VSFTPD: přístup z WAN / access from WAN

Ahoj / Hi,

Povedlo se mi rozchodit VSFTPD v rámci domácí sítě LAN. Ale narazil jsem na konfiguraci přístupu z venku z internetu - WAN. Prošel jsem všemožná fóra OPEWRT a spol., přesměrovával jsem porty a pravidla provozu ve firewallu, neuspěl jsem. Mohl by někdo poskytnou kompletní konfiguraci VSFTPD.conf + firewall? Hokusy pokusy s WAN jsem smazal, ponechal jsem si funkční pro LAN.

SSH přístup z WAN s jiným portem (přesměrování ve firewalu) jsem rozjel hned během minuty, ale VSFTPD z WAN …

I have configured VSFTPD for LAN access successfully. Unfortunately I have big problem to configure access from WAN. I’ve read forums regarding OPENWRT, set firewall rules + forward traffic rules, no success. Could anyone provide complete configuration of VSFTPD.conf + firewall? All changes regard to WAN have been deleted and I’ve kept working LAN configuration only.

SSH access from WAN with port forward in firewall was done in minute but VSFTPD from WAN …

Díky všem / thanks to everyone
Petr

Hi Petr,

I have vsftpd and ssh running in a LXC container that runs Ubuntu Xenial.
I have port 22 (ssh) forwarded to the lan-ip address of the container.
In my ftp-client I choose sftp-protocol to connect from the outside world to my vsftpd-server on my container.
You only need to forward port 22 to the machine that is running vsftpd-server!

Marc

Hi Marc,

Port 22 works perfectly for SHH. I just need to use classic FTP port 20 or 21 from WAN for all cases…

Zkusil jsem také porty 20 a 21, nepomohlo.
I tried ports 20 and 21 too, no success.

Můžu poprosit o obsah vsftpd.conf a otevřených portů, pokud neobsahuje nic tajnýho, jen pro mou kontrolu…

Bohužel, už ho nemám, ftpčko už nepoužívám.
Ale postup byl takovýto:
Přes LuCI/Síť/Firewall/Pravidla síťového provozu jsem si nastavil port 20 a 21 na vnější adresu z práce.
Nainstaloval opkg install vsftpd,
Musel se přejmenovat soubor, kvůli nějaké chybě v install balíčku, ale už je to možná opravené…
Postup mám napsaný, soubor bohužel nemám… :pensive:
cd /etc/init.d/
mv vsftpd S50vsftpd
/etc/init.d/S50vsftpd start

Pak jsem zeditoval /etc/vsftpd.conf podle sebe…
udělal restart
/etc/init.d/S50vsftpd reload

a jelo to… pak už jen z klienta adresa:port a jméno a heslo…
Jo, to muselo být někde uložené, nějaký user_list ale to nemám popsané…

Přejmenování se týkalo akorát autostartu vsftpd, pokud se restartoval router. Jinak vše jsem dělal dle návodu i přidání uživatele do /etc/passwrd.
Prostě někde mám botu, ale nevím, kde.

Klient se sice z WAN připojí, čeká na uvítací zprávu a dál nic…

A není problém s cestou? Nebo s právy?

Není, z LAN strany jde všechno bez problémů. Z WAN nic…

Tak nevím. Teď jsem doma hledat nějaký starý .conf v záloze, ale nic jsem nenašel, takže bohužel.
Ale nic extra jsem tam neměl.

Po resetu vsftpd odinstalace a instalace, nelze se připojit z WAN ani v defaultní konfiguraci.

Tak jsem se dnes k tomu dostal a vyzkoušel to pro vás.
Mám ale stejnou zkušenost jako vy. V lokálu to jde, vzdáleně se nepřipojím.
Nevím co to způsobuje, dříve to chodilo. V logu nic není.

Děkuji za Váš čas, nahodil jsem ještě jednou s minimálními parametry a vzdálené připojení stále nejde. Napíšu na podporu…

Tak beru zpět, dnes ráno jsem se na to v práci zaměřil více, a už to jede.
Problém byl asi ve firewallu. Nyní to tam vypadá takto:

config redirect
    	option target 'DNAT'
    	option src 'wan'
    	option dest 'lan'
    	option proto 'tcp'
    	option src_dport '20'
    	option dest_ip '10.0.0.1'
    	option dest_port '20'
    	option name 'ftp1'

    config redirect
    	option target 'DNAT'
    	option src 'wan'
    	option dest 'lan'
    	option proto 'tcp'
    	option src_dport '21'
    	option dest_ip '10.0.0.1'
    	option dest_port '21'
    	option name 'ftp2'

Na straně klienta jen root a heslo, adresa… vyzkoušeno zatím jen v Total Commanderu.

Tak se omlouvám za poplašnou zprávu, ale už mi to jde.

EDIT:
Jde mi to i přes webový prohlížeč, ftp://jmeno:heslo@IP_adresa nebo jen ftp://IP_adresa
Problém je v tom, že takhle je to moc otevřené, ještě tam musím doplnit adresy a omezit to jen na provoz z určité IP.

EDIT2:

Stačilo doplnit:
option src_ip 90.178.154.xx (moje pracovní IP)

a vše chodí podle mých představ.

Jen technicka, napsat na podporu znamena poslat jim email, ne ze budes zakladat duplicitni tema :frowning:

1 Like

Nic se neděje. U mě stále končí na uvítací zprávě.
Co si tak vzpomínám, v baráku se nám asi před 3 dny “zhoupla” elektrika, je možné že se v routeru někdě něco blbě zapsalo a od tý doby blbe, asi udělám tovární reset a zkusím hned FTP načisto…
Na fóru jsem četl případ, kdy velmi rychlé vypnutí/zapnutí moc routeru nesvědčí.
Opět díky za Váš čas a snahu.

EDIT:
Celou dobu byla chyba někde jinde, od začátku nastavení vsftpd a FW bylo v pořádku. Ale…
Měl jsem celou dobu ve FW neúplně nastavená 2 pravidla směřující na jiné PC v sítí pro úplně jiný program. Konkrétně nebyly nastaveny zdrojové porty v těchto “zlobivých” pravidlech a navíc byly umístěny před pravidly pro FTP. FW samozřejmě funguje tak jak má a celou dobu porty FTP přeposílal jinam. Celou dobu byl problém před očima.

Dá se říct, byl to bug - mezi židlí a klávesnicí…

S474N:

  1. Definuj technicka.
  2. Až budeš mít více zkušeností s reportováním bugů jako já (už se mi o tom i několikrát zdálo, holt profesní deformace) a jejich posíláním přímo na mejl VS duplicitní téma na správně místě ve forech (pravda, administrátorům se nemusí líbit a uživatelé se mohou klepat na čelíčko) VS vyřešeno hned s pomocí dalších uživatelů VS vyřešeno vývojáři za delší čas, tak pak můžeš psát jen technicka, ale až po bodu 1).

Děkuji za pochopení, čas bývá hodně drahý.

Nebylo by tedy lepsi ten cas neztracet a rovnou to nareportovat sem?

Pravda, bylo, o tom žádná, uloženo do oblíbených, zareportování již není třeba. Díky za odkaz.