Synology-Forum.nl
Overige software => FTP, NFS and Samba Server => Topic gestart door: davedj op 22 juli 2010, 09:11:17
-
Hoi,
Ik probeer een FTPES (FTP over SSL/TLS) verbinding op te zetten met FileZilla (V3.3.3) en mijn synology diskstation 209+ (DSM2.3) over het internet.
Ik heb alle relevanten poorten op mijn d-link DIR655 router welke beschreven staan op http://www.synology.com/support/faq_sho (http://www.synology.com/support/faq_sho) ... 9&lang=nld (FTP, FTP over SSL and FTP over TLS) geforward.
Dus poort 20,21 en de poort range 55536-55663 zijn geforward naar mijn DS209+
FTPES werkt goed over LAN (lokaal) maar weigert te werken over het internet.
(Onbeveiligd) FTP werkt goed over het internet (en ook lokaal over LAN)
Wat doe ik verkeert?
Moet ik nog meer poorten forwarden?
Groet.
Dave
Hieonder de filezilla logging:
Status: Resolving address of xxxxxx.xxxxx.org
Status: Connecting to xx.xxx.xxx.60:21...
Status: Connection established, waiting for welcome message...
Response: 220 DiskStation FTP server ready.
Command: AUTH TLS
Response: 234 AUTH SSL command successful.
Status: Initializing TLS...
Status: Verifying certificate...
Command: USER xxxx
Status: TLS/SSL connection established.
Response: 331 Password required for xxxx.
Command: PASS ******
Response: 230 User xxxx logged in.
Command: SYST
Response: 215 UNIX Type: L8
Command: FEAT
Response: 211- Extensions supported:
Response: AUTH TLS
Response: PBSZ
Response: PROT
Response: SIZE
Response: MDTM
Response: REST STREAM
Response: 211 End.
Command: PBSZ 0
Response: 200 PBSZ command successful (PBSZ=0).
Command: PROT P
Response: 200 Protection level set to Private.
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (xx,xxx,xxx,60,216,250)
Command: LIST
Error: GnuTLS error -53: Error in the push function.
Error: Connection timed out
Error: Failed to retrieve directory listing
-
Yes, 22 (SSH)
-
Yes, 22 (SSH)
Helaas, poort 22 open gezet, en exact dezelfde fout als in bovenstaande logging.
Ik heb ook een FTP alternatief geprobeerd (FlashFXP). Deze lukt het ook niet om de directory contents op te halen.
Het lijkt er op dat de router (d-link DIR655) de poort range (55536-55663) niet goed interpreteert.
Ga proberen de poort range om te zetten naar apparte poorten. (Om te kijken of er een poort range probleem in de router zit)
FlashFXP logging:
WinSock 2.0 -- OpenSSL 0.9.8i 15 Sep 2008
[R] Connecting to xxxxxx.xxxxx.org -> DNS=xxxxxx.xxxxx.org IP=xx.xxx.xxx.60 PORT=21
[R] Connected to xxxxxx.xxxxx.org
[R] 220 DiskStation FTP server ready.
[R] AUTH TLS
[R] 234 AUTH SSL command successful.
[R] Connected. Negotiating TLSv1 session..
[R] TLSv1 negotiation successful...
[R] TLSv1 encrypted session using cipher AES256-SHA (256 bits)
[R] PBSZ 0
[R] 200 PBSZ command successful (PBSZ=0).
[R] USER xxxx
[R] 331 Password required for xxxx.
[R] PASS (hidden)
[R] 230 User xxxx logged in.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211- Extensions supported:
[R] AUTH TLS
[R] PBSZ
[R] PROT
[R] SIZE
[R] MDTM
[R] REST STREAM
[R] 211 End.
[R] PWD
[R] 257 "/" is current directory.
[R] TYPE A
[R] 200 Type set to A.
[R] PROT P
[R] 200 Protection level set to Private.
[R] PASV
[R] 227 Entering Passive Mode (xx,xxx,xxx,60,217,2)
[R] Opening data connection IP: xx.xxx.xxx.60 PORT: 55554
[R] Data Socket Error: Connection refused
[R] List Error
[R] PASV
[R] 227 Entering Passive Mode (xx,xxx,xxx,60,217,35)
[R] Opening data connection IP: xx.xxx.xxx.60 PORT: 55587
[R] Data Socket Error: Connection refused
[R] List Error
[R] PASV mode failed, trying PORT mode.
[R] Listening on PORT: 1603, Waiting for connection.
[R] PORT 10,128,16,167,6,67
[R] 500 Illegal PORT range rejected.
[R] List Error
[R] 421 Timeout (300 seconds): closing control connection.
[R] Connection lost: xxxxxx.xxxxx.org
-
Vreemd inderdaad. Ik zou ook 22 even op een andere binnen laten komen (2222 ofzo) en doorsturen naar 22. Misschien dat je provider of de modem zelf deze geblokeerd heeft.
-
Vreemd inderdaad. Ik zou ook 22 even op een andere binnen laten komen (2222 ofzo) en doorsturen naar 22. Misschien dat je provider of de modem zelf deze geblokeerd heeft.
Ga ik zeker ook proberen.
Volgende week vakantie (dus niet thuis), maar de week erop ga ik weer verder met experimenteren.
In ieder geval bedankt tot zover voor de bijdrage.
-
Heb je deze al eens aan of uitgezet op je DS bij de instellingen over ftp "Report external IP in PASV mode" ?
Verder heb ik op de router alleen port 21 en de range 55536 t/m 55663 geforward (met TCP protocol) en dan werkt het hele SSL/TLS-gebeuren prima met filezilla. Ik gebruik dan wel de portable versie 2.2.19a van Filezilla maar ik zou niet weten waarom het met jou versie niet zou werken.
Ik hoop dat je het aan de gang krijgt en het dan nog even laat weten.
Succes, Cees :wink:
-
Hallo Cees,
bedankt voor je info.
Ik heb "Report external IP in PASV mode" aan staan. In de logging is dat ook te zien. (Niet in de logging die ik hier heb geplaatst, daar heb ik het externe IP adres voor een groot deel vervangen door x-en)
De eerste regel in de logging laat zien dat het domeinnaam via DNS wordt vervangen door het externe IP adres. Dit adres wordt later ook gebruikt om Passive Mode te "Enteren" ([R] 227 Entering Passive Mode).
Ik ga vanavond de poort range 55536 t/m 55663 verkleinen naar 55663 (1 poort dus) in mijn DS209+. En verklein in mijn d-link router dan ook de range naar 1 poort. Dit om een port range forward probleem uit te sluiten in mijn router.
Als dit niet wil werken kan ik misschien nog de DS209+ achter DMZ zetten en de firewall van de DS209+ activeren (Die zat er geloff ik sinds DSM2.3 in).
Groet, Dave
-
Zo daar ben ik weer,
Gisteren de port range gereduceerd van 55536 - 55663 naar 55536 t/m 55540. De poorten afzonderlijk geforward in mijn d-link router (om een port range forward probleem uit te sluiten).
Helaas, het werkt nog steeds niet.
Resume,
poort 20 en 21 geforward naar mijn DS209+
poort 55536, 55537, 55538, 55539 en 55540 geforward naar mijn DS209+
Als laatste redmiddel ga ik de DS209+ achter DMZ zetten.
Wordt vervolgd.
-
poort 20 en 21 geforward naar mijn DS209+
poort 55536, 55537, 55538, 55539 en 55540 geforward naar mijn DS209+
Nou mis ik wel nog steeds poort 22..
-
Dag Bjorn,
Poort 22 forwarden heeft geen positief effect.
Op dit moment forward ik dus:
poort 20, 21, 22, 989, 990, 55536, 55537, 55538, 55539 en 55540 naar mijn DS209+
Ik heb synology gevraagd om de EZ-internet optie uit te bereiden met de d-link DIR-655 zodat ik via mijn diskstation automatisch mijn poorten van mijn router kan laten configureren.
Mijn laatste optie is nu de diskstation achter DMZ plaatsen, maar ik weet niet hoe veilig dit is.....
Maar als test zou ik dit wel een keer kunnen doen.
Groet, Dave
-
Wellicht is er nog een ander probleem;
Mijn router deelt de IP adressen uit (DHCP staat aan) in een range van 192.168.1.2 tot 192.168.1.10.
Mijn DS209+ heb ik een statisch IP adres gegeven die buiten deze range valt. (192.168.1.11)
Wellicht kan mijn router niets forwarden wat buiten de DHCP range valt..... (als DHCP aan staat)
Ook nog even naar kijken.
-
Als ik dit zo lees haal je ip en poort door elkaar.
Geef je syno eens een vast ip adres (handmatig of bound dhcp) en stel in je modem portforwarding in. Op google zijn genoeg examples te vinden hoe je je d-link moet instellen..
Eventueel is een optie active ftp ?
-
Modem/routers zijn redelijk intelligente apparaten. Maar volgens mij kunnen ze geen dataverkeer routeren naar een ipadres dat buiten de ingestelde DHCP range ligt, dus je moet je range weer vergroten.
DMZ=Demilitarized Zone. Niet aan teraden voor langere tijd omdat je hier geen enkele vorm van beveiliging meer hebt.
Misschien dat je nog een screenshot kan plaatsen van jouw portforwarding pagina, dit geeft vaak meteen een goed beeld.Bij elke forward in je router moet je je interne firewall ook aanpassen.
Onderstaaande link beschrijft precies hoe je moet forwarden in jouw router.
http://portforward.com/english/routers/ ... efault.htm (http://portforward.com/english/routers/port_forwarding/Dlink/DIR-655/default.htm)
succes,
-
Modem/routers zijn redelijk intelligente apparaten. Maar volgens mij kunnen ze geen dataverkeer routeren naar een ipadres dat buiten de ingestelde DHCP range ligt, dus je moet je range weer vergroten.
Dat maakt voor een router weinig uit. Een IP adres is bereikbaar of niet bereikbaar, ongeacht hoe het doelsysteem aan dat IP-adres is gekomen (dus DHCP of statisch).
Het is wel praktischer (vind ik) om een doelsysteem (bv. je PC waarop je wilt downloaden of FTPen) een vast IP te geven. Je hoeft dan alleen naar dat IP-adres te portforwarden en niet naar de hele reeks die mogelijkerwijs gebruikt zou kunnen worden door de DHCP server. Maar dat is meer kwestie van voorkeur.
Mijn PC's krijgen daarom een vast IP (via bound DHCP - dus gekoppeld aan MAC adres) en gastsystemen via DHCP.
-
Modem/routers zijn redelijk intelligente apparaten. Maar volgens mij kunnen ze geen dataverkeer routeren naar een ipadres dat buiten de ingestelde DHCP range ligt, dus je moet je range weer vergroten.
DMZ=Demilitarized Zone. Niet aan teraden voor langere tijd omdat je hier geen enkele vorm van beveiliging meer hebt.
Misschien dat je nog een screenshot kan plaatsen van jouw portforwarding pagina, dit geeft vaak meteen een goed beeld.Bij elke forward in je router moet je je interne firewall ook aanpassen.
Onderstaaande link beschrijft precies hoe je moet forwarden in jouw router.
http://portforward.com/english/routers/ ... efault.htm (http://portforward.com/english/routers/port_forwarding/Dlink/DIR-655/default.htm)
succes,
Onzin DHCP of manueel maakt niet uit zolang alles maar in het zelfde subnet zit. wat in dit geval zo lijkt te zjn.
-
Hier een screenshot van mijn instellingen in mijn router zoals die op dit moment zijn en dus niet werken.
[attachimg=0:3u2y0cvg]forward_screenshot.JPG[/attachment:3u2y0cvg]
Mijn Diskstation krijgt nu een vast IP adres 192.168.1.2 (via bound DHCP) uit de DHCP range (192.168.1.2 - 192.168.1.9)
Het testen van de verbinding (FTP over SSL/TLS) doe ik op mijn werk. Dus ik maak/wijzig de avond ervoor thuis de instellingen in mijn router en 'smorgens check ik of die werken op mijn werk. Zou het kunnen zijn dat op het werk bepaalde poorten naar buiten dicht worden gezet? Standaard FTP (dus zonder SSL/TLS) werkt wel vanuit mijn werk.
De logging in een van de eerste berichten gaat eigenlijk best ver goed. Het is zelfs gelukt om een SSL/TLS verbinding op te zetten. Maar het ophalen van de mappen gaat dan weer fout. (Deze loggin heb ik gemaakt op m'n werk)
-
voor hetgeen jij wilt moet je volgens mij alles >1023 open zetten omdat je ftp client in die range een willekeurige port pakt.
Test dat maar eens.
Kwam overigens dit nog tegen: http://serverfault.com/questions/17957/ ... p-over-ssl (http://serverfault.com/questions/17957/what-ports-are-used-by-ftp-over-ssl) (sluit wel aan bij wat ik al zei)
-
Hallo cyrus1977,
De ftp client op de synology is zo ingesteld dat ie een gelimiteerd aantal poorten voor data gebruikt, te weten poort 55536 t/m 55663.
Dit zou het FTPS probleem zoals beschreven staat op http://en.wikipedia.org/wiki/FTPS#Firew ... tibilities (http://en.wikipedia.org/wiki/FTPS#Firewall_incompatibilities) moeten oplossen.
Uiteraard kan ik de poorten >1023 eens open zetten. (Maar dan kan ik 'm bijna net zo goed achter DMZ zetten...)
Bedankt voor je advies.
-
Die "gast" hierboven dat was ik. :) (Vergeten in te loggen)
-
Hallo cyrus1977,
De ftp client op de synology is zo ingesteld dat ie een gelimiteerd aantal poorten voor data gebruikt, te weten poort 55536 t/m 55663.
Dit zou het FTPS probleem zoals beschreven staat op http://en.wikipedia.org/wiki/FTPS#Firew ... tibilities (http://en.wikipedia.org/wiki/FTPS#Firewall_incompatibilities) moeten oplossen.
Uiteraard kan ik de poorten >1023 eens open zetten. (Maar dan kan ik 'm bijna net zo goed achter DMZ zetten...)
Bedankt voor je advies.
Probeer het in elk geval even dan weet je in ieder geval dat je in de goeie hoek zoekt.
-
Ik heb alle poorten >1023 geforward naar mijn Diskstation en helaas, het gaat weer fout.
Ik denk dat het ligt aan de firewall hier op mijn werk. Ik ga het op een andere plek (dus niet op mijn werk) eens proberen of ik deze verbinding succesvol kan gebruiken.
Groet en "to be continued"
-
Eh ja dat had ik even gemist... die firewall van je werk had je toch niet eerder beschreven ?
Ik wil eea wel testen voor je als je me een account geeft..
-
Ik had al iemand opdracht gegeven die het op een andere plek (niet op mijn werk maar op zijn werk) dit wilde proberen. Maar hij komt er ook niet op. Het blijft steken bij het ophalen van de mappenlijst. Hij krijgt dan uiteindelijk een timeout.
Hij gaat dit vanavond thuis proberen. Hij heeft daar internet van UPC. (ik van onsbrabantnet).
De verbinding lijkt goed opgezet te worden tot op het allerlaatste moment de mappenlijst opgevraagd wordt.
Misschien dat ik toch nog een optie in mijn router over het hoofd zie. (ik ga de manual nog maar eens een keer bestuderen)
Wordt vervolgd.
-
De mappenlijst niet kunnen ophalen wijst op het niet juist forwarden van de passive port range. Staat er in je NAS en in de router nu wel echt dezelfde range? Nergens een typo? TCP én UDP geforward (weet niet of dat echt nodig is maar toch)
-
Hoi Bjorn,
Oorspronkelijk had ik de default range die de Synology gebruikt ge-copy-paste uit the UI van de synology zelf. (Dus als er een typo zit in de user interface..., zie screenshot in een van de eerdere berichten)
Op aanraden van cyrus1977 forward ik op dit moment alle poorten >1023 (dus 1024-65535), zo beetje alle poort dus. Lijkt me stug (maar het kan natuurlijk) dat er buiten om poort 20,21,22 en 989,990 nog andere poorten <1024 geforward moeten worden.
Via google ben ik ook op d-link fora gekomen waar mensen ook problemen hebben met het forwarden van FTP over SSL/TLS. Een oplossing ben ik daar nog niet tegengekomen.
Ik dubbel check nog een keer de instellingen. (zal de poorten ook onder UDP plaatsen)
Groet, Dave
-
Ik heb nog even wat zitten googlen, het zou ook nog kunnen zijn dat de MTU size niet in orde is. Ik heb jumbo frames van 9000 ingesteld op mijn synology diskstation (en op al mijn netwerkkaarten op mijn LAN). Ik zal deze weer eens naar standaard zetten. Alhoewel dit geen problemen gaf bij standaard FTP. (dus zonder SSL/TLS).
Ik had dit hier gevonden: http://www.allaboutjake.com/network/linksys/ftp/ (http://www.allaboutjake.com/network/linksys/ftp/)
-
D-Link:
je moet in tabblad, advanced, port forwarding
het volgende invullen:
naam: bv. sftp
tcp: 55536-55663
ip: ip adres synology
vinkje aanzetten en opslaan. Verder niets invullen. (UDP veld dus leeg laten)
je moet in tabblad, advanced, virtual server
port 20 naar 20 en 21 naar 21 forwarden.
synology:
Menu:
bestanden delen, ftp
Poortbereik van passieve FTP: Standaard poortbereik gebruiken (55536-55663)
Externe IP in PASV modus rapporteren: JA
UTF-8 bestandsnaam ondersteuning inschakelen: NEE
FTP bestandsoverdracht logboek inschakelen: JA
succes
-
Ik heb nog even wat zitten googlen, het zou ook nog kunnen zijn dat de MTU size niet in orde is. Ik heb jumbo frames van 9000 ingesteld op mijn synology diskstation (en op al mijn netwerkkaarten op mijn LAN). Ik zal deze weer eens naar standaard zetten. Alhoewel dit geen problemen gaf bij standaard FTP. (dus zonder SSL/TLS).
Ik had dit hier gevonden: http://www.allaboutjake.com/network/linksys/ftp/ (http://www.allaboutjake.com/network/linksys/ftp/)
MTU size op standaard (1500) gezet in mijn DS209+, nog steeds gaat het fout bij het ontvangen van de mappen lijst.
...
...
Command: PBSZ 0
Response: 200 PBSZ command successful (PBSZ=0).
Command: PROT P
Response: 200 Protection level set to Private.
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (Ex,ter,nal,IP,217,105) --> 217*256+105= poort 55657
Command: LIST
Error: GnuTLS error -53: Error in the push function.
Error: Connection timed out
Error: Failed to retrieve directory listing
-
Dag Olive,
Ik had oorspronkelijk poort 20 en 21 in de virtual server tab staan (dat werkte), echter in de port forward tab werkt ook.
De instellingen die je beschrijft voor de d-link router en de synology diskstation zijn op dit moment (op poort 20 en 21 na, want die staan in de port forward tab) de instellingen die ik gebruik.
Toch bedankt voor je info.
-
hou je er wel rekening mee dat je switch ook jumbo frames moet ondersteunen..
-
hou je er wel rekening mee dat je switch ook jumbo frames moet ondersteunen..
Dat doet hij. Jumbo frames werkt prima op mijn local LAN. Maar staat nu op standaard 1500.
-
Ik heb nog een paar opties die ik zou kunnen uit proberen:
1) Diskstation achter DMZ plaatsen
2) En andere router proberen (Ik heb thuis tijdelijk nog een linksys router liggen van m'n Pa)
Echter, ik las dat DSM3.0 WebDav ondersteunt.
Hiermee zou ik over het internet mijn shares moeten kunnen mappen naar een driveletter. Met SSL erbij is dit ook nog eens secure. Dit is wat ik eigenlijk altijd al had willen doen, maar omdat dat niet mogelijk was heb ik voor FTP gekozen toendertijd.
Normaal geef ik nooit op maar met WebDav in het vooruitzicht zet ik FTP over SSL/TLS aan de kant.
Zeer waarschijnlijk zal er binnenkort een topic geopend worden WebDav over SSL ;-)
Alle mensen bedankt die mee gedacht hebben over mijn FTP over SSL/TLS probleem.
Conclusie is dat het probleem zeer zeker NIET in de synology zit, immers lokaal over LAN werkt het prima.
Helaas geen oplossing gevonden voor mijn D-Link DIR-655 router.
Als ik nog wat tijd over heb ga ik de opties 1) en 2) nog proberen.
Groeten,
Dave
-
Een laatste reactie,
Ik had al iemand opdracht gegeven die het op een andere plek (niet op mijn werk maar op zijn werk) dit wilde proberen. Maar hij komt er ook niet op. Het blijft steken bij het ophalen van de mappenlijst. Hij krijgt dan uiteindelijk een timeout.
Hij gaat dit vanavond thuis proberen. Hij heeft daar internet van UPC. (ik van onsbrabantnet).
De persoon die de verbinding voor mij getest heeft vanuit thuis heeft met succes de FTP server kunnen benaderen over SSL/TLS. Dus de instellingen zoals deze op de screenshot enkele berichten terug te zien is zijn OK.
Het lijkt er dus op dat er op mijn werk (en op zijn werk ook) poorten dicht staan zodat er niet via SSL/TLS een verbinding opgezet kan worden.
Ik ga nog informeren welke poorten dicht staan hier op mijn werk.......
:-)
-
Alleen poort 21 is schijnbaar te gebruiken hier op mijn werk voor ftp. De poorten die nodig zijn SSL/TLS staan dicht hier. (Uit veiligheidsoverwegingen....)
Dit topic kan gesloten worden. FTP over SSL/TLS werkt verder prima!