filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED



  • Добрый день. Столкнулся с такой проблемой.
    Имею два территориально отдаленных корпуса. В обоих в качестве шлюза поднят Pfsense.

    На одном из корпусов поднял фтп сервер filezila, сделал проброс 21 порта через меню (Сетевая Трансляция Адресов Проброс Порта) а так-же других необходимых для работы rdp и пр.. . При попытке подключения к ftp клиент filezilla происходит следующее

    Статус: Соединяюсь с 10.128.78.12:21...
    Статус: Соединение установлено, ожидание приглашения...
    Статус: Авторизовались
    Статус: Получение списка каталогов...
    Команда: PWD
    Ответ: 257 "/" is current directory.
    Команда: TYPE I
    Ответ: 200 Type set to I
    Команда: PASV
    Ответ: 227 Entering Passive Mode (192,168,0,7,223,0)
    Команда: MLSD
    Ошибка: Соединение передачи данных не может быть установлено: ECONNREFUSED - Соединение отклонено сервером

    Если попытаться подключится через telnet на 21 порт то пускает без вопросов и не сбрасывает.

    Все остальные пробросы портов работают отлично.

    Может кто сталкивался с данной проблемой



  • @nvidia_2011 said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    сделал проброс 21 порта

    Базовое заблуждение, что для пассивного режима FTP достаточно одного 21 порта.
    Назначьте в filezila диапазон портов для пассивного режима и сделайте проброс для этого диапазона .
    https://wiki.filezilla-project.org/Network_Configuration
    alt text



  • Сделал проброс пасивных портов c 49152 по 65535.
    ports.jpg

    указал их в настроиках фтп сервера
    alt text

    Результата это не дало.
    klient.jpg
    server.jpg

    Причём пробовал заходить на этот фтп (который за pfsense) с головного офиса и на оборот на фтп головного офиса где шлюзом является isa server, то прекрасно заходит, хотя там настроек проброса пассивных портов нет и в помине.

    А вот если заходить на фтп с офиса на котором шлюзом является pfsense на фтп второго офиса который также использует pfsense то получаем :соединение отклонён сервером. Просто не понятно почему проблема с фтп между офисами в которых шлюзами стоит pfsense.

    Filezilla server установлен на windows server 2008r2



  • Попробуйте в менеджере пакетов того PF, за которым клиенты FTP установить пакет
    FTP_Client_Proxy



  • Большое вам спасибо. Два дня голову ломал по форумам и мануалам на ютубе.
    Ниже напишу что мне помогло может и кому еще поможет
    и так
    1 открыл 21 порт
    2 открыл порты 49152-65535
    ports.jpg
    3 установил пакет FTP_Client_Proxy
    client-proxy.jpg

    и все заработало влет.
    На втором офисе проделал точно такие-же настройки и теперь связь на фтп друг друга с офиса на офис есть!



  • Рад, что заработало.
    Пара замечаний.

    1. Можно сузить диапазон портов. Зависит от реального использования\числа пользователей.
    2. FTP_Client_Proxy привязывается, по идее только к LAN, там в комментарии это написано.


  • Спасибо проведу корректировку. А скажите каково назначение данного пакета FTP_Client_Proxy
    И почему без него не работал простой проброс портов? Есть ли у вас предположения. Просто хочется понять суть работы данного пакета может это как-то связано с особенностями самой freebsd?



  • @nvidia_2011 Если я правильно понимаю, это наследие, доставшееся от старинного протокола FTP и его неспособности полноценно работать, когда клиенты\сервер работают за NAT.

    @nvidia_2011 said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    Просто хочется понять суть работы данного пакета

    Подобные решения, помогающие работать приложением за NAT используются во многих ОС\Роутерах и т.д. под названиями helper, alg и т.д. и не только для FTP - для SIP, PPTP и т.д.



  • @nvidia_2011 said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    Имею два территориально отдаленных корпуса. В обоих в качестве шлюза поднят Pfsense.

    Подумалось, если у обоих офисов статические IP - что мешает вместо FTP использовать SMB в виде

    \\%IP_address%\share
    

    Не нужны FTP сервера\клиенты, простое управление доступом, по идее достаточно проброса TCP:445 с указанием IP филиала как source.

    Подводный камень - провайдер может TCP:445 блокировать.

    Но, конечно, все возможности полноценной работы между офисами даст VPN.



  • @pigbrother said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    @nvidia_2011 said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    Имею два территориально отдаленных корпуса. В обоих в качестве шлюза поднят Pfsense.

    Подумалось, если у обоих офисов статические IP - что мешает вместо FTP использовать SMB в виде

    \\%IP_address%\share
    

    Не нужны FTP сервера\клиенты, простое управление доступом, по идее достаточно проброса TCP:445 с указанием IP филиала как source.

    Подводный камень - провайдер может TCP:445 блокировать.

    Но, конечно, все возможности полноценной работы между офисами даст VPN.

    Никогда так не делайте. Не выставляйте TCP:445 наружу. Не так давно Conficker-а всему миру хватило. И это не конец, т.к. уязвимости находят постоянно в Службе сервера ОС Windows,



  • @nvidia_2011

    Хм. У меня filezilla с 15 филиалов ко мне прекрасно работает.

    Открыл TCP\20-21 и небольшой диапазон портов для passive (11000-11500) (1 фтп-клиент=3 порта). Всё.
    У вас в настройках файлзиллы явно указан IP. Смените на Default.

    А не работать у вас может по причине того ,что на WAN у вас серый IP (10.x.x.x.). По дефолту пф блокирует доступ с серых ip на WAN. Галки сняты в настройках WAN?

    FTP Client Proxy для исходящих соединений https://forum.netgate.com/topic/80717/ftp-client-proxy-package/

    This package is for FTP clients using active mode behind pfSense.
    https://doc.pfsense.org/index.php/FTP_without_a_Proxy

    У вас проблема в другом.
    У вас passive-порты на пф, за к-ым фтп-клиенты нах-ся, закрыты. Вы на том пф порты откройте на LAN для доступа к FTP. Или просто откройте весь TCP на адрес FTP (т.е. на WAN пф за к-ым фтп )

    Ps. FTP - это только TCP. Как и MS RDP. Не надо там еще и UDP в правилах пользовать.

    P.s. На кой ляд вы еще и ICMP пробрасываете? Какой в этом смысл? Или вы разрешить ICMP на WAN хотели? Так это не так делается.



  • @werter said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    Не выставляйте TCP:445 наружу.

    Предлагалось открыть порт для единственного IP

    @werter said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    FTP Client Proxy для исходящих соединений https://forum.netgate.com/topic/80717/ftp-client-proxy-package/

    Предлагалось установить FTP Client Proxy именно для этого.

    @werter said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    Хм. У меня filezilla с 15 филиалов ко мне прекрасно работает.

    Лично сталкивался с трудностями доступа к произвольным FTP из-за pfSense. FTP Client Proxy это вопрос решает.

    @werter said in filezilla Соединение передачи данных не может быть установлено: ECONNREFUSED:

    это только TCP. Как и MS RDP. Не надо там еще и UDP в правилах пользовать.

    Уже не только TCP. Начиная с RDP 8.0 и Windows новее Windows 7/2008 R2 поддерживается и UDP:3389.
    Для версий новее UDP, ЕМНИП, поддерживается "из коробки"
    alt text
    https://support.microsoft.com/ru-kz/help/2592687/remote-desktop-protocol-rdp-8-0-update-for-windows-7-and-windows-serve

    Использовать UDP, естественно, никто не заставляет



  • @pigbrother
    Спасибо за подсказку про udp на rdp )


Log in to reply