sich die IP ändert da diese ja nur beim start von ProFTPd aufgeschlüsselt wird, lass ich den Server mit inetd laufen würde zwar die IP bei jeder Verbindung neu aufgeschlüsselt aber der Server versucht jedem Client den gleichen Port für die Daten-Verbindung zuzuweisen was natürlich ein Prob ist. Weiß jemand wie ich das Problem lösen könnte?

Danke
Lefe

naja. Du koenntest in /etc/ppp/ipup ein Script unterbringen, das ProFTPD veranlasst die Config neu einzulesen (kill -SIGHUP). Das Problem ist nur, das zu dem Zeitpunkt Deine dyndns adresse noch nicht aktualisiert ist. Wenn Du also sonst eine Chance hast, die externe IP irgendwie einzulesen kann es ggf. klappen, sonst habe ich leider keine Idee.

[Lefe]

Hi,

das ipup Skript funktioniert doch nur wenn sich der Rechner selber ins Inet einwählt oder täusch ich mich da? Und das Einwählen übernimmt ja der hardware Router d.h. der Server bekommt eigentlich garnix mit von der neuen IP oder? Muss ich mir wohl Gedanken über ein Skript machen das regelmässig die externe IP überprüft und dann den Server neu startet wenn proftpd das nicht selber kann....

[[AA]Snake]

ich habe genau das selbe problem,
ich hätte einen weiteren lösungsansatz der zumindest bei mir helfen könnte:

man kann ja den proftpd -daemon einfach alle 24h per script neustarten, dann würde er die ip neu auflösen und es müsste wieder funktionieren. (da ja eine ip bei der Terrorcom 23h59min hält).

weiss nur leider noch nicht wie man das umsetzt, da ich mich gerade erst in linux einarbeite :roll:

-im zusammenhang damit such ich noch ein keep alive proggi für linux das meinen router alle 30 min aktiviert, da er sich nach trennung erst einwählt wenn er wieder ne anfrage bekommt.

[stonki]

Snake"]
-im zusammenhang damit such ich noch ein keep alive proggi für linux das meinen router alle 30 min aktiviert, da er sich nach trennung erst einwählt wenn er wieder ne anfrage bekommt.

Das ALLER einfachte keepalive tool ist Ping. Dank "-i <INTERVAL IN SEKUNDEN>"kann man auch sagen ping -i 1200 www.heise.de" und heise wird alle 10min angepingt.

[Anonymous]

hmm auf das einfachste kommt man meist nicht  :roll:  naja, also ich hab mir das so gedacht das ich jede stunde den proftpd neustarte dann löst er ja die ip neu auf, nur das problem ist, das er dann auf einmal anfängt sich andere passive ports zuzuweisen als in der config angegeben!!! hat jemand ne ahnung wieso er das tut und wie ich das verhindern kann?

[[AA]Snake]

sry das mit dem Gast, hab vergessen mich einzuloggen.
also ich hab das mit dem ping mithilfe von crontab gemacht da muss ich den ping nicht die ganze zeit laufen lassen.

und das proftpd prob hab ich vorerst gelöst indem ich ihn über xinetd starte, was aber zum nachteil hat das der 30 sekunden braucht bis er die welcome message anzeigen kann...

ich hoffe proftpd wird im nächsten build eine ähnliche funktion wie pure-ftpd haben, und den dns namen bei jedem neuen connect auflösen  

[Gast]

dein router sollte doch eigentlich die anmeldung für den dynDNS-account unterstützen. das tun die meißten jedenfalls. und da wirst du im grunde keine andere IP erhalten als die du erhältst wenn der router sich das erste mal ins netz einwählt.

wenn du einen ftp-server wie diesen betreiben möchtest, schätze ich mal daß du zu mindest eine flatrate nutzt und da muß man den router nicht zwischenzeitlich abschalten, sondern läßt ihn einfach am netz. anderenfalls wäre deine ganze unternehmung doch nur kinderkram.

ein ftp-server spricht für erreichbarkeit rund um die uhr, ein wechsel der ip wäre nicht nur für dich, sondern auch für deine besucher zum nachteil.
denn ein dynDNS-server kann auch mal ausfallen. dann kannst du deinen besuchern eine ständige änderung deiner adresse nicht zumuten. jedenfalls nicht tagsüber.

wird dein dsl-account nachts regulär einmal getrennt, verbindet sich der router gleich danach wieder mit dem internet. du mußt nur die option (automatisch ausloggen nach x min inaktivität) abschalten. nun ist auch der ftp-server wieder über die subdomain (dynDNS) und die neue ip über port 21 erreichbar, keine frage. alles ohne den server abzuschalten oder neuzustarten. ein ftp-server gehört auch nicht wirklich hinter einen router. dies wirkt wie ein flaschenhals für ihn. benutze dazu im router die funktion DMZ und schalte diese für deinen rechner ein. schützen kannst du dich auch mit einer firewall deines localhosts. somit hast du auch keine probleme mehr mit den passive Ports.

[Lefe]

Hi,

so nach einer Woche Pause kann ich mich wieder um mein ftps vorhaben kümmern
Also die ganze Sache würd ich nicht als Kinderkram bezeichen sondern eher als Spielzeug zum testen und lernen und das das kein produktiv System werden soll/ist dürfte klar sein denn ein FTP-Server hintern einer T-DSL Leitung macht nur bedingt Sinn/Spaß...

dein router sollte doch eigentlich die anmeldung für den dynDNS-account unterstützen. das tun die meißten jedenfalls. und da wirst du im grunde keine andere IP erhalten als die du erhältst wenn der router sich das erste mal ins netz einwählt.

Richtig um die gehts ja die dynamische IP von der Telekom bei der Wiedereinwahl...

wird dein dsl-account nachts regulär einmal getrennt, verbindet sich der router gleich danach wieder mit dem internet. du mußt nur die option (automatisch ausloggen nach x min inaktivität) abschalten. nun ist auch der ftp-server wieder über die subdomain (dynDNS) und die neue ip über port 21 erreichbar, keine frage. alles ohne den server abzuschalten oder neuzustarten.

richtig, der router wählt sich im Normalfall (kein Stromausfall, Änderung an der Config) nach 24h sofort wieder ein und aktuallisiert den dyndns Account
ABER der ftp-Server ist dann nicht über die dyndns Adresse erreichbar sollange er nicht neu gestartet wurde da er die ip der dyndns Adresse nur beim Start von proftpd auflöst. Genau das ist ja das Problem warum ich mir ein Skript zum neustarten das Servers basteln wollte....

ein ftp-server gehört auch nicht wirklich hinter einen router. dies wirkt wie ein flaschenhals für ihn. benutze dazu im router die funktion DMZ und schalte diese für deinen rechner ein. schützen kannst du dich auch mit einer firewall deines localhosts. somit hast du auch keine probleme mehr mit den passive Ports.

???da haben wir uns glaub ich falsch verstanden! wie gesagt der Server dient nur als Spielwiese und nicht als Produktivsystem mit massig Besuchern, und ich hab nur die Möglichkeit diesen hinter einem Router zu betreiben. DMZ + Firewall ist natürlich eingerichtet aber das löst das Problem nicht wenn der Server 2 Clients den gleichen passive Port zuweist...

Aber das Problem mit der dyn IP ist im Moment das kleinere, das größere ist im Moment das zwar die Anmeldung funktioniert aber ich keine Datenverbindung aufmachen kann (227 Entering Passive Mode (*,*,*,*,242,52)) sollang ich alles verschlüsselt laufen lasse. Schalte ich die Verschlüsselung aus (TLSEngine off) funktioniert alles. An der Firewall liegts nicht zumindest nicht an der auf dem ftp-server kanns sein das die Firewall hinter der der Client sitzt (bin im moment nicht zuhause und hab hier keine Zugriff auf diese Firewall) damit nicht zurecht kommt?

Lefe

[Lefe]

Hi,

so jetzt weiß ich warum das ganze nicht funktioniert bzw nur teilweise! Ich sitze hier hinter einer stateful inspection firewall die lässt zwar passiv ftp zu aber nur wenn dieser nicht verschlüsselt ist denn mit dem kann sie ja nix anfangen und erkennt es nicht als ftp, und aktiv ftp funktioniert mit tls sowieso nicht soweit ich das bis jetzt gelesen habe oder?

Lefe

[[AA]Snake]

@Lefe Also soweit ich weiss ist aktive Port schon möglich mit TLS/SSL aber das funktioniert mit dem NAT nicht, daher die passive ports - probiers mal im LAN mit aktive port aus da müsste es einwandfrei klappen!

ansonsten schliesse ich mich deiner meinung an zur beantwortung des oberen posts - nur noch eine anmerkung - bei DSL ensteht definitiv kein flaschenhals hinter dem Router mit Firewall, dafür ist die bandbreite zu gering, btw hab ichs auch schon getestet und es macht bei mir keinen unterschied, habe immer 16kb/s upstream