[RESOLVIDO] Problemas acessar FTP

marcelloc

acho que seu problema é de roteamento.

parece que esta acontecendo o seguinte:

ip externo -> ip_wan2 -> nat_pfsense -> servidor ftp

quando o servidor de ftp vai iniciar o ftp ativo, acontece o seguinte

servidor ftp -> pfsense -> gateway_padrao(wan1) -> ip externo

muda seu ftp para mot pasive e veja se resolve o problema do link2

leandruco

Em modo passivo funciona normal, mas eu preciso que funcione via linha de comando.

na maquina do cliente quando da o comando de listar ele exibe o seguinte:
200 PORT command successful
150 Opening ASCII monde data connection (E fica nisso a vida toda)

O duro de ser rota é que eu n tenho nenhum gateway padrão definido, os 2 gw estão em tier diferentes e marcada a opção use stick cnnections.

leandruco

Segue o log lado a lado
do lado direito pelo link A e do lado esquerdo o link B

Percebi que as informações diferem a partir da linha 27.

marcelloc

Só para confirmar o problema( ou  não ) de roteamento, monitora a lan e as duas wans quando estiver testando o link B

Deve aparecer o trafego da porta 20 tentando sair pelo link A enquanto o cliente espera a resposta pelo link B

leandruco

Marcello vc mato a xarada
É roteamento sim

17:56:22.178756 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
17:56:25.182381 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
17:56:31.182362 IP 200.195.x.x.10905 > 201.22.95.99.62894: Flags [ S ], seq 4220098226, win 8192, options [mss 1460,nop,nop,sackOK], length 0

Apareceu requisições na iface do link A quando pedi para listar os arquivos conectado pelo link B

O que vc me sugere para consertar?

marcelloc

Infelizmente não tem conserto.  :(

se você forçar o trafego pelo link B, quem vier pelo link A vai ter o mesmo problema.

A solução é ftp passivo, onde o cliente solicita a porta de dados.

leandruco

Não acredito. =(
Vou deixar o FTP em um link só então caso o link venha a cair troco manualmente.
Eu não posso usar só o passivo, pois os clientes usam o modo ativo.

EDIT

Mas percebi que o tráfego que se debanda para o outro link é o das portas altas. Que são a portas utilizadas para a troca de informações, será qeu n tem nenhuma regra minha atrapalhando ou é normal acontecer este problema?

EDIT2
Mas uma coisa. Mesmo não tendo setado nenhum gw padrão, ao executar o comando netstat -r o mesmo mostra o link A como rota Default.
Internet:

será que não tem como apagar?

marcelloc

A questão é que no modo ativo, o servidor FTP inicia uma nova conexão até o cliente, o firewall não associa esta novo acesso com o nat estabelecido na porta de dados. Por isso o pacote sai pelo gateway1.

No modo passivo, o próprio cliente abre nova conexão,desta forma o firewall consegue devolver o pacote por onde ele chegou.

leandruco

Perfeito Marcello.
Ficou mais do que claro a explicação. Infelizmente não tem o que fazer.
=X

marcelloc

Só para complementar, a situação que expliquei acontece somente quando não há um proxy de ftp no router/firewall.

leandruco

OPAAAA….
Mas em meu FW está habilitado o proxy FTP


JackL

@marcelloc:

Só para complementar, a situação que expliquei acontece somente quando não há um proxy de ftp no router/firewall.

E aqui vamos nós novamente para a questão da diretiva "debug.pfftpproxy"….

leandruco, se você olhar lááááá no início deste tópico, vai perceber que já havíamos discutido sobre isso. É preciso avaliar se o teu cenário exige ou não um proxy ftp!

Dica: Avalie a possibilidade, neste seu caso específico, de utilização de um Web-FTP. Isso resolveria basicamente todos os teus problemas! ;)

Abraços!
Jack

leandruco

Eu já havia entendido.

rodsgobbo

Leandro tem como você postar as regras e como você deixou, pois estou com o mesmo problema. Só que no meu coloque o ftp em 1 link somente, mas não consigo liberar .

Obrigado

Rodrigo

leandruco

Nesse post eu mostrei ao amigo Souzalinux como está a minha configuração
http://forum.pfsense.org/index.php/topic,44733.0.html

marcelloc

Uns com extrema dificuldade e outros com uma facilidade inacreditável…

Não vejo outra forma desta configuração funcionar sem o proxy de tftp habilitado na wan.

http://forum.pfsense.org/index.php/topic,44987.msg234485.html#msg234485

leandruco

Eu também não.
Bem que poderia resolver o meu problema.

Marcello uma coisa que eu percebi.
Mesmo sem setar nenhum default gateway pela GUI quando eu listo as rotas via linha de comando ele traz o meu link A como rota padrão.
Não tem como apagar?

Esse problema alem de estar atrapalhando a redundancia para o ftp está atrapalhando a redundancia para VPN. =/

EDIT

Testei o que o gringo falou e funciona mesmo. O meu já estava funcionando só que deu aquele problema com as rotas para o segundo link. Infelizmente esse problema continuou.

souzalinux

Sem funcionar ainda…. ;-(

Já fiz de tudo

leandruco

Souza tenho quase certeza que seu problema é na configuração do IIS, e colocar o AD e o FTP junto não é um boa ideia.

marcelloc

@leandruco:

Marcello uma coisa que eu percebi.
Mesmo sem setar nenhum default gateway pela GUI quando eu listo as rotas via linha de comando ele traz o meu link A como rota padrão.
Não tem como apagar?

Esse problema alem de estar atrapalhando a redundancia para o ftp está atrapalhando a redundancia para VPN. =/

Você pode testar habilitar o proxy na wan2 para ver se funciona.

@leandruco:

Testei o que o gringo falou e funciona mesmo. O meu já estava funcionando só que deu aquele problema com as rotas para o segundo link. Infelizmente esse problema continuou.

Este setup é só para ftp ativo, o que cai exatamente no seu problema