[Gelöst] Asus RT-N56U richtig konfigurieren

thomas-k

fühlt sich hier wohl
Hallo,

ich habe hier selbst mal eine kleine Anleitung zum richtigen Konfigurieren eines FTP-Servers zu Gene6 geschrieben.

Jetzt habe ich nach langer Zeit einen neuen Router den RT-N56U. Leider bekomme ich es partout nicht hin diesen vernünftig zu konfigurieren.

Hier mal ein Link zu einer aktiven Demo des Routermenüs: ASUS Wireless Router RT-N56U

Ich verwende die folgende Testseite: Gene6 FTP Server ™ - Online FTP Test

System:

Gene6 FTP-Server 3.10
PASV-Mode
Passive Ports: Port 50000-50030
IP Bindung: Port 21 und Port 1024

Code:
Port forwarding:
private ip = 192.168.1.22    private port = 21     type = TCP  public port = 21   
private ip = 192.168.1.22    private port = 20     type = TCP  public port = 20   

Trigger port:
trigger port = 80    trigger type = TCP public port = 50000-50030 public type

Wenn ich den Rechner, auf den der Server läuft, in die DMZ stelle funktioniert alles ohne Probleme.
Aber das möchte ich nicht. Wenn ich den Rechner aus der DMZ nehme, bekomme ich die Fehlermeldung:

<425 Cannot open data connection>

Port forwarding Logfile meines Routers:
Code:
Hardware NAT: Enabled
Software QoS: Disabled
Destination     Proto.  Port Range  Redirect to
all             TCP     50000:50030 192.168.1.22
all             UDP     1024        192.168.1.22
all             TCP     1024        192.168.1.22
all             UDP     20          192.168.1.22
all             TCP     20          192.168.1.22
all             UDP     21          192.168.1.22
all             TCP     21          192.168.1.22

Logfile der Testseite:
Code:
...
> PASV
* Connect data stream passively
< 227 Entering Passive Mode (91,xx,xxx,24,195,103)
* Trying 91.xx.xxx.24... connected
* Connecting to 91.xx.xxx.24 (91.xx.xxx.24) port 50023

> TYPE A
< 200 Type set to A.

> LIST
< 425 Cannot open data connection.
* RETR response: 425
* Remembering we are in dir ""
* Connection #0 to host 91.xx.xxx.24 left intact

curl: (19) RETR response: 425

> QUIT
< 221 Auf Wiederseh
* Closing connection #0

Ich hoffe, dass vielleicht jemand von euch auch diesen Router hat, bzw. sich mal das Konfigurationsmenü (obere Link) sich anschaut und mir helfen kann.

Viele Grüße,

Thomas
 
Zuletzt bearbeitet:
Problem dürfte der Trigger-Port 80 sein, da darüber ja nix raus geht. Deswegen werden die Ports 50000-50030 nicht aufgemacht/weitergeleitet.

Versuch mal als Trigger-Port 21, damit die Steuerungsverbindung (Port21) die Datenports 50000-50030 aufmacht.
 
Es funktioniert auch nicht mit Trigger Port 21. Ich habe mal den anderen Modus EPSV getestet. Damit funktioniert zumindest die Testseite, auch ganz ohne Trigger Port. Ich erreiche meinen FTP-Server aber nicht über die iPhone App FTPManager. Dazu muss ich den Rechner wieder in die DMZ legen.

Code:
...
> EPSV
* Connect data stream passively
< 229 Entering Extended Passive Mode (|||50008|)
* Trying 91.xx.xx.36... connected
* Connecting to 91.xx.xx.36 (91.xx.xx.36) port 50008

> TYPE A
< 200 Type set to A.

> LIST
< 150 Data connection accepted from 88.190.21.29:49468; transfer starting.
* Maxdownload = -1
{ [data not shown]
######################################################################## 100,0%
...


Ergänzung:

Aus Unwissenheit und Verzweiflung habe ich auch irrwitzige Einstellungen im Router eingetragen, dass führt leider auch nicht zum Ziel. Ich glaube man muss bzw. sollte systematisch vorgehen.
Also z.B. Funktionen, Einstellungen Schritt für Schritt testen und verifizieren.

Port Forwarding funktioniert!

Ich habe die PASV Portrange im FTP-Server mal auf 50000-50001 gestellt.
Und beide Ports unter Port forwarding im Router eingetragen:

Port Forwarding List
Code:
Service Name 	Port Range    Local IP        Local Port     Protocol
FTP-Server      50000         192.168.1.22    50000          TCP
FTP-Server      50001         192.168.1.22    50001          TCP
 
Zuletzt bearbeitet:
Ohne die Log-Einträge von Server und Client, wenn das PASV-Kommando abgesetzt wird (und zwar "unmaskiert") kann man da schwer etwas sagen. Hast Du mal probiert, nur den Port 21 zu öffnen und sonst nichts?
Bei der Fritz!Box muss man das so machen, sonst funktioniert es nicht. Auch eine PASV IP darf bei mir nicht im Server eingetragen sein.
 
Gut, hier mal die vollständigen Logfiles eines Verbindungsversuchs.

Client:
Code:
* About to connect() to 91.22.89.121 port 21 (#0)
* Trying 91.22.89.121... connected
* Connected to 91.22.89.121 (91.22.89.121) port 21 (#0)
< 220 Willkommen auf meinem Server

> USER anonymous
< 331 Password required for anonymous.

> PASS *****
< 230 User anonymous angemeldet.

> PWD
< 257 "/" is current directory.
* Entry path is '/'

> CLNT Testing from http://www.g6ftpserver.com/ftptest from IP 91.22.89.121
< 200 Noted.

> FEAT
< 211-Extensions supported:
< AUTH TLS
< CCC
< CLNT
< CPSV
< EPRT
< EPSV
< MDTM
< MFCT
< MFMT
< MLST type*;size*;create;modify*;
< MODE Z
< PASV
< PBSZ
< PROT
< REST STREAM
< SIZE
< SSCN
< TVFS
< UTF8
< XCRC "filename" SP EP
< XMD5 "filename" SP EP
< XSHA1 "filename" SP EP
< 211 End.

> PASV
* Connect data stream passively
< 227 Entering Passive Mode (91,22,89,121,195,81)
* Trying 91.22.89.121... Timed out
* couldn't connect to host
* Closing connection #0

curl: (7) couldn't connect to host


Server:
Code:
12/07/13 14:32:13, 40, 88.190.21.29, , new connection from 88.190.21.29 on 192.168.1.22:21
12/07/13 14:32:13, 40, 88.190.21.29, , hostname resolved : sd-29246.dedibox.fr
12/07/13 14:32:13, 40, 88.190.21.29, , sending welcome message.
12/07/13 14:32:13, 40, 88.190.21.29, , 220 Willkommen auf meinem Server
12/07/13 14:32:13, 40, 88.190.21.29, , USER anonymous
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, 331 Password required for anonymous.
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, PASS ****
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, logged in as "nixda".
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, 230 User anonymous angemeldet.
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, PWD
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, 257 "/" is current directory.
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, CLNT Testing from http://www.g6ftpserver.com/ftptest from IP 91.22.89.121
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, 200 Noted.
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, FEAT
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, 211-Extensions supported:
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  AUTH TLS
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  CCC
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  CLNT
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  CPSV
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  EPRT
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  EPSV
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  MDTM
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  MFCT
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  MFMT
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  MLST type*;size*;create;modify*;
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  MODE Z
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  PASV
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  PBSZ
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  PROT
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  REST STREAM
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  SIZE
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  SSCN
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  TVFS
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  UTF8
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  XCRC "filename" SP EP
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  XMD5 "filename" SP EP
12/07/13 14:32:13, 40, 88.190.21.29, anonymous,  XSHA1 "filename" SP EP
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, 211 End.
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, PASV
12/07/13 14:32:13, 40, 88.190.21.29, anonymous, 227 Entering Passive Mode (91,22,89,121,195,81)
12/07/13 14:32:34, 40, 88.190.21.29, anonymous, disconnected. (00d00:00:22)


Warum funktioniert der EPSV Mode der Testseite?
Wenn Port Forwarding funktioniert, liegt dann der Fehler nicht beim Port Trigger?
Hast du mal einen Blick in das Konfigurationsmenü meines Routers geworfen? Link ist im ersten Posting angegeben.
 
Mir war wichtig zu sehen, ob das PASV-Kommando so beim Client ankommt, wie es der Server abschickt, das ist nämlich häufig der Knackpunkt. In Deinem Fall ist aber alles ok, das passt. Es dürfte also tatsächlich an der falschen Port-Konfiguration im Router liegen.

Meiner Meinung nach müssten die PAS-Ports auch beim Port Forwarding rein und nicht bei den Trigger Ports.
 
Wenn die PASV Portrange 1000 Ports betrüge müßte ich 1000 Einträge im Port Forwarding Bereich vornehmen, damit man das eben nicht machen muss, greift man jetzt auf die Triggerports zurück. So hatte ich das bisher verstanden. Vielleicht spinnt mein Router in diesem Fall.
Ich hatte vorher den Belkin Router F5D5230-4 und da funktionierte mein Server einwandfrei. Auch der Test über Webseite funktionierte tadelos. Ich hatte den Triggerport 80 für den PASV-Bereich 50000-50030 eingetragen. Port 80 deshalb weil ich dachte, Port 80 ist sowieso standardmäßig offen und die Testseite ist ja webbasierend.
 
Weil die Spalte mit "Port Range" überschrieben ist, ging ich davon aus, dass man da auch einen Bereich hinterlegen kann.
Wenn Du es unter Trigger Ports einträgst, müssen die Werte auf jeden Fall zusammen passen, also in Trigger Port und Incoming Port muss das selbe stehen.
 
Unter "Port Range" kann ich tatsächlich einen Bereich angeben, aber nicht unter "Local Port". Dort kann ich nur einen Port eintragen. Mittlerweile habe ich aber durch probieren herausgefunden, dass ich das Feld "Local Port" freilassen kann. Dies bewirkt, dass die gesamte "Port Range" auch im lokalen Portbereich geöffnet wird.

Der Nachteil ist, dass der gesamte Portbereich ständig offen ist. Darum wäre mir eine Lösung über die Triggerports lieber. Bei den Triggerports dürfen die Felder natürlich nicht leer sein, allerdings darf der Triggerport auch nicht mit dem eingehenden Ports gleich sein.

Die Frage ist welcher Triggerport muss eingetragen werden? Der Bereich für "Incoming Port" ist natürlich klar in meinem Fall "50000-500030". Der FTP-Server ist nach meinem Verständnis das Programm welches den Triggerport bestimmt. Also über welchen Port sendet Gene6 FTP-Server die Informationen zum Client in diesem Fall zur Testseite heraus?

Die Testseite sagt doch meinem Ftp-Server, dass sie im PASV Modus arbeiten und Port 21 nutzen (Standard) möchte. Port 21 ist doch der Kommunikationskanal. Wenn der FTP-Server über Port 21 die Information, dass die PASV Ports "50000-50030" lauten, dann müßte der Port 21 doch der Triggerport sein. Damit funktioniert es aber nicht. Ich glaube ich habe hier doch noch Verständnislücken.
 
Zuletzt bearbeitet:
Port 21 ist der Steuerungsport, über den die Kommandos laufen. Die PASV Ports sind die, über welche z.B. die Verzeichnisinhalte übertragen werden. Ansonsten schrieb ich ja schon oben, dass die Port-Bereich immer zusammenpassen müssen. Es gibt bestimmt eine Einstellung, mit der das funktioniert. Leider kann ich sie Dir für Deinen Router nicht nennen.
 
Ich habe die Lösung meines Problems gefunden. Die Lösung war leider mal wieder ein reines Zufallsprodukt und nur dank meiner Hartnäckigkeit gefunden worden. Ich kann mir kaum vorstellen wie man allein durch Logik darauf kommen könnte.

Triggerport 21 und alternativ Port 1024, jeweils mit dem Portbereich 50000-50030. So wie es auch sein sollte.

Damit das aber mit meinem Router funktioniert, musste ich bei meinem Server noch eine Änderung vornehmen.
In den Domain-Einstellungen muss in dem Abschnitt "Sicherheit" unter "Optionen" die Option "PASV redirect nur bei sicherer Verbindung" markiert werden, nur dann werden die Daten weitergeleitet und es kommt zu einem Verbindungsaufbau.

Hat vielleicht jemand eine Erklärung dafür, warum diese Option bei mir unbedingt gesetzt werden muss?

Lektro und Supernature, vielen Dank für eure Unterstützung.
 
Wenn es keine verschlüsselte Verbindung war, dann habe ich keine Erklärung dafür - aber ich danke mal im Namen derer für Deine Hartnäckigkeit und für die Lösung, die später noch auf dieses Thema stoßen werden.
 
Ich habe die Lösung meines Problems gefunden. Die Lösung war leider mal wieder ein reines Zufallsprodukt und nur dank meiner Hartnäckigkeit gefunden worden. Ich kann mir kaum vorstellen wie man allein durch Logik darauf kommen könnte.

Triggerport 21 und alternativ Port 1024, jeweils mit dem Portbereich 50000-50030. So wie es auch sein sollte.

Damit das aber mit meinem Router funktioniert, musste ich bei meinem Server noch eine Änderung vornehmen.
In den Domain-Einstellungen muss in dem Abschnitt "Sicherheit" unter "Optionen" die Option "PASV redirect nur bei sicherer Verbindung" markiert werden, nur dann werden die Daten weitergeleitet und es kommt zu einem Verbindungsaufbau.

Hat vielleicht jemand eine Erklärung dafür, warum diese Option bei mir unbedingt gesetzt werden muss?

Lektro und Supernature, vielen Dank für eure Unterstützung.


Hallo zusammen

ich habe seit sehr vielen Jahren auch wieder Gene6 aus der Besenkammer geholt :cool:

@thomas-k
Ich habe auch den Router Speedport Hybrid, kann dir aber jetzt nicht folgen wie du deine Einstellungen gemacht hast.

Wäre es Dir möglich ein paar Screenshots zu machen wo ich genau sehen kann was du für Porteinstellungen vorgenommen hast. Ich wäre dir sehr dankbar.

LG
mr. daddy.cool
 
Bei den neueren Routern gibt man eigentlich nur noch Port 21 frei und nimmt im Server keine speziellen Einstellungen vor.
 
Oben