Pfsense und DNS Server
-
natreflection funktioniert nicht für Portranges mit mehr als 500 Ports und nur für definierte Portforwards. Für FTP funktioniert natreflection gar nicht. Nur für andere portforwards wie z.B. Webserver, Remotedesktop, …
-
Portranges mit mehr als 500 Ports
Ah ja, alles klar, die Ranges hatte ich übersehen. Da werden natürlich nicht 500 überschritten, sind nur 20 pro FTP Server und PC, für die passive port range. 500 wäre ja auch absoluter Schwachsinn, hieße ja >500 ports zu forwarden. Na ja manche haben das drauf, die geben für die passive port range von 1-65535 alles frei ;D, da können sie den Router auch gleich abbauen.
und nur für definierte Portforwards
Und forwarded sind die entsprechenden Ports, wie bereits erwähnt, selbstverständlich auch, ansonsten würde mein FTP ja erst gar nicht laufen,
oder habe ich da jetzt was falsch verstanden.Für FTP funktioniert natreflection gar nicht. Nur für andere portforwards wie z.B. Webserver, Remotedesktop, …
Meinst du jetzt für das FTP Protokoll funktioniert es nicht oder für den als Standard definierten Port 21 nicht?
Den nutze ich auch nicht, habe da meinen eigenen Port(s) für die verschiedenen Server auf den PCs.Wenn es allgemein für das FTP Protokoll nicht geht, also mit anderen Worten überhaupt nicht für FTP, könnt ihr es dann nicht noch einbauen oder kann ich selber es irgendwie umbiegen, z.B. per config.xml oder wie auch immer.
Ich mein bei meinem alten Netgear und den T-Com Gurken ging es doch auch.
Gründe wozu, nannte ich dir ja. -
Für FTP funktioniert natreflection gar nicht. Nur für andere portforwards wie z.B. Webserver, Remotedesktop, …
Meinst du jetzt für das FTP Protokoll funktioniert es nicht oder für den als Standard definierten Port 21 nicht?
Den nutze ich auch nicht, habe da meinen eigenen Port(s) für die verschiedenen Server auf den PCs.Wenn es allgemein für das FTP Protokoll nicht geht, also mit anderen Worten überhaupt nicht für FTP, könnt ihr es dann nicht noch einbauen oder kann ich selber es irgendwie umbiegen, z.B. per config.xml oder wie auch immer.
Ich mein bei meinem alten Netgear und den T-Com Gurken ging es doch auch.
Gründe wozu, nannte ich dir ja.Wir haben schon einen proxy, der aktivien und passiven Verbindungen durch die Firewall hilft (öffnet dynamisch die hohen ports, ersetzt ggf. die Private IP-Adresse, die der Server sendet wenn er seine öffentliche nicht kennt automatisch mit der WAN IP usw). Der hört auf dem Port 21 (wenn der ftphelper am entsprechenden Interface aktiviert is unter interfaces>xxx). In Deinem Fall, da Du den nicht benutzt und alle ports geforwardet hast und nicht standard ports benutzt sollte nat reflection aber sogar gehen denke ich.
-
Leider geht es eben nicht.
Habe eben mal versuchsweise WAN FTP Helper aktiviert, wobei das wenn ich dich richtig verstehe, eh nur von Bedeutung ist, wenn man mit Port 21 arbeitet.
Alles ohne erfolg.
In der Firewall habe ich auch mal aktiviert, das er alles LAN–>WAN ausgehende loggen soll und meine entsprechenden WAN-->LAN incomming Ports für den Server loggen soll. Das Ergebnis ist, ich komme per Log vin meiner
Privaten IP---> auf meine WAN IP raus,
aber es kommt vo meuner WAN IP--->auf meine private IP nichts rein.Und wie bereits gesagt, Leute die wriklich von außen kommen, die haben keine Probleme, nur ich auf mich selbst,
wenn ich einfach gesagt mit meinem FTP Client raus ins Internet gehe dann von "außen" über dyndns (oder auch die öffentliche IP) auf meinen Server zugreifen will, dann funtzt das nicht, weil der Router wie auch immer erkennt "halt mal der kommt doch gar nicht wirklich von außen" und dann mir den Stinkefinger zeigt, so nach dem Motto "wir besteigen uns doch hier nicht selber". ;D -
-
hoba = hilfsbereiter omnipotenter beratender administrator? ::)
Dann wird es für das FTP-Protocol nicht gehen und das wird auch nicht gefixt werden. NAT-Reflection ist sowieso eine Art "Hack". Abgesehen davon sagt das nicht unbedingt aus, daß alles von extern funktioniert (da wird im Hintergrund alles durch einen Proxy auf der pfSense gejagt). Wenn Du derartige Sachen testen willst solltest Du das immer von extern tun (egal, ob Du dafür jetzt einen Freund anrufen musst oder nicht).
-
hoba = hilfsbereiter omnipotenter beratender administrator? Roll Eyes
OK, jetzt bin ich wirklich vor lachen unter den Tisch gefallen! ;) Das war der Knaller den ich nach meinem Urlaub gebraucht habe :) Und entbehrt nichtmal der Wahrheit! Aber nicht brummen, Daniel, ich hab dich nicht übersehen :D
-
;D
-
So habe jetzt eine Lösung für mich gefunden. Das Stichwort für mich waren deine Worte
(da wird im Hintergrund alles durch einen Proxy auf der pfSense gejagt).
Daraufhin habe ich ertmal nach ein paar Proxys im Web gesucht und auch gefunden, aber die haben mir was gehustet, ging nicht.
Aber dann fiel mir TOR ein http://tor.eff.org/index.html.de
Geholt installiert, eingerichtet und nun Temporär in meinen FTP Client (FlashFXP) Localhost:9050 Socks4a eingestellt und schwups geht mein Client über TOR erstmal wirklich ins Net und kommt nun von außen wieder rein.
Ätschebätsche pfsense ausgetrickst ;D
Das ist zwar eine recht lahme Verbindung über die geschalteten Proxys, aber zum testen reicht es.Edit: Scheint nicht mit allen Proxys zu funktionieren, jedenfalls nicht mit SSL.
Weiß der Geier warum, beim Login wird eine SSL Session ausgehandelt und das klappt auch, beim weiteren login Verlauf, kommt am Ende dann nochmal "Öffne Verbindung über Proxy", unmittelbar danach müsste dann gelistet werden, wird aber nicht, es kommt "SSL konnte nicht ausgehandelt werden". Die Verbindung steht dann zwar, aber es wird nichts gelistet.
Ich denke aber es liegt daran, dass diese Proxys, wo es nicht funktioniert einfach nur so lahm sind und dadurch die zweite SSL Aushandlung in die Hose geht.
Ist gerade ein schneller Proxy aktiv, dann klappt auch alles.
Aber da kann ich mit leben, ist ja nur zu Testzwecken. -
Das ist eine schlaue Lösung und da Du jetzt wirklich von extern kommst ist das sowieso besser als das intern umzubiegen. Ist ein "realerer" Test.
