Ftp Server зад Микротик нат

[wowefect]

Здравейте имам следната ситуация и не успявам да разбера къде бъркам,имам контролна платка на система за охлаждане на помещения, която поддържа ftp server.Съответно съм направил:

      chain=dstnat action=dst-nat to-addresses=192.168..... to-ports=21 
      protocol=tcp dst-address=../реалния адрес от доставчика/ dst-port=8006 log=yes 
      log-prefix="" 

и когато се опитам да докопам ftp-сървъра на платката ftp-клиента ми казва:

Status:    Connection established, waiting for welcome message...
Status:    Insecure server, it does not support FTP over TLS.

                                                                                                                                                                          Съвети ?? 

 

 

 

[111111]

Разкарваш FileZila

/ip fi na
chain=dstnat action=netmap to-addresses=192.168.1.11 to-ports=21 protocol=tcp src-address=0.0.0.0/0 dst-address=1.1.1.1 in-interface=outside dst-port=21 
chain=dstnat action=netmap to-addresses=192.168.1.11 to-ports=20 protocol=tcp src-address=0.0.0.0/0 dst-address=1.1.1.1 in-interface=outside dst-port=20

съответно трябва да си спрял FTP от 

/ip services

[wowefect]

Разкарваш FileZila

/ip fi na
chain=dstnat action=netmap to-addresses=192.168.1.11 to-ports=21 protocol=tcp src-address=0.0.0.0/0 dst-address=1.1.1.1 in-interface=outside dst-port=21 
chain=dstnat action=netmap to-addresses=192.168.1.11 to-ports=20 protocol=tcp src-address=0.0.0.0/0 dst-address=1.1.1.1 in-interface=outside dst-port=20

съответно трябва да си спрял FTP от 

/ip services

имам няколко такива контролера затова съм написал външните заявки да идват по 8006 порт примерно към 21

а 20 порт може ли да го заменя примерно с 8007 за заявките от вън ? 
 

[wowefect]

само да кажа че платките са pcoweb carel и не става и не става с това пренасочване на порт 21 filezilata,не може да го докопа,някой борил ли се е с такова чудо

[slevin]

20 порт не мисля че има нужда да го пренасочваш. Инициирането на tcp връзката на този порт  е от сървър към клиент и се полза само в Active mode

FTP протокола има два механизма на работа, ACTIVE и PASSIVE.

http://slacksite.com/other/ftp.html

 

Проблема предполагам ти се дължи на това, че клиента ти работи в Passive mode и  когато съвръра ти върне reply to a PASV/EPSV/SPSV command вътре в хедъра си остава частния(вътрешния) IP адрес и затова не може да се извърши комуникацията.

За този проблем решенията мисля са две:

1. При микротик би трябвало да има реализация подобна на линукс  ip_conntrack_ftp helper module, която се грижи да извърши въпросната корекция в пакетите.Но предполагам твоята реализация от различен външен порт(8006) към вътрешен 21 е причина, тази екстра да не работи.

2. Ако позволява конфигурацията на ftp сървъра, се дефинира публичния ти адрес от който излизаш, така че в reply to a PASV/EPSV/SPSV command да ти върне това дефинирано IP. Това е решение, ако устройството извършващо NAT няма реализиран ftp conntrack helper.

Допълнително при passive mode обикновено се дефинира обхват от портове при Passive mode,  ако се поддържа от конфигурацията на ftp сървъра и те  трябва да бъдат пренасочени от интернет на вътре също, понеже инициирането на tcp връзката при тези портове е отново от клиент към сървър.

Според мен опитай да настроиш FTP клиента да ползва active mode и виж дали ще се установи комуникация.

Редактирано 9 Септември, 2015 от slevin

[wowefect]

ще се опитам,но по самия софт на контролера,нищо не може да се пипа по параметъра на ftp server-а.....явно няма да се случат нещата  

[111111]

Oт написаните по нагоре правила си смени портовете и адресите

и деинсталирай фаелзилата за да нямаш проблеми пробвай с WinSCP

p.s.

20-ти порт е опционален а микротика има нужния хелпер

Редактирано 10 Септември, 2015 от 111111

[wowefect]

пробвах и този съвет и winSCP-то каза : след като се логва уж : 

Timeout detected. (control connection)
Could not retrieve directory listing
Error listing directory '/usr/local/root/flash/http'.

 

[wowefect]

ако вдигна pptp server,който да е част от тази мрежа на контролерите,дали няма да успея да се закачам,защото го пробвах физически когато се закача на самите контролери успявам да ги докопам,идеята е да пренеса локалната мрежа на домашното пц и да наливам софт от тук...

[Mupo neTkoB]

ще можеш

[wowefect]

ще видим  

[wowefect]

ще можеш

би ли ми споделил как бих могал да изнеса локалната мрежа през vpn.цялата конфигурация си я правя както трябва,но не успявам да си взема gateway....а мисля е нужно,за да виждам всичко от локалния сигмент.Успях да си установя конекцията взимам си ип от вътрешната мрежа,нет имам на мрежата,успявам да пингвам някои хостове,а други НЕ.

Редактирано 11 Септември, 2015 от wowefect

[Mupo neTkoB]

пусни си тук конфигуграцията да видим до къде си стигнал

[wowefect]

пусни си тук конфигуграцията да видим до къде си стигнал

Ok Пускам export

/ip address
add address=192.168.20.1/24 comment="Termosist Network" interface=termosist network=192.168.20.0
/ip pool
add name="VPN termosist" ranges=192.168.20.10-192.168.20.20
/ppp profile
add local-address=192.168.20.11 name="VPN termosist" remote-address="VPN termosist"
/ppp secret
add name=test password=123456 profile="VPN termosist" service=pptp
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile="VPN termosist" enabled=yes

държа да отбележа че мрежата 192.168.20.1  е вдигната върху VLAN

[slevin]

За да ти сe получи с IP адреси за VPN клиенти, който са ти в броудкаст сегмента на мрежа 192.168.20.0/24. препоръчително е да вдигнеш бридж, на него да назначиш 192.168.20.1/24, а в бриджа да вкараш vlan интерфейса, от който ще свалиш 192.168.20.1/24, на края на бриджа трябва да пуснеш proxy-arp.

На vpn клиента, ако е windows-кия може да махнеш само отметката use default gateway on remote network, така трафик през тунела ще се изпраща само до мрежа 192.168.20.1/24. Т.е. някаква реализациа на split tunnel.

По малко конфигурация в микротик ще имаш, ако раздаваш други адреси, като те ще достъпват 192.168.20.0/24. Но при този случай, ако е махната отмеската  use default gateway on remote network  тогава ще трябва ръчно или чрез скрипт да си да вкарваш рутинг правилото за мрежа 192.168.20.0/24 от клиентска страна.

На база на това какъв е клиента и под каква операционна система работи, се преценява как ще се реализира split tunnel, ако се държи на това.

[wowefect]

ако вдигна бридж и вкарам в него vlan-а ще го разтагвам автоматично,тоесто от етернет порта ще потече и unтагнат трафик което не е мн добре