Ankündigung

Einklappen
Keine Ankündigung bisher.

Firewallregel Unifi USG Problem mit FTP

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    Firewallregel Unifi USG Problem mit FTP

    Hallo zusammen,

    ich betreibe hier ein kleines Unifi Netzwerk inkl. einem USG.
    Jetzt habe ich mir hier verschiedene VLans eingelegt unter anderem eines für KNX mit dem Adressbereich 10.10.10.0/24. Mein normales Netzwerk, in dem auch ein FreeNAS Server steht, hat den Adressbereich 192.168.1.0/24.

    Jetzt möchte ich gerne aus dem KNX-Netzwerk eine FTP-Verbindung zu meinem normalen Netzwerk aufbauen um Backups auf dem NAS abzulegen. Hierzu habe ich auch eine Regel erstellt die das erlauben soll. Denn für gewöhnlich sehen sich die Netzwerke untereinander nicht.
    Bildschirmfoto 2019-09-21 um 13.46.21.png
    Die Firewall-Regel habe ich bewusst zu Testzwecken sehr allgemein gehalten, später wollte ich diese dann noch auf den FTP-Port 21 beschränken.
    Scheinbar bekomme ich auch eine Verbindung aufgebaut, denn der LBS kann die Anzahl der bereits gespeicherten Backups in dem Verzeichnis ermitteln, jedoch kann er nicht speichern.
    Bildschirmfoto 2019-09-21 um 13.49.33.png
    Das hatte aber bis zur Umstellung immer funktioniert.
    Jemand eine Idee an was es liegen kann?

    Gruß Christian
    Stichworte: -
    #2
    Hast du die Regeln auch als LAN IN definiert?
    https://help.ubnt.com/hc/en-us/artic...Firewall-Rules

    Wenn es als LAN IN ist, sollte das klappen.
    Kannst du sonst mal dich mit einem Notebook/Rechner in das KNX-Netz hängen und von dort aus mit einem FTP-Tool die Verbindung prüfen oder auf die FreeNAS UI verbinden.

    Kannst du kannst du als Quelle/Ziel auch Netzwerk auswählen und dort dann KNX -> NAS Einstellen

    Kommentar

      #3
      Ja die Regel ist unter "LAN In" definiert und auch vor allen Block-Regeln.
      scheinbar bekommt er ja auch eine Verbindung, sonst könnte er nicht wissen wie viele Dateien in dem Ordner liegen.

      Das mit dem KNX-Netz müsste ich mal testen, eventuell morgen.

      Kommentar

        #4
        Oh stimmt, ein Teil der Connection funktioniert :/
        Sonst versuch mal das Logging zu aktivieren, ob die USG was in die Events wirft.

        Kommentar

          #5
          wo kann ich das logging denn dann eigentlich anschauen?
          Unter Einblicke it es zumindest nicht aufgeführt.

          Kommentar

            #6
            Guck mal ob dir das hilft
            https://help.ubnt.com/hc/en-us/artic...ew-Log-Files#3

            Habe zuhause leider gerade keine USG, wo ich drauf schauen kann und es testen.

            Code:
            [COLOR=#000000]tail -f /var/log/messages[/COLOR][/URL][URL="https://help.ubnt.com/hc/en-us/articles/204959834-UniFi-How-to-View-Log-Files#3"]

            Kommentar

              #7
              wenn du kannst, benutze sftp. der benutzt nur port 22, normales ftp ist erstmal unverschlüsselt (wobei im lokalen LAN wahrscheinlich eher egal) und nutzt je nach Konfiguration unterschiedliche portranges. FTP in ner firewall zu konfigurieren ist echt doof.

              Kommentar

                #8
                mstenz
                leider kann der Baustein nur FTP.

                Kommentar

                  #9
                  Beim normalen, aktiven FTP baut der Client über Port 21 die Kontrollverbindung zum Server auf. Für den Datenversand baut der Server dann von Port 20 abgehend eine Verbindung zu einem hohen / nicht privilegiertem Port beim Client auf. Der Port wird IMHO vom Client an den Server über die Kontrollverbindung übermittelt. Daher müssen Firewalls hier in die Kontrollverbindung „reinhorchen“ um dann Ausnahmen zu erlauben.

                  SFTP wäre auch mein erster Rat gewesen, aber das klappt ja nicht. Damit bleiben noch:
                  Umstellen von aktivem auf passives FTP, dann baut der Client beide Verbindungen auf. Oder in der Firewall die Kommunikation in die andere Richtung erlauben, evtl kann hier als Quellport 20 und als Zielport > 1024 angegeben werden.

                  Kommentar

                    #10
                    Zitat von Dante Beitrag anzeigen
                    Beim normalen, aktiven FTP baut der Client über Port 21 die Kontrollverbindung zum Server auf. Für den Datenversand baut der Server dann von Port 20 abgehend eine Verbindung zu einem hohen / nicht privilegiertem Port beim Client auf. Der Port wird IMHO vom Client an den Server über die Kontrollverbindung übermittelt. Daher müssen Firewalls hier in die Kontrollverbindung „reinhorchen“ um dann Ausnahmen zu erlauben.
                    Das wäre meine Vermutung.
                    Funktioniert denn die Verbindung NAS -> Edomi? Wenn noch keine Eingrenzung der Ports/Protokolle erfolgt ist, sollte erstmal ein Ping reichen...

                    Kommentar

                      #11
                      Hallo,
                      also es funktioniert. Keine Ahnung warum es beim ersten mal mit händischem anstoßen nicht funktioniert hatten.
                      Habe mittlerweile auch MAC-Adresse und FTP Port eingetragen, ohne Probleme bisher.

                      Kommentar

                      Vorherige template Weiter
                      Lädt...
                      X

                      Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                      Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                      Ich stimme zu