Zweiten FTP-SERVER einrichten !

[Wiesbadener WG]

Hallo,

Wir haben folgendes Problem :

Wir haben auf einem Computer in unserem Netzwerk, einen FTP-Server laufen.
Funktioniert auch wunderbar.

Nun möchten wir gern auf einem anderen PC einen weiteren FTP-Server einrichten.
Über No-IP haben wir ihm eine eigene neue DHCP-Adresse eingerichtet, sowie einen
neuen Port-Zugang, 22-23, da ja Port 20-21 vom anderen FTP-Server bereits belegt ist.

Wenn nun Jemand von einem FTP-Client auf den zweiten FTP-Server zugreifen will,
landet er aber leider trotz der völlig neuen Zugangsdaten auf dem ersten Computer,
von dem er aber logischerweise abgewiesen wird, da es den Benutzerzugang nur auf dem zweiten
FTP-Server gibt.

Natürlich wurde auch im Router alles richtig eingestellt, und die Ports entsprechend der zugehörigen IPs freigeschaltet.
Statt Port 22-23 haben wir auch andere Ports versucht, auch hier ohne Erfolg.

Normal nutzen wir als FTP-Server den FileZilla, haben es aber auch mit dem BPFTP versucht.

Woran kann es noch liegen ?

Wer versteht etwas vom Einrichten von mehreren FTP-Servern im selben Netzwerk ?
Für Eure Hilfe, sagen wir schon mal freundlich DANKE !

 

[X1800er]

ftp://adressecomputer1.org:21
ftp://adressecomputer2.org:23

Versuche mal, die Ports mit dranzuhängen!

 

[MauIwurf]

jo das wäre auch meine epfehlung gewesen ^^

mfg MauIwurf

 

[DunklerRabe]

Im FTP Client kann man doch sowieso den Port angeben, bzw. man muss ja sogar. Der Vorschlag mit :<Port> wäre eher was für den Browser.
Ich vermute das Übel eher in den Port Forwarding Regeln des Routers, kannst du die mal posten?

 

[Revolution]

So eins vorweg was meine vorgänger über Ports gesagt haben vergiss es.

Nun möchten wir gern auf einem anderen PC einen weiteren FTP-Server einrichten.

Anderer PC !!!

Stell den FTP Server einfach bei beiden auf Port 21 nicht bis sondern nur auf 21 du kannst pro Rechner nur einmal den gleichen port Belegen aber im Netzwerk kannst du jeden Port X Fach belegen solang die Programme auf anderen PC installiert sind. Sonst wäre die Sache nämlich ein bissel blöd im Internet bei nur 65 Tausend Ports . Ich empfehel auch den 21er da bestimmte Programme etwas rumzicken beim anderen Ports vorallem der Explorer ist da manchmal etwas eigen...

Wenn nun Jemand von einem FTP-Client auf den zweiten FTP-Server zugreifen will,
landet er aber leider trotz der völlig neuen Zugangsdaten auf dem ersten Computer,
von dem er aber logischerweise abgewiesen wird, da es den Benutzerzugang nur auf dem zweiten
FTP-Server gibt.

Das kann nicht sein, wenn der User die IP (IP nicht den Namen wenn ihr den Server zwei mal DHCP gennant habt wird nämlich nur der erste angesprochen) in den FTP Client eingibt muss er auf dem Richtigen Server landen außer ihr habt da was bei den DHCP einstellungen der Server verbockt...


Poste bitte mal von beiden Servern den Inhalt von ipconfig

 

[DunklerRabe]

Das kann nicht sein, wenn der User die IP (IP nicht den Namen wenn ihr den Server zwei mal DHCP gennant habt wird nämlich nur der erste angesprochen) in den FTP Client eingibt muss er auf dem Richtigen Server landen außer ihr habt da was bei den DHCP einstellungen der Server verbockt...

Ich denke das kann schon sein, nach außen hin ist nur eine IP vorhanden. Der Router muss unterscheiden können, welcher Request für welchen Rechner im LAN gedacht ist, dass funktioniert nur über die IP. Intern können das ruhig die selben Ports sein, denn die unterscheiden sich ja in der Tat noch durch die IP.

Die Regeln im Router müssen folgendermaßer aussehen:

Anforderung an: "euer-dns-name.no-ip.com" über "TCP:21" weiterleiten an "IP Server 1:21"
Anforderung an: "euer-dns-name.no-ip.com" über "TCP:22" weiterleiten an "IP Server 2:21"

Außerdem glaube ich, hier werfen manche DHCP und DNS durcheinander

 

[X1800er]

Im FTP Client kann man doch sowieso den Port angeben, bzw. man muss ja sogar. Der Vorschlag mit :<Port> wäre eher was für den Browser.

Muss man nicht, automatisch ist 21. Daher sollte er den Port dranhängen. Soweit ich das verstanden habe bekommt das Netzwerk eine Adresse von NoIP und nur durch den Port können die REchner im Heimnetzwerk unterschieden werden, daher sollte der Port drangehangen werden. Geht das nicht, ist das Portforwarding falsch eingestellt, im Router.

EDIT:

Außerdem glaube ich, hier werfen manche DHCP und DNS durcheinander

Das glaube ich auch. Inhaltlich sind unsere Posts gleich. Das meine ich.

 

[Revolution]

Hm ok von nem Externen Netz hast du recht... wobei dann in der Firewall / Router die entspechenden NAT / PAT regeln eingestellt werden müssen. Und dann ist der Port auch wieder egal...


DHCP und DNS werfe ich jetzt nicht durcheinandern nur in dem Fall sind die verbunden und einmal hab ich mich oben verschrieben (scheiß Grippe ^^) wenn beide Server jetzt FTP heißen und die IP am Namen festgemacht wurde was es ja durchaus gibt ist das natürlich Blöd bei ner Mac wärs nicht ganz so schlim aber immer noch Blöd wenn beide FTP heißen.


Um hier weiter zu machen brauchen wir erst mal die IP einstellungen und mal ein Netzwerkschema wo die User herkommen und wo sie über welche Systeme hin müssen.

 

[Wiesbadener WG]

Erst mal Danke für die vielen Tipps !
Muß die nun mal der Reihe nach ausprobieren.
Der Tipp von X1800er war schon mal hilfreich.
Also, das mit dem Anhängen der Portnummer klappt schon mal !
Man sieht nun die Anmeldung im zweiten SERVER, aber der Client kommt leider noch nicht
ins Downloadverzeichnis rein.
Und von diesem Problem liest man öfter mal.
Leider weiß ich aber die Problemlösung dazu nicht mehr,
warum man zwar auf den FTP-SERVER drauf kommt, aber nicht ins Download-Verzeichnis rein kommt.

 

[DunklerRabe]

Wenn das klappt, dann heißt das, dass euer Regelwerk korrekt war, ihr es nur nicht korrekt benutzt habt
Wenn man zum Server connected hat, kann es ja fast nur noch ein Rechteproblem sein. Oder an der Konfig, dass der User nach dem Login sein Homedir nicht verlassen darf.

 

[Wiesbadener WG]

Ein Rechteproblem ist es nicht, da sonst die Meldung beim Client kommen würde, das Name oder Passwort falsch seien.

Habe etwas gegoogelt, und gesehen, daß viele genau das selbe Problem haben.
In den Antworten wird viel von dieser Weiterleitung geschrieben, sowie von : port range !
Das sagt mir aber alles nix.

DunklerRabe , das mit dem :

Anforderung an: "euer-dns-name.no-ip.com" über "TCP:21" weiterleiten an "IP Server 1:21"
Anforderung an: "euer-dns-name.no-ip.com" über "TCP:22" weiterleiten an "IP Server 2:21"

habe ich nicht ganz verstanden.
Wie und wo macht man das ?
Wenn es geht so, das es ein Laie wie ich auch verstehe.

 

[DunklerRabe]

Ein Rechteproblem ist es nicht, da sonst die Meldung beim Client kommen würde, das Name oder Passwort falsch seien.

Rechteproblem heißt nicht, dass der User nicht das Recht hat sich anzumelden. Es geht um die Rechte, auf einen Ordner zuzugreifen. Auch die kann man einem user verweigern, daher wäre es möglich, dass das hier der Fall ist.

Anforderung an: "euer-dns-name.no-ip.com" über "TCP:21" weiterleiten an "IP Server 1:21"
Anforderung an: "euer-dns-name.no-ip.com" über "TCP:22" weiterleiten an "IP Server 2:21"

Das sind diese Weiterleitungsregeln. So wie ich das verstanden habe, müsstet ihr das aber schon gemacht haben, sonst würdet ihr nicht auf dem jeweils richtigen Server landen. Ich erkläre es aber gerne noch mal.
Euer Router kriegt von eurem Provider genau eine IP zugewiesen, nehmen wir als einfaches Beispiel mal 79.228.1.1 (könnte z.B. sein, wenn ihr VDSL habt, ist aber nur ein Beispiel). Diese IP ändert sich praktisch täglich (bei DSL). Deswegen nutzt ihr no-ip und setzt einen DNS Eintrag für diese IP, sagen wir mal beispielweise "FTPTest". Das heißt, der Name, den ihr im DNS eingetragen habt (FTPTest.no-ip.com), kann verwendet werden, um den Router aus dem Internet anzusprechen, der Name verweist auf die jeweilige IP des Routers. So muss man sich nicht immer erst die aktuell vergebene IP raussuchen. Der Router muss dann aber entscheiden, an welchen Rechner im Netzwerk er die Anfragen weiterleitet, denn er selbst kann damit natürlich nichts anfangen.
Jetzt kommt ein Freund (nennen wir ihn F1) von euch über das Internet und möchte an den FTP Server 1 (FTP1) und Freund 2 (F2) möchte an FTP2. Standardmäßig würden jetzt beide mit ihren FTP Clients eine Verbindung zu FTPTest.no-ip.com aufbauen. Das geschieht über Port 21 normalerweise. Der Router kann dann aber so nicht unterscheiden, dass F1 eigentlich zum Server FTP1 möchte und F2 zum FTP2. FTP1 und FTP2 haben bei euch im Netz ja unterschiedliche IPs (sagen wir 192.168.0.100 und 192.168.0.101), die der Router kennt, sodass er aus dem Internet kommenden anfragen weiterleiten könnte. Dazu müssen ihm die Regeln aber sagen, nach welchem Muster er vorgehen soll. Intern (= in eurem Netz) kann ruhig alles an Port 21 gehen, da, wie gesagt, die IP Adressen eine eindeutige Zuordnung zulassen. Aus dem Internet sehen F1 und F2 aber jeweils nur eine IP bzw. den DNS Namen, der auf den Router verweist. Da hier keine unterschiedlichen IPs vorhanden sind, muss anhand der Ports unterschieden werden. F1 verbindet also zu FTPTest-no-ip.com:21 (das geschieht in der Regel automatisch wenn im FTP Client nichts anderes eingestellt wurde). Das ":21" hinter der Adresse gibt den port zum Verbinden an. Wenn F2 das jetzt auch machen würde, hätten wir das selbe Problem, er muss also beispielsweise auf FTPTest-no-ip.com:22 verbinden. Anhand der Regeln kann der Router dann die Pakete unterscheiden, die an die jeweiligen Zielrechner in eurem LAN verschickt werden müssen.
In jedem Router sieht das etwas anders aus, daher habe ich es praktisch allgemeingültig formuliert. Mit unserem Beispiel im Hinterkopf müsste es so aussehen:

Anforderung an: "FTPTest.no-ip.com" über "TCP:21" weiterleiten an "192.168.0.100:21"
Anforderung an: "FTPTest.no-ip.com" über "TCP:22" weiterleiten an "192.168.0.101:21"

TCP:21 / TCP:22 gibt in dem Fall nicht nur den Port an, sondern auch das zur Übertragung der Daten benutzte Protokoll (hier also TCP, im Gegensatz zu UDP). Details hierzu sind eigentlich unwichtig, wichtig ist nur zu wissen, das FTP über TCP funktioniert.
Die Einstellungen dazu findet ihr, wie gesagt, in der Konfiguration des Routers.

Dieses Regelwerk stellt sicher, dass von außen die richtigen Server erreicht werden.
Die Server antworten dann jeweils mit einer Datenverbindung auf TCP Port 20, die aber automatisch bei dem ankommen sollte, der die Anfrage gestellt hat, sodass man hier eigentlich nichts mehr konfigurieren muss. Nur wenn F1 und F2 auch über den selben Router mit der selben IP gehen, müssen die in deren Router Regeln erstellen für die richtige Weiterleitung der Datenpakete, die an Port 20 ankommen.

Ich hoffe, dass das soweit verständlich erklärt ist

 

[awo]

Hi

vieleicht noch nen kleinen tip.

Ich würde nie direkt die Ports von außen öffnen die Intern benötigt werden!

Sprich nach ausenhin port 8000 offen ahben aber der geht intern an port 21.

Sonst wäs jeder bei einem Portscann was im Internen Netzwerk läuft!

mfg

awo

 

[Wiesbadener WG]

Vielen Dank für die ausführliche Erklärung !

Ja, das habe ich alles verstanden, und das haben wir hier auch alles so gemacht.
Dann müsste es ja normal auch funktionieren.

Wir waren sogar einen Schritt weitergegangen, und hatten versucht, dies sogar noch etwas besser zu trennen.

So hatten wir bei NO-IP zwei DNS-Einträge erstellt.
Für Server-1 also zB. : "Ich bin Server-1.no-ip.org"
und für Server-2 : "Ich bin Server-2.no-ip.org"

Aber das hat nix gebracht.

Mit dem Tipp von X1800er , die Port-Nummer an die Adresse anzuhängen funktioniert es ja nun auch fast wunderbar.
Auf SERVER-1 kommen alle ohne Probleme, und können von dort auch Downloaden.
Auf SERVER-2 kommt man nun auch, aber leider nicht sehr weit.

Aber wie gesagt .... hatte letzte Nacht noch lange rum gegoogelt und gelesen, daß echt alle, die dieses selbe Problem im Internet beschreiben,
am Versuch scheitern, ins Downloadverzeichnis zu kommen.

Beim Listing bleibt es dann auf SERVER-2 hängen !

Und bei uns ist das nun ganz genau so.

Was ich da beim googeln gefunden hatte war dann folgender Tipp :

""Du musst auf Server 2 einen passive Port Range definieren und genau diesen Bereich musst Du von Rechner 1 auf Rechner 2 routen,
sonst bleibt die Anfrage am ersten Rechner hängen.""

Wieder mal etwas, womit hier bei uns keiner etwas anfangen kann.

Haben im FTP-Programm des SERVER-2 dann aber mal in den Optionen
den Passiv-Mode aktiviert, Haken rein bei Dynamic-IP und die No-IP-Adresse eingetragen, sowie die Passiv Port Range definiert, und im NAT eingetragen.

Hat aber auch nix gebracht.

Habe das Gefühl, wir stehen nur noch einen Schritt vor der Lösung des Problems.
Aber irgend eine Kleinigkeit machen wir noch falsch.

 

[DunklerRabe]

""Du musst auf Server 2 einen passive Port Range definieren und genau diesen Bereich musst Du von Rechner 1 auf Rechner 2 routen,
sonst bleibt die Anfrage am ersten Rechner hängen.""

Das hat meines Erachtens nach nichts mit dem generellen Aufbau von zwei FTP Servern in einem Netz zu tun. Das ist die Lösung für ein ganz anderes Problem, wenn ihr mich fragt

Es scheint ja generell alles zu funktionieren, außer das Server 2 kein Listing anzeigt und man daher nicht an die Daten rankommt. Das kann meiner Meinung nach nur an der Konfig des Servers liegen, das ist kein generelles Problem am Netzwerk oder so.
Sind beide Server gleich konfiguriert? Funkt auf einem evtl. noch eine Softwarefirewall dazwischen?

 

[Wiesbadener WG]

Also ......
Nun kommt schon mal zumindest "Halbe Freude" auf !!!

Auf unserem alten BPFTP von SERVER-2, hat das nun doch mit diesem :
""passive Port Range definieren "" , funktioniert !
Lag wohl doch daran.

Der Zugriff klappt nun auf beiden SERVERN perfekt.

Leider aber nur mit dem guten alten BPFTP.
Und beim BPFTP kann man leider aber nur Dateien bis 2 GB downloaden.

Wir würden gern aber mit dem neuen FileZilla-Server arbeiten, der auch sehr große Dateien verwalten kann.

Stellen wir beim FileZilla aber die selben Werte wie beim BPFTP ein, tut sich wieder nix.

Eingestellt haben wir auf SERVER-2 nun : Port 22-23
Und im Passiv-Mode-Fenster des BPFTP-SERVER, die passive Port Range auf : 1024-1035 ,
sowie die NO-IP-Adresse im Passiv-Mode-Fenster eingetragen.
Dann noch diese Werte im NAT des Routers, eingegeben.

Läuft wie geschmiert ! Zugriff und Download funktioniert nun wunderbar.

Echt merkwürdig, warum das nun mit FileZilla noch nicht klappt,
da die Optionen bei beiden FTP-SERVERN ja fast gleich sind.
Allerdings gibt es bei FileZilla im Passiv-Mode-Fenster noch ein paar Einstellmöglichkeiten mehr,
wo man einen Haken setzen kann.
Haben aber auch hier schon alles durch probiert, ...... ohne Erfolg.

Wenn sich Jemand von Euch mit den BPFTP und FileZilla - Servern auskennt,
dann hat er da vielleicht noch einen letzten guten Tipp,
auch den FileZilla-Server noch zum Laufen zu bringen, und kann uns sagen,
was ganz genau im Passiv-Mode-Fenster des FileZilla zu beachten ist.

Ansonsten nochmals DANKE für die vielen und zum Teil sehr ausführlichen Tipps !
Ihr habt uns sehr weitergeholfen ! ... Freu !