Serwer FTP przestał działać po zmianie modemu UPC

[ezaq]

Witam. Dzisiaj wymieniono mi modem Scientific Atlanta EPX2203 na modem Thomson TWG870UG z funkcją rutera. Wymiana była związana ze zmianą Fiber Power 25 Mb/s na Fiber Power 60 Mb/s. Niestety stary modem nie obsługiwał DOCSIS 3.0. Po zmianie przestał mi działać serwer FTP. Działa tylko lokalnie, nie można się do niego dostać z zewnątrz.

Moja sieć wygląda obecnie tak:



Wcześniej było tak:



Na modemie Thomsona zrobiłem DMZ na AirLive (192.168.0.250). Na AirLive zmieniłem tylko ustawienia portu WAN na static IP. Przekierowanie portów na AirLive pozostało bez zmian (czyli interesujące mnie porty przekierowane mam na serwer 10.123.201.50). W tej konfiguracji działa zdalny pulpit i OpenVPN, ale nie serwer FTP.

Próba dostania się na FTP za pomocą komputera 1 przy użyciu IP zewnętrznego (nieudana):

Kod: Zaznacz cały

(000045) 2012-03-15 23:04:14 - (not logged in) (10.123.201.250) > connected to ip : 10.123.201.50
(000045) 2012-03-15 23:04:14 - (not logged in) (10.123.201.250) > sending welcome message.
(000045) 2012-03-15 23:04:14 - (not logged in) (10.123.201.250) > 220 BulletProof FTP Server ready ...
(000045) 2012-03-15 23:04:14 - (not logged in) (10.123.201.250) > USER anonymous
(000045) 2012-03-15 23:04:14 - (not logged in) (10.123.201.250) > 331 Password required for anonymous.
(000045) 2012-03-15 23:04:15 - (not logged in) (10.123.201.250) > PASS ********
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > logged in anonymously with login/pass : anonymous/
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > 230 User anonymous logged in.
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > SYST 
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > 215 UNIX Type: L8
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > FEAT 
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > 500 Unknown command.
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > PWD 
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > 257 "/" is current directory.
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > TYPE A
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > 200 Type set to A.
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > PORT 192,168,0,250,212,4
(000045) 2012-03-15 23:04:15 - anonymous [anonymous] (10.123.201.250) > 530 PORT command only accepts client IP address.
(000045) 2012-03-15 23:04:46 - anonymous [anonymous] (10.123.201.250) > 421 Connection timed-out !
(000045) 2012-03-15 23:04:46 - anonymous [anonymous] (10.123.201.250) > disconnected. (00:00:32)

Próba dostania się na FTP za pomocą innego łącza przy użyciu IP zewnętrznego (nieudana):

Kod: Zaznacz cały

(000046) 2012-03-15 23:23:24 - (not logged in) (10.123.201.250) > connected to ip : 10.123.201.50
(000046) 2012-03-15 23:23:24 - (not logged in) (10.123.201.250) > sending welcome message.
(000046) 2012-03-15 23:23:24 - (not logged in) (10.123.201.250) > 220 BulletProof FTP Server ready ...
(000046) 2012-03-15 23:23:24 - (not logged in) (10.123.201.250) > USER anonymous
(000046) 2012-03-15 23:23:24 - (not logged in) (10.123.201.250) > 331 Password required for anonymous.
(000046) 2012-03-15 23:23:24 - (not logged in) (10.123.201.250) > PASS ********
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > logged in anonymously with login/pass : anonymous/opera@
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > 230 User anonymous logged in.
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > PWD 
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > 257 "/" is current directory.
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > EPSV ALL
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > 500 Unknown command.
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > TYPE I
(000046) 2012-03-15 23:23:24 - anonymous [anonymous] (10.123.201.250) > 200 Type set to I.
(000046) 2012-03-15 23:23:25 - anonymous [anonymous] (10.123.201.250) > MODE B
(000046) 2012-03-15 23:23:25 - anonymous [anonymous] (10.123.201.250) > 504 Command not implemented for that parameter.
(000046) 2012-03-15 23:23:25 - anonymous [anonymous] (10.123.201.250) > PASV 
(000046) 2012-03-15 23:23:25 - anonymous [anonymous] (10.123.201.250) > 227 Entering Passive Mode (10,123,201,50,181,245).
(000046) 2012-03-15 23:23:54 - anonymous [anonymous] (10.123.201.250) > disconnected. (00:00:29)

Próba dostania się na FTP za pomocą komputera 1 przy użyciu IP wewnętrznego (10.123.201.50 lub 192.168.0.250) (udana):

Kod: Zaznacz cały

(000047) 2012-03-15 23:33:35 - (not logged in) (10.123.201.1) > connected to ip : 10.123.201.50
(000047) 2012-03-15 23:33:35 - (not logged in) (10.123.201.1) > sending welcome message.
(000047) 2012-03-15 23:33:35 - (not logged in) (10.123.201.1) > 220 BulletProof FTP Server ready ...
(000047) 2012-03-15 23:33:35 - (not logged in) (10.123.201.1) > USER anonymous
(000047) 2012-03-15 23:33:35 - (not logged in) (10.123.201.1) > 331 Password required for anonymous.
(000047) 2012-03-15 23:33:36 - (not logged in) (10.123.201.1) > PASS ********
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > logged in anonymously with login/pass : anonymous/
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 230 User anonymous logged in.
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > SYST 
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 215 UNIX Type: L8
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > FEAT 
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 500 Unknown command.
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > PWD 
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 257 "/" is current directory.
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > TYPE A
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 200 Type set to A.
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > PORT 10,123,201,1,212,140
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 200 Port command successful.
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > LIST 
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 150 Opening data connection for directory list.
(000047) 2012-03-15 23:33:36 - anonymous [anonymous] (10.123.201.1) > 226 Transfer ok

Oraz przykładowy log jak to wyglądało na starym modemie (działało bez problemów):

Kod: Zaznacz cały

(000025) 2012-03-08 11:15:14 - (not logged in) (10.123.201.250) > connected to ip : 10.123.201.50
(000025) 2012-03-08 11:15:14 - (not logged in) (10.123.201.250) > sending welcome message.
(000025) 2012-03-08 11:15:14 - (not logged in) (10.123.201.250) > 220 BulletProof FTP Server ready ...
(000025) 2012-03-08 11:15:14 - (not logged in) (10.123.201.250) > USER anonymous
(000025) 2012-03-08 11:15:14 - (not logged in) (10.123.201.250) > 331 Password required for anonymous.
(000025) 2012-03-08 11:15:14 - (not logged in) (10.123.201.250) > PASS ********
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > logged in anonymously with login/pass : anonymous/opera@
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 230 User anonymous logged in.
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > PWD 
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 257 "/" is current directory.
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > EPSV ALL
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 500 Unknown command.
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > TYPE I
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 200 Type set to I.
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > MODE B
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 504 Command not implemented for that parameter.
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > PASV 
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 227 Entering Passive Mode (10,123,201,50,132,210).
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > LIST 
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 150 Data connection accepted from 10.123.201.250:43309; transfer starting.
(000025) 2012-03-08 11:15:14 - anonymous [anonymous] (10.123.201.250) > 226 Transfer ok
(000025) 2012-03-08 11:15:15 - anonymous [anonymous] (10.123.201.250) > QUIT 
(000025) 2012-03-08 11:15:15 - anonymous [anonymous] (10.123.201.250) > 221 Bye bye ...
(000025) 2012-03-08 11:15:15 - anonymous [anonymous] (10.123.201.250) > disconnected. (00:00:01)

Wiem, że winny tej sytuacji jest modem Thomsona, ponieważ próbowałem podłączyć serwer bezpośrednio do jego portu LAN (z pominięciem AirLive) uprzednio przekierowując wszystkie porty na serwer, ale niestety efekt ten sam - serwer FTP nie działa.

Dodam, że próba połączenia się po VPN też nie daje rezultatów. Oto log w takim przypadku:

Kod: Zaznacz cały

(000049) 2012-03-15 23:48:24 - (not logged in) (10.2.1.2) > connected to ip : 10.2.1.1
(000049) 2012-03-15 23:48:24 - (not logged in) (10.2.1.2) > sending welcome message.
(000049) 2012-03-15 23:48:24 - (not logged in) (10.2.1.2) > 220 BulletProof FTP Server ready ...
(000049) 2012-03-15 23:48:24 - (not logged in) (10.2.1.2) > USER anonymous
(000049) 2012-03-15 23:48:24 - (not logged in) (10.2.1.2) > 331 Password required for anonymous.
(000049) 2012-03-15 23:48:25 - (not logged in) (10.2.1.2) > PASS ********
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > logged in anonymously with login/pass : anonymous/
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > 230 User anonymous logged in.
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > SYST 
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > 215 UNIX Type: L8
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > FEAT 
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > 500 Unknown command.
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > PWD 
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > 257 "/" is current directory.
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > TYPE A
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > 200 Type set to A.
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > PORT 10,2,1,2,212,216
(000049) 2012-03-15 23:48:25 - anonymous [anonymous] (10.2.1.2) > 200 Port command successful.
(000049) 2012-03-15 23:48:26 - anonymous [anonymous] (10.2.1.2) > LIST 
(000049) 2012-03-15 23:48:26 - anonymous [anonymous] (10.2.1.2) > 150 Opening data connection for directory list.
(000049) 2012-03-15 23:48:47 - anonymous [anonymous] (10.2.1.2) > 425 Cannot open data connection (10060).
(000049) 2012-03-15 23:48:56 - anonymous [anonymous] (10.2.1.2) > 421 Connection timed-out !
(000049) 2012-03-15 23:48:56 - anonymous [anonymous] (10.2.1.2) > disconnected. (00:00:32)

Siedzę już nad tym 6h i skończyły mi się pomysły :/

[krystianb]

Podwójny nat niezbyt to dobre rozwiązanie, w routerze opa nie ma czasem funkcji bridge?
Jeśli nie to może jest gdzieś nieaktywne przekierowanie ftp, które trzeba usunąć albo podać właściwy adres.
Ja bym jeszcze testowo spróbował zmienić port serwera FTP

[ezaq]

Podwójny nat niezbyt to dobre rozwiązanie, w routerze opa nie ma czasem funkcji bridge?
Jeśli nie to może jest gdzieś nieaktywne przekierowanie ftp, które trzeba usunąć albo podać właściwy adres.
Ja bym jeszcze testowo spróbował zmienić port serwera FTP

Wiem, że podwójny NAT to nie najlepszy pomysł, ale mimo wszystko to powinno działać. Ale nawet jak serwer podłączę bezpośrednio do Thomsona, to problem nadal występuje, o czym już wspominałem.

Niestety nigdzie nie widzę możliwości zmiany trybu pracy tego modemu. Daję tu kilka screenów z panelu konfiguracyjnego tego Thomsona:
Network
Advanced
Firewall
Jak trzeba to dam szczegółowe screeny.

Żadnych innych przekierowań FTP nie ma. Jakby tak było, to raczej w ogóle nie byłoby odpowiedzi z serwera.

Jutro spróbuję zmienić port, ale wątpię czy to coś da.

--- edit 01:57 ---

Udało się. Mam dostęp z zewnątrz. Jednak nadal nie mogę się dostać używając komputera z wewnętrznej sieci przy pomocy publicznego IP.

[krystianb]

Jednak nadal nie mogę się dostać używając komputera z wewnętrznej sieci przy pomocy publicznego IP.

Najprawdopodobniej przez dmz.

A chwilę poszukałem i znalazłem coś w mało zrozumiałym języku http://community.upc-cablecom.ch/posts/c84ddab952 tłumacz gogle pomaga, są też obrazki, które mówią, że włącznik bridge może się chować w status/switch mode, niestety nie w każdej wersji firmware ta opcja jest dostępna.

[ezaq]

DMZ wyłączyłem na Thomsonie i zrobiłem przekazywanie portów (jedynie kilku, które mam przekazywane z AirLive na serwer) jednak sytuacja wygląda identycznie. Dodam, że nie działa FTP po IP zewnętrznym jak i po VPN, jeśli komputer jest podłączony do sieci wewnętrznej. Z zewnątrz w obu przypadkach jest ok.

Niestety Switch Mode nie jest dostępne na moim modemie (co widać na screenie). Nie działa również ręczne wpisanie adresu http://192.168.0.1/RgSwitchMode.asp.

[key]

Wylacz drugi nat.

[ezaq]

AirLive przełączyłem w tryb AP pozbywając się NAT, ale nic to nie zmieniło. Nadal używając komputerów z sieci wewnętrznej nie mogę się połączyć używając zewnętrznego IP. I jeszcze taka ciekawa sprawa. Gdy używałem adresacji 192.168.0.0/24 to mogłem się połączyć z telefonu przy pomocy Opery Mini. Jak tylko zmieniłem na 10.123.201.0/24, to nie działa. Zatrzymuje się na:

Kod: Zaznacz cały

227 Entering Passive Mode (10,123,201,50,110,236).

Podobnie było z podwójnym NAT.

I takie pytanie dodatkowe. Dlaczego na starym modemie jak ktoś się łączył z moim FTPem to jako IP przychodzące miałem zawsze IP AirLive (10.123.201.250), a teraz jak mam Thomsona to wyświetla prawdziwe IP klienta? To chyba akurat wina AirLive?

Poza tym ten Thomson jest strasznie toporny jeśli chodzi o niektóre zmiany. Robię mu restart software'owy a on zmienia sobie ustawienia serwera DHCP i przekazywania portów, choć w panelu konfiguracyjnym nie widać, aby coś się zmieniło.

[Jo_gurt]

Passive Mode w FTP otwiera sobie dość losowy port (zależny od implementacji serwera FTP). Może masz możliwość ustawienia w serwerze FTP zakresu tych portów?
Myślę, że to właśnie z tym drugim portem jest problem.
Masz dwie możliwości:
- spróbować active mode - wtedy do serwera należy mieć możliwość dobicia się przez 2 porty: 21 i 20; niestety active mode jest wybredny pod względem połączenia klienta, tj. klient albo musi mieć możliwość otwarcia drugiego portu albo - jeśli jest za NATem - maszyna NATująca musi wiedzieć, że to jest połączenie FTP (netfilter w Linuksie)
- jeśli passive mode - wtedy musisz mieć możliwość otwarcia na serwerze dwóch portów: 21 i jakiś dodatkowy losowy, o którym wspomniałem wyżej. W serwerze FTP powinno się dać ustawić zakres portów, jaki będzie użyty przy losowaniu drugiego. Oczywiście ten zakres też musi być otwarty na zewnątrz.

[ezaq]

Może masz możliwość ustawienia w serwerze FTP zakresu tych portów?

Ustawiony mam domyślny zakres 1024-65535. Passive mode działa dobrze przy połączeniu z zewnątrz jeśli korzystam z innego łącza. W przypadku Opery Mini działał również dobrze w przypadku adresacji 192.168.0.0/24. Przy połączeniach z wewnętrznej sieci chyba ten tryb nie jest używany. Tak przynajmniej wnioskuję na podstawie logów. Nie wiem dlaczego tak się dziele i gdzie to zmienić.

Najważniejsze, że można się teraz dostać z zewnątrz, bo o to mi chodziło. Ale dobrze by było, abym mógł pewne rzeczy sprawdzić korzystając z wewnętrznej sieci, a nie musieć korzystać z alternatywnego łącza.

[Jo_gurt]

Przy połączeniach z wewnętrznej sieci chyba ten tryb nie jest używany.

Zależy, może być.

[ezaq]

Chodziło mi o to, że w moim przypadku teraz nie jest używany, a wcześniej (jak miałem stary modem) był. A nic w ustawieniach serwera FTP nie zmieniałem.