Telenet DMZ en twee NAS-jes?

[Potrel]

Hallo!

Ik heb recent mijn Nas geupgrade naar een groter model en ben erin geslaagd de twee samen in mijn netwerk te laten draaien (al een prestatie op zich voor mij )

Om die Nas extern (op andere computer) te kunnen aanspreken maak ik gebruik van Filezilla. Dit lukt perfect (en is snel), maar dit werkt enkel als ik in de DMZ-settings van Mijntelenet het IP-nr van de Nas zet. En dan voel je me al komen: nu heb ik twee Nas-kes en zie ik geen manier om hier twee IP-nrs op te geven in de DMZ.

In Mijntelenet heb ik voor elk toestel ook Portforwarding opstaan: werkt zoals het moet

Misschien is mijn redenering volledig fout maar ik doe het als volgt:

Extern IP-adres (via Telenet) --> Intern IP-adres --> elk toestel krijgt zijn eigen intern IP-adres

Dus in mijn geval:
Nas1:
krijgt nr 192.168.0.105 --> ik zet 105 in de DMZ om er via FTP aan te kunnen

Nas2:
krijgt nr 192.168.0.107 --> ik zet 107 in de DMZ om er via FTP aan te kunnen

Kortom: ik moet steeds switchen in Mijntelenet.

Waarschijnlijk doe ik iets fout en hopelijk kan er iemand me wat verder helpen.

Alvast bedankt!

[rmag]

Kan je niet met poorten werken, bv poort 21 is naar de x.x.x.105 en poort 22 is naar x.x.x.107

Maak in Filezilaa 2 sites aan. 105 is je.IP.address:21 en 107 is je.IP.address:22
Met 1 IP address kan je dan de 2 FTP servers bereiken

[Tomby]

Dat is logisch dat dat momenteel niet gaat. Extern heb je maar 1 IP adres, die dan via NAT vertaald wordt naar de interne (192.168...) adressen die je op Mijn Telenet kunt configureren. Als je beide NASsen ook naar dezelfde poort gaat laten luisteren, ga je dus extern altijd maar 1 NAS kunnen bereiken. DMZ verandert daar niets aan omdat die DMZ config eigenlijk gewoon een shortcut is voor port forwarding: het IP adres dat als DMZ geconfigureerd wordt krijg alle inkomende connecties geforward. Als je hier 2 IP adressen zou kunnen configureren dan zit je met het probleem dat er niet eenduidig bepaald is naar waar een inkomende connectie moet doorgestuurd worden.

Hoe je dit eventueel kunt oplossen is door met verschillende poorten te werken. FTP is standaard poort 21, maar je zou bvb de andere NAS op poort 10021 kunnen laten luisteren. Op mijn Telenet gebruik je dan de Port Forwarding regels om poort 21 naar de ene NAS en poort 10021 naar de andere NAS te forwarden. Een vereiste is wel dat a) je dat poortnummer in je NAS kan instellen, b) je met Filezilla ook FTP kunt gebruiken op configureerbare poorten, maar (b) zal wellicht wel geen probleem zijn.

[meon]

Ik zou nu niet TCP poort 22 nemen, want dat is voor SSH-connecties. Neem dan poort 2222 of zo.

[Potrel]

Wauw mannen!

Bedankt voorr jullie supersnelle reacties!
Dat met die poorten ga ik eens proberen.
Ik post het resultaat hier wel!

[Potrel]

Heren,

Dit blijkt niet te werken:

Nas1: FTP-poort 8081 (intern adres xxx.105)

Nas2: FTP-poort 8086 (intern adres xxx.114)

In Mijntelenet staat Portforwarding op voor 8081 en 8086

In Felizilla: 2 sites gemaakt:

Site1 voor Nas1: extern-ip-adres:8081
Site2 voor Nas2: extern-ip-adres:8086

In dmz heb ik intern ip adres Nas1 staan

Connectie via Filezilla Nas1: werkt perfect
Connectie via Filezilla Nas2: werkt niet: volgende melding:

Commando: OPTS UTF8 ON
Antwoord: 200 OK, UTF-8 enabled
Status: Verbonden
Status: Mappenlijst ophalen...
Commando: PWD
Antwoord: 257 "/" is your current location
Commando: TYPE I
Antwoord: 200 TYPE is now 8-bit binary
Commando: PASV
Antwoord: 227 Entering Passive Mode (192,168,0,114,198,106)
Status: Server genereerde een passief antwoord met een ontraceerbaar adres. Gebruikt het serveradres in de plaats. <--- (deze melding geeft hij ook bij Nas1, waar de connectie wel lukt)
Commando: MLSD
Fout: The data connection could not be established: ECONNREFUSED - Connection refused by server
Fout: Verbinding verloren
Fout: Ontvangen van mappenlijst is mislukt

[ubremoved_539]

FTP is per definitie een ellendig protocol voor firewalls.

Best gewoon een VPN (veel veiliger ook) opzetten met je NAS... en dan is meteen het probleem van twee NAS'en ook opgelost.

[Potrel]

VPN... mijn Nas kan dat niet draaien (ZYXEL NSA325 V2)
Blijkbaar gaat het wel via één of ander Linux-tooltje maar daar heb ik totaal geen kaas van gegeten.
Mogelijk wordt het ingebouwd in Firmware V5 dat midden 2015 uitkomt...

Nogmaals dank voor jullie input!

[elmariachi2920]

een andere oplossing zou zijn om een eigen router te gebruiken
dan zit je wel met dubbele nat maar kan je het ip-adres van je router in dmz zetten...
je moet dan nog wel steeds met verschillende poorten werken maar is mogelijk een oplossing
je netwerk zal dan vermoedelijk wel achter je eigen router moeten en eventuele digicorder moet dan nog wel nog steeds aan de HGW hangen

[Tomby]

Eigen router gaat niets uithalen (of toch niet op de manier zoals jij het hier voorstelt). Het probleem is idd het ftp protocol zelf, zoals r2504 al aanhaalde. Punt is dat poort 21 forwarden niet genoeg is, omdat FTP meerdere poorten/connecties gebruikt en dat dan nog afhankelijk is van of het passive of active FTP is, etc... Was al vergeten dat ik dat in een ver verleden ook eens heb proberen te tunnelen over SSH en dat viel zwaar tegen.

[petzl]

VPN instellen op een van de nassen !

[ubremoved_539]

VPN instellen op een van de nassen !

Kunnen zijn NAS'en blijkbaar niet...

[ITnetadmin]

Eigen router gaat niets uithalen (of toch niet op de manier zoals jij het hier voorstelt). Het probleem is idd het ftp protocol zelf, zoals r2504 al aanhaalde. Punt is dat poort 21 forwarden niet genoeg is, omdat FTP meerdere poorten/connecties gebruikt en dat dan nog afhankelijk is van of het passive of active FTP is, etc... Was al vergeten dat ik dat in een ver verleden ook eens heb proberen te tunnelen over SSH en dat viel zwaar tegen.

Actieve FTP gaat zoiezo niet werken. Die gaat nl voor de echte dataverbinding poorten openen vanop de server naar de client toe, en die connecties gaan geweigerd worden.
Passieve FTP is daarvoor uitgevonden, zodat de server ipv de connecties zelf te openen, aan de client zegt "open ns een connectie met mij op port 12345". Dat kan idd problemen geven want uiteraard zijn die portnumbers random, en dat valt niet te forwarden.

Of je dat *hoeft* te forwarden is een andere zaak. De connecties zijn nl "gewenst", want van binnenuit en er is dus een entry in de NAT table. EN je hebt het voordeel dat active FTP met predictable poorten werkt. De server gaat nl altijd connecteren vanaf "port+1" van de port die op je client de verbinding doet. Bv je client connecteerde met de server vanaf port 2000, dan gaat de server de dataconnecie opzetten op port 2001. (Enfin, passive doet dat ook, maar aangezien de client daar de link opzet maakt het niet echt uit).
Hier is meer info over active vs passive:
http://stackoverflow.com/questions/1699 ... assive-ftp

Ik ga er hierbij wel vanuit dat je NAS de FTP client is, en niet de FTP server. Omwille van het NAT probleem liggen FTP connecties gevoelig op dat vlak.
Als je NAS FTP server is, kan je proberen met active FTP te werken, maar dan mag je client op geen enkel moment zelf achter een NAT liggen, of heel t spel is om zeep.

[ Post made via mobile device ]

[ubremoved_15739]

Mijn inziens is het meer aangewezen voor de TS om WinSCP (of iets dergelijks) te gebruiken in plaats van FileZilla.

Wat is WinSCP.

WinSCP is een Open Source grafische SFTP client en FTP client voor Windows. Het verouderde SCP protocol is ook ondersteund. De hoofdfunctie van het programma is het veilig kopiëren van bestanden tussen een lokale en een externe computer.

In plaats van ftp gebruikt men dan uiteraard ssh.
Enkel zorgen dat sshd geactiveerd is op iedere NAS én iedere NAS een bijkomende poort heeft waarop sshd actief is.
De bijkomende poort voor de eerste NAS is bijvoorbeeld 3900, voor de tweede NAS 3901, voor de derde NAS 3902, etc.
Er is, voor ssh, slechts één portforwarding in de router nodig voor iedere NAS.
De data worden vervolgens, beveiligd, via ssh over het internet getransporteerd.

[tb0ne]

Kan je in je Zyxel het aantal poorten voor passive FTP gebruik beperken tot 2 ofzo (afhankelijk hoeveel transfers je wil doen)?
Je kan voor die poorten dan extra rules toevoegen in mijn telenet en dan zal het normaal wel geforward worden want daar ligt nu je probleem.
Op die manier heb je onder controle welke poorten gebruikt worden en kun je vaste rules gebruiken.
De eerste NAS werkt omdat alle poorten openstaan in de DMZ en alles geforward wordt.
Als je dezelfde logica doortrekt kan je dat ook met de andere NAS doen en hoef je ook die niet in langer in DMZ te houden.
Los van dit alles, FTP is allesbehalve veilig dus een andere oplossing geniet misschien de voorkeur...

[ubremoved_539]

As je NAS echt geen VPN ondersteuning heeft... installeer je een Raspberry Pi.

[selder]

FTP dat staat toch in hetzelfde lijstje als POP enzo, oude technologieën die je echt niet meer wil gebruiken...

[Potrel]

Mijn inziens is het meer aangewezen voor de TS om WinSCP (of iets dergelijks) te gebruiken in plaats van FileZilla.

Bedankt voor de tip! Heb het ondertussen in gebruik en het werkt goed...alleen krijg ik het enkel als FTP aan de praat (SFTP... zit niet standaard op die Zyxel NAS )
Ik doe de FTP nu wel met encryptie.

Ik heb ondertussen al door dat ik best spaar voor een Synlogy waarin VPN en andere veiligere protocollen standaard ingebakken zitten...

De rest van de reacties kijk ik na en blijkbaar heb ik nog veel te leren en te proberen

[ubremoved_539]

Ik doe de FTP nu wel met encryptie.

Je schrijft nochtans dat sFTP niet aanwezig is op je NAS ?

[Potrel]

Winscp ondersteunt ftp met encryptie
Sftp geeft een foutmelding en ik zie ook geen optie in de webinterface van de Nas om dat op te zetten

[ Post made via mobile device ]

[ubremoved_539]

Winscp ondersteunt ftp met encryptie

Encryptie moet je aan beide einde hebben... dus ik vraag me af wat je NAS dan wel doet (als het geen sftp is) ?

Kan je NAS dan wel SSH of SCP ?

[Potrel]

Aan de Nas-instellingen heb ik niets gewijzigd. Ik zie enkel dat je via de webinterface van de nas geen sftp kan opgeven.
Nogmaals: via Winscp kan ik enkel FTP doen. En de Encryptie opzetten. De optie SFTP werkt niet. Ook de nas-handleiding van de NAS maakt er geen gewag van: de term wordt één keer vermeld (als mogelijkheid), maar hoe je dit moet doen wordt niet meegegeven.

Als ik google op nsa325 v2 en SFTP en SSH vind ik wel vanalles: (bv)

vb http://zyxel.nas-central.org/wiki/SSH_server

Maar geen flauw idee wat dit dan doet of welke gevolgen dat dit heeft. I don't talk Linux (is dat vloeken in de kerk? )

Zoals ik het begrijp kan de NAS redelijk wat aan maar is het niet standaard ingebouwd in de webinterface. De Linux jongens draaien hier een eigen os op (één of andere Linux-variant) welke dan wel de opties geeft. Knap van die mannen maar ik als Linux analfabeet durf ik dit niet... tenzij dit geen kwaad zou kunnen (= verlies van data)

[ITnetadmin]

Als je NAS geen encryptie aankan, kan je natuurlijk altijd proberen een VPN tunnel op te zetten tot op je router, als je eentje hebt die dat aankan. Dat de "last mile" binnen je eigen netwerk niet geencrypteerd is kan wss niet zoveel kwaad.

[ Post made via mobile device ]