FXP mit vsftpd via FlashFXP funktioniert nicht.

[propings]

Hallo,

ich habe zwei identische vsftpd-Server laufen.

Beide befinden sich jeweils in einem lokalem Netzwerk hinter einem Router an verschiedenen Standorten.

Ich kann mich von überall aus problemlos auf beide Server via FTP verbinden und Daten hoch- als auch runterladen.

Was jeddoch nicht funktioniert ist der direkte Datenaustausch zwischen den Servern (FXP). Stelle ich aber beide Server ins selbe lokale Netz, funktioniert alles wunderbar. Nur leider nicht wie in der oben beschriebenen Konstellation.

Die Ports sind in den Routern freigegeben, welche zum Verbinden benötigt werden.
Und die Einstellungen müssten auch in Ordnung sein in der vsftpd.conf.

Hier einmal die Fehlermeldung von FlashFXP:

[L] Verbunden. SSL/TLS-Sitzung wird ausgehandelt
[L] TLSv1-Aushandlung erfolgreich...
[L] TLSv1-verschlüsselte Sitzung mit Verschlüsselung AES256-SHA (256 Bits)
[L] 150 Here comes the directory listing.
[L] 226 Directory send OK.
[L] Verzeichnis geladen: 435 bytes in 0,60 Sekunde (0,4 KB/s)
[L] Berechnen des Zeitzonenunterschieds vom Server...
[L] MDTM Textdokument.pdf
[L] 213 20140429102541
[L] Zeitunterschied: Server: 0 Sekunden. Lokal: 7200 Sekunden. Unterschied: 7200 Sekunden
[L] TYPE I
[L] 200 Switching to Binary mode.
[L] SIZE Textdokument.pdf
[L] 213 2415782
[L] MDTM Textdokument.pdf
[L] 213 20140429102541
[R] TYPE I
[R] 200 Switching to Binary mode.
[R] SIZE Textdokument.pdf
[R] 550 Could not get file size.
[R] PROT C
[R] 200 PROT now Clear.
[L] PROT C
[L] 200 PROT now Clear.
[L] PASV
[L] 227 Entering Passive Mode (192,168,2,115,19,183).
[R] PORT 192,168,2,115,19,183
[R] 200 PORT command successful. Consider using PASV.
[R] STOR Textdokument.pdf
[R] 150 Ok to send data.
[L] RETR Textdokument.pdf
[L] Übertragung fehlgeschlagen: Textdokument.pdf
[L] Verbindung verloren: 87.156.28.XXX (Dauer: 1 Minute 58 Sekunden / Leerlauf: 1 Minute 0 Sekunde)
[R] 226 Transfer complete.
[R] TYPE A
Übertragen 0 Dateien (0 bytes) in 1 Minute 4 Sekunden (0,0 KB/s)
1 Datei Fehlgeschlagen
[R] 200 Switching to ASCII mode.
[R] PROT P
[R] 200 PROT now Private.
[R] PASV
[R] 227 Entering Passive Mode (192,168,2,103,19,172).
[R] Datenkanal-IP öffnen: 91.50.240.XXX PORT: 5036
[R] LIST -al
[R] Verbunden. SSL/TLS-Sitzung wird ausgehandelt
[R] TLSv1-Aushandlung erfolgreich...
[R] TLSv1-verschlüsselte Sitzung mit Verschlüsselung AES256-SHA (256 Bits)
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.
[R] Verzeichnis geladen: 212 bytes in 0,71 Sekunde (0,2 KB/s)
Übertragung von Warteschlange komplett
Übertragen 0 Dateien (0 bytes) in 1 Minute 4 Sekunden (0,0 KB/s)
1 Datei Fehlgeschlagen
[R] Verbindung verloren: nsvm.XXXX.de (Dauer: 6 Minuten 34 Sekunden / Leerlauf: 5 Minuten 0 Sekunde)

Hier einmal die Config beider Server:

ftpd_banner="Welcome"
listen=yes
listen_port=21
accept_timeout=60
connect_timeout=60
data_connection_timeout=300
max_clients=0
max_per_ip=0
xferlog_enable=YES
hide_ids=YES
dirlist_enable=YES
download_enable=YES
use_localtime=YES
write_enable=YES
file_open_mode=0755
local_enable=YES
local_umask=02
local_max_rate=0
anon_root=/shares
check_shell=NO
chroot_local_user=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/user_list
vsftpd_log_file=/var/log/vsftpd.log
anonymous_enable=NO
anon_mkdir_write_enable=NO
anon_upload_enable=NO
anon_world_readable_only=YES
anon_other_write_enable=NO
no_anon_password=YES
anon_max_rate=0
anon_umask=077
#share_acl_enable=YES
pasv_enable=YES
pasv_promiscuous=YES
pasv_min_port=5000
pasv_max_port=5059

ssl_enable=YES
force_local_data_ssl=NO
force_local_logins_ssl=YES
rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
ssl_ciphers=HIGH
port_enable=YES
port_promiscuous=YES
require_ssl_reuse=NO

Hier die freigegebenen TCP-Ports in beiden Routern für beide Server :

20, 21 und 5000-5059

Für kurzfristige Hilfe bin ich sehr dankbar.

MOD EDIT: Bitte Code Tags verwenden.

 

[Thunderbyte]

Nur weil Dein Client mit beiden Servern reden kann, heißt das noch lange nicht, dass die direkte Verbindung auch funktionieren muss.

Alternative: installier Dir den Midnight Commander ("mc") auf einem der Server und verbinde direkt von einem der Server auf den anderen, ohne Deinen Client einzuschalten. Der Vorteil dieser Konstellation ist noch dazu, dass der FTP Transfer auch funktioniert, wenn Du abgemeldet bist, wenn Du im Hintergrund transferieren lässt.

 

[kannnix]

An welcher Stelle im Netzwerk befindet sich Dein FlashFXP Client? Auf einer der beiden Serverseiten?

Das Problem ist häufig die Intelligenz moderner Router, genauer deren Packet Inspection. Bei FTP schaut der Router meist in den Kontrollkanal und ersetzt bei einem ausgehenden PORT 192,168,2,115,19,183 gern mal die IP Adresse mit der öffentlichen IP. Das ist bei aktiven Client Verbindungen meist ok, aber für Deinen Fall vermutlich nicht.

Ich habe mich meist damit beholfen, den Kontrollkanal auf beiden Servern von Port 21 auf einen unüblichen Port, bspw. 2121 zu verlegen. Damit umgeht man recht zuverlässig das Rewriting durch den Router.

Dass ausserdem beide Server aktiv und passiv Mode beherrschen müssen, hast Du denke ich schon geprüft.

Gruss

 

[propings]

@Thunderbite, danke für die Alternative. Ist aufgrund von mehreren Nutzern leider keine Option.

An welcher Stelle im Netzwerk befindet sich Dein FlashFXP Client? Auf einer der beiden Serverseiten?

Beides. Einmal innerhalb des lokalen Netzes(Fernzugriff) und einmal außerhalb.

Ich habe mich meist damit beholfen, den Kontrollkanal auf beiden Servern von Port 21 auf einen unüblichen Port, bspw. 2121 zu verlegen. Damit umgeht man recht zuverlässig das Rewriting durch den Router.

Habs eben probiert, ohne Erfolg.

Dass ausserdem beide Server aktiv und passiv Mode beherrschen müssen, hast Du denke ich schon geprüft.

Ja! Danke, ich habe den Fehler! Jedoch noch keine Lösung!

Der Aktiv Modus funktioniert nur wenn ich mich lokal im Netz der Server befinde. Daher hatte auch der FXP-Transfer zwischen beiden Servern wunderbar geklappt, als ich sie beide im gleichen lokalen Netz hatte.

Jedoch sind sie jetzt beide getrennt an verschiedenen Standorten hinter Routern (SpeedportW723V & SpeedportW701V).
Und der Aktiv Modus funktioniert NICHT, daher auch kein FXP... Soll heißen Lokal JA, von Außen übern Router NEIN.

Also ein Router/NAT Problem?!... Wäre echt super, wenn du bzw. jemand da eine Lösung für mich hat....

 

[Thunderbyte]

Dann bring halt beide Router wieder ins gleiche LAN, mit einem VPN.

Geht es in erster Linie um den Sync von zwei Verzeichnissen / Verzeichnisbäumen? Was ist denn der Grund fürs FXP? Vielleicht können wir Dir ja Alternativen vorschlagen, die keine Probleme bereiten.

http://www.bittorrent.com/intl/de/sync eignet sich z.B. wunderbar zum Sync (auch Read-Only One Way) von großen/vielen Dateien, auch über WANs hinweg.

 

[propings]

Ich werde mir wohl etwas Anderes einfallen lassen müssen. Aktives FTP funktioniert mit NAT-Routern wohl nicht.

Ja, es geht um die Sync von Verzeichnisbäumen. Etwa einmal im Monat müssen die Server abgeglichen werden und mehrere Leute auf die Daten zugreifen können.

Auf jeden Fall Danke für die Alternativen. VPN gehe ich mal durch. BitTorrentSync scheint auch sehr interessant und sehr leicht vor allem. Probiere ich ebenfalls aus. Wobei es schon toll wäre alle Daten zentral auf unseren Server zu haben.

 

[kannnix]

Wer wird denn gleich die Flinte ins Korn werfen.

Den Aktiv Mode kannst Du doch auch noch zum Funktionieren bringen. Mann muss dazu wissen, dass beim Aktiv Mode im Grunde der Client der Server ist. D.h. bei einem normalen Aktiv Mode Download per FTP Client sendet der FTP Server dem Client die Datei an einen Port. Deshalb muss dieser Port temporär geöffnet werden und auf den genatteten Client zeigen.

In Deinem Fall ist einer der beiden Server der 'FTP Client' und deshalb muss du die Ports, die im 'PORT' Kommando übergibst einschränken und am Router auf den FTP Server forwarden. Du kannst den Aktiv Mode dann nur mit einem Client direkt auf dem 1. FTP Server zum 2. Server testen. In FlashFXP kannst Du unter Connection - FTP die PORT Range (also die Aktiv Ports) begrenzen und brauchst nur diese am Router einzutragen.

Gruss

 

[Thunderbyte]

Wenn man sich http://slacksite.com/other/ftp.html ansieht, scheidet der Active Mode eigentlich für den DoppelNAT Anwendungsfall hier aus.

Nur beim Passive Mode kann der Server/Firewalladmin Ports >1024 festlegen, die für Passive FTP verwendet werden sollen (eine festgelegte Range an Ports muss im NAT Gerät weiter gegeben werden UND der FTP Server muss auf diese Ports beschränkt werden.

Wenn es FTP sein soll, wäre es am sinnvollsten, beide Netzwerke per VPN zusammenzubringen (oder zumindest die beiden Server).

Für den geschilderten Sync Fall mag es aber definitiv bessere und automatisierbare Lösungen geben, die bei zwei getrennten Verzeichnisbäumen, die im Sync gehalten werden sollen z.B. auch "Live" Sync ermöglichen und so gar keine Dateikonflikte hervorrufen. Diese Lösungen würden dann auch ohne VPN auskommen und die Sache so vereinfachen. Wenn also eine Alternative aktuellere / Realtime Syncs ermöglicht und das o.g. Problem aus der Welt schafft, wäre das doch in jeder Hinsicht besser.

 

[kannnix]

Bei FXP wird ein Server in den passive Mode geschickt und der andere in den active Mode. Deshalb klappt das auch bei richtiger Konfiguration hinter 2 genatteten Maschinen.

Gruss

 

[propings]

Ich werde jetzt nochmal den Tipp von kannnix befolgen, da es mich schon extrem reizt, dass so hinzubekommen.... Und es auch sehr geil wäre.

Es wird ja bereits schon alles so genutzt. Nur, dass momentan jemand mindestens einmal im Monat mit dem NAS-Server rausfährt um diesen mit dem Anderen im lokalen Netz zu syncen.

Und wenn dass alles doch nicht klappen will, dann halt mit VPN.... muss man zwar auch wieder alles aufsetzten. Aber gut

Ich werde berichten. Nochmal vielen Dank an euch Beide!