Přístup z internetu na NAS (FTP)

[MiDo]

Zdravím,

po koupi NASu (Zyxel NSA310) jsem zjistil, že by se mi hodil i přístup k těmto datům z internetu, tedy pomocí FTP. Bohužel, ale moje znalosti v oblasti sítí nejsou nikterak ohromující...

Každopádně mi provider ochotně nastavil veřejnou IP, což je první předpoklad. Poté jsem na zkoušku vyměnil stávající hloupý TP-link za RB750. Nastavení byl si nezvykl, ale prokousal jsem se jím (pomocí winboxu) a dostal router do podoby, že nahrazuje minulý router. Bohužel tady ale končím a nevím si rady dále. Prošel jsem sice nějaké články a návody na internetu, včetně tohoto fóra, nic nevedlo k požadovanému primitivnímu přání - dostat se na NAS z internetu.
Momentálně se samozřejmě dostanu na NAS pomocí lokální (pevné) IP. Stejně tak se dostanu na RB750 z internetu po zadaní mojí veřejné IP. Bohužel ale nevím, co nastavit na routeru abych se dostal i na NAS...

Díky za rady a omlouvám se za stupidní problém

[Noxus28]

Polial chceš len preklad na port 21 (FTP) tak je to jednoduché

add action=dst-nat chain=dstnat comment="" disabled=no dst-address=A.A.A.A dst-port=21 in-interface=ether? protocol=tcp to-addresses=B:B:B:B to-ports=21

kde: A.A.A.A je tvoja verjená IP RB
kde: B.B.B.B je vnútorná IP tvojho NAS
kde: ether? je port do ktorého máš pripojený prívod od ISP

poznámka:
v záložke IP/services je port 21 defaultne nastavený pre FTP so samotným RB, odporúčam to zmeniť aby z toho nebol mišung.
PS: Samotný príkaz po úprave môžeš vložiť do terminálu alebo aj naklikať cez winbox a vyplniť len polia čo sú v príkaze

keď už vieš čo hľadáš tak sa odporúčam pozrieť detailnejšie http://wiki.mikrotik.com/wiki/Manual:IP ... nation_NAT
veľa štastia

[MiDo]

Díky za pomoc. Nastavení jsem udělal podle návodu, ale pořád se na ftp nemohu dostat. Resp. dostanu se na něj pomocí lokální IP, to je jasné. Stejně tak je pomocí veřejné IP a nového (změněného) čísla portu dostanu na ftp RB, ale na NAS se nedostanu. NAS má ale v nastavení položku "Mapování portů UPnP", což jsem pochopil, že slouží jednak ke změně čísla portu jednotlivých služeb, ale i k jejich zpřístupnění zvenčí. Je to tak možné? Každopadně když zaškrtnu políčko u "Zapnout přístup WAN" a napíšu libovolné číslo portu, po uložení tam toto již není a dole to píše chybu. Toto je patrné ze screenu, který přidávám...

Díky za další tipy

[Noxus28]

S NAS ti neporadím, nepoužívam tieto zariadenia.
Na preklade ti nemá čo nefungovať je to jednoduchý príkaz. Snáď len to, že to nemožes skúšat z tvojej vnútornej siete na vonkajšiu IP, packety by ti vracal NAS nie naspať na verejku ale priamo do PC a ten by ich zahodil pre nesprávnu IP. Vyskúšaj to z niekade inakade nie zo svojej LAN

[MiDo]

Díky. I když to zkouším odjinud, stále se dostanu pouze na FTP toho RouterBoardu, ale na NAS se mi dostat nedaří...
Zkusím ještě něco udělat s tím NASem...

[MiDo]

Jenom ještě abych v tom měl jasněji, zkusím přemýšlet - kdyžtak mě opravte, ale ten router by měl dělat jakýsi most mezi mojí vnitřní sítí a internetem. A pokud se na ten ftp server dostanu z vnitřní sítě, tak by neměl být problém dostat se na něj i z venčí, protože on by měl být asi nastavený správně, když funguje lokálně. Z tohoto pohledu mám pocit že by měl být problém v nastavení RB...

Je to správná úvaha nebo se mýlím?
Díky

[Noxus28]

Robí ti ten RB aj masqueradu pre prístup z vnútornej do internetu? ak ano presuň si pravidlo DST-NAT nad tú masqueradu

[MiDo]

Problém vyřešen, díky za pomoc Noxus28! Jinak ftp funguje poměrně dle představ, takže spokojenost

[Shakal]

Trochu off, ale prečo nepoužívate src-nat namiesto maškarády?

[MiDo]

Trochu off, ale prečo nepoužívate src-nat namiesto maškarády?

RB jsem rozcházel pomocí jakéhosi návodu od Mikrotiku (tuším) a bylo tam toto... Mělo by mít to src-nat nějaké výhody oproti té maškarádě?

Ještě jeden dotaz - mám nějak řešit že mívám snad každý den v logu dlouhý výpis desítek, ne-li stovek pokusů o přihlášení z různých IP adres? Zatím jsem nenarazil na úspěšný pokus, ale i tak mě to úplně netěší... S tímto ale asi není to vymýšlet, že? Samozřejmě kromě toho, že je třeba mít dobré heslo a občas ho změnit...

[Noxus28]

SRC-NAT riešime ale len pri viacerých verejných IP - pri jednej je to fuk.
Ja by som si zmenil port sluzby na ktorý sa ti prihlasujú (rsp. vypol ak ho ani nepoužívaš rsp. zakázal ho na WAN interface) SSH býva obľúbené alebo aj FTP a HTTP

[Lanparties]

Ahoj všem,

nechci zakládat nové vlákno, tak píšu sem. Řeším podobný problém jako kdysi kolega.

Potřebuji rychle vytvořit FTP pro přátele z dovolené, aby bylo kam dávat pořízené fotografie.

Doma mám NAS od D-Linku (DNS-320), který chci využívat jako FTP server. Vše upravuji ve WinBoxu 4.2 s nějakými průměrnými právy. Od poskytovatele jsem si nechal přidělit jednu veřejnou IP, kterou forwarduji na porty 20-21 NASu. NASu jsem také přidělil statickou IP adresu v rámci LANu, kdyby něco. Také jsem NAS nastavil jako FTP, porty 20-21.

Vypnul jsem "MikroTikácké" FTP. Opingoval jsem veřejnou IP, úspěšně. Nastavil jsem si přihlášení na FTP přes TotalCommander na PC připojený k iNetu přes jiného poskytovatele (abych se nepřihlašoval zevnitř naší sítě) a nic . Někdy je vidět, že Firewall ve WinBoxu přijme dva pakety, ale TCMD mi vyhodí akorát hlášku "Časový limit spojení vypršel".

Pro upřesnění, z LANu se na FTP připojím bez problémů jak přes TCMD, tak přes webový prohlížeč. Dokonce když zapnu "MikroTikácký" FTP, tak se na něj zvenčí přihlásím zase jak z TCMD, tak z webového prohlížeče.

Mám podezření, že mi to z nějakého důvodu neforwarduje, protože jsem zkusil i forwardnout port 80, abych se aspoň přihlásil přes http na administraci NASu a vždy mi to skončí u routeru a jeho přihlašovací obrazovky, popřípadě toho MikroTik FTP.

Pro kompletnost ještě nastavení Firewallu:

Kód: Vybrat vše

 
0   chain=dstnat action=dst-nat to-addresses=1**.1**.8*.123 to-ports=20-21 protocol=tcp dst-address=1**.1**.2**.164 dst-port=20-21
1   chain=srcnat action=masquerade out-interface=wlan1


Service list (vyplé FTP MikroTiku):

Kód: Vybrat vše

 0   telnet                                            23    0.0.0.0/0         
 1 X ftp                                               21    0.0.0.0/0         
 2   www                                               80    0.0.0.0/0         
 3   ssh                                               22    0.0.0.0/0         
 4 X www-ssl                                           443   0.0.0.0/0          none                                                   
 5 X api                                               8728  0.0.0.0/0         
 6   winbox                                            8291  0.0.0.0/0   


Prosím a zároveň děkuji za jakoukoliv odpověď, protože už vůbec netuším, jak dál. Bojím se toho, že je někde skryté nějaké nastavení poskytovatele a přes to se těžko posunu, ale to budete vy určitě vědět spíš než já.

Venca:)

[Noxus28]

nemáš náhodou opačne zadané to-address a DST-address????
dst-address je vonkajšia adresa tvojho mikrotiku
to-address je vnútorná IP tvojho NASu

[Lanparties]

Ahoj,

díky za odpověď. Přál jsem si, abych to měl špatně, ale bohužel. Už se v tom vrtám od pátku, zkoušel jsem forwardovat každý port zvlášť, přes netmap, měnit pořadí podmínek ve firewallu a nic. Zítra zkusím providera, jestli v tom není háček někde jinde.

V.

[ludvik]

FTP používá dvě spojení. A to datové, i když by mělo být na 20, tak většinou ale není ... při aktivním režimu je to fuk (ale zase klienti to nechtějí), ale při pasivním ne. Většinou se na serveru konfiguruje rozsah portů, co má pro pasiv používat.
A co je horší - v tom příkazovém kanále je uvnitř dat informace o IP adrese. Tedy se vší pravděpodobností o interní. Takže to buď lze také zkonfigurovat, nebo je holt nutné používat helper v netfilteru - a to ani nevím, jestli MK má. Měl by.
Tyhle problémy lze většinou odhalit použitím nějakého řádkového klienta. Případně logováním ve FileZilla.

Edit: port 20 se používá pro aktivní režim. Tedy odchozí provoz (konexe) ze serveru.