FTP - Port-Range Forwarding, WTF! - Draytek Router

[randfee]

OMG,

ich hab gedacht ich hätte schon jeden Mist gesehn.... Ich teste zur Zeit Router für zuhaus und hab momentan den Draytek 2920n. Da versuche ich gerade FTP-SSL ans Laufen zu bringen... Fehlanzeige. Kann mir jemand erklären, wie ich hier bitte eine port-range weiterleiten soll? Respektive die Standard-Range für den Passiv-Modus FTP.
Unten angehängt auch die entsprechende Seite im Manual. Ich kapiers net, entweder zuviel Zucker von Weihnachtsplätzchen oder ich bin wirklich doof (und/oder wahlweise derjenige der diese GUI gemacht hat).

 

[jahlives]

Gemäss Index No 5 müsste die End-IP ja automatisch errechnet werden sobald du im Range-Modus die Public Start und End IP angegeben hast und den privaten Startport festgelegt hast.

 

[randfee]

welche end-IP, ich will doch einen Portbereich forwarden!
55536-55563 auf die selben Ports einer IP weiterleiten....

Das ist doch normal eine simple Sache, aber hier sehe ich garnicht die Möglichkeit dazu.
Bin ich voll, ich hab doch garnix getrunken?!

 

[jahlives]

welche end-IP, ich will doch einen Portbereich forwarden! Bin ich voll, ich hab doch garnix getrunken?!

Sorry ich meine Port ned IP.
Das muss der Absinth vom Weekend sein
Startport und Endport (public) und den Startport (private) scheinst du vorgeben zu müssen. Die hast du ja auch angegeben gemäss deine Screenshot. Gemäss diesem Screeny müsste alles okay sein und die Regel sollte richtig sein
**edit
Sorry sehe das erst jetzt, das Teil scheint ja einen Port auf eine IP weiterleiten zu wollen. Das finde ich jetzt echt komisch, weil es irgendwie keinen Sinn macht. Der errechnet ja eine ganze Adress-Range. Kann dir nur beipflichten WTF??
/edit**

 

[randfee]

Sorry... ich kapiers net und: Es funktioniert auch nicht
Was heißt denn z.B. die 47 da? Ports sinds nicht, 55536-55563 macht 17 Ports. Was soll das?

Das soll die Regel für den FTP-SSL Zugang auf die DS sein. Umgeleitet sind 20, 21 und eben dieser Bereich für den passive mode. Geht aber net. Ging immer, daher denke ich es hängt daran!

 

[jahlives]

Habe meine Beitrag noch editiert. Habs auch gesehen. Es scheint so zu sein, dass du mit Range nur auf eine IP Range weiterleiten kannst, was so ziemlich der grösste Hirnriss ist, der mir je untergekommen ist.
Die EndIP im privaten Bereich wird aus der Differenz der Ports berechnet. Bei dir 27 also EndIP 47. Mal nach einem Firmware-Update gesucht? Das schaut eigentlich echt nach einem Bug aus. Sinn macht es auf jeden Fall ned.
Du müsstest wohl 27 einzelne Regeln (Singe Mode) anlegen, um die gewünschte Portrange an die selbe interne IP schicken zu können

 

[randfee]

komm nicht drauf, weder mit OSX (cyberduck) noch mit Windows (filezilla), das muss an den Port-Settings liegen, ging ja bisher mit jedem der (Ausprobier)Router.

Hier das Verbindungslog von filezilla.

Status: Resolving address of xxxxxx.dyndns.org
Status: Connecting to xxx.xxx.xxx.xx:21...
Status: Connection established, waiting for welcome message...
Response: 220 DS410 FTP server ready.
Command: AUTH TLS
Response: 234 AUTH SSL command successful.
Status: Initializing TLS...
Status: Verifying certificate...
Command: USER xxxxxx
Status: TLS/SSL connection established.
Response: 331 Password required for xxxxxx.
Command: PASS *********
Response: 230 User xxxxxx logged in.
Command: SYST
Response: 215 UNIX Type: L8
Command: FEAT
Response: 211- Extensions supported:
Response: AUTH TLS
Response: PBSZ
Response: PROT
Response: SIZE
Response: MDTM
Response: MFMT
Response: REST STREAM
Response: 211 End.
Command: PBSZ 0
Response: 200 PBSZ command successful (PBSZ=0).
Command: PROT P
Response: 200 Protection level set to Private.
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (192,168,1,20,217,94)
Status: Server sent passive reply with unroutable address. Using server address instead.
Command: LIST
Error: Connection timed out
Error: Failed to retrieve directory listing

edit:
jo, genau so sehe ich das auch, einen Portbereich kann man da einfach nicht realisieren. Das ist doch lachhaft! Der Router geht auf jeden Fall auch wieder an den Händler zurück! - Jedenfalls bin ich jetzt beruhigt nicht ganz auf dem Schlauch zu stehen ^^.

 

[jahlives]

Hast du mal Aktiv-FTP erzwungen? Sollte in den Optionen von Filezilla gehen. Dann sollte es gehen, wenn Port 21 und 20 offen sind.
Wie gesagt die Range-Regel kann gemäss diesem Menu ned funzen. Du müsstest wirklich SingleRange Regeln einstellen.
Probiers mal nur mit einem Port am Router (z.B. 55536 Single Mode Regel) und stell im DSM die Ports in den FTP Einstellungen auf diesen einzelnen Port. Wenn es dann gehen sollte muss du wohl wirklich pro Port eine Singe Mode Regel erstellen.
Nach einem Firmware Update hast du beim Hersteller mal geguckt? Oder in den FAQ?

 

[randfee]

ja, das geht natürlich beides, schon probiert, mir gings halt hauptsächlich um das WTF und ich wusste nicht genau wo ich das sonst hinpacken soll. Sowas sollen business-Router sein, pff.
Ich schreib dem Hersteller nix mehr. Allein die Tatsache, dass ich bei einer dynamisches IP mit dem Ding nur einen globalen PSK für ALLE VPN Verbindungen vergeben kann (stümperhaft) ist Grund genug das Ding zurückzuschicken. IPv6 kann er auch net. etc....

 

[goetz]

Hallo,
Standardportbereich ist 55536-55663. Die Oberfläche ist echt hirnrissig, aber eventuell funktioniert sie ja doch wie gewünscht.

Gruß Götz

 

[jahlives]

Allein die Tatsache, dass ich bei einer dynamisches IP mit dem Ding nur einen globalen PSK für VPN Verbindungen vergeben kann ist Grund genug das Ding zurückzuschicken.

Und das Teil rühmt sich VPN-Buissness-Router? Dann WTF^32
Du kannst keine Policies mit unterschiedlichen PSK z.B. basierend auf der LAN IP der Gegenstelle machen? Dann habe ich mit meinem Router ja richtig Glück gehabt

 

[jahlives]

Hallo,
Standardportbereich ist 55536-55663. Die Oberfläche ist echt hirnrissig, aber eventuell funktioniert sie ja doch wie gewünscht.

@Götz
Was wohl passieren würde wenn man Ports 1024-55536 weiterleiten wollte? Soviel IPs hat sein Subnetz niemals Was dann wohl hinten als Zahl angegeben würde (bei der privaten EndIP)???

 

[goetz]

Hallo,
ich denke die Oberflächenheinis haben da was in den falschen Hals bekommen. Aber:

Response: 227 Entering Passive Mode (192,168,1,20,217,94)
Status: Server sent passive reply with unroutable address. Using server address instead.

1. die lokale IP wird gesendet, kann man im DSM bei FTP einstellen, Haken an Externe IP im PASV senden
2. 217*256+94 macht 55646, also außerhalb der eingestellten Weiterleitung, die geht ja nur bis 55562

Gruß Götz

 

[randfee]

jo, net aufgepasst, geht aber auch nicht wenn ich die range bis 55663 laufen lasse. Die Ports werden einfach nicht weitergeleitet.

 

[jahlives]

jo, net aufgepasst, geht aber auch nicht wenn ich die range bis 55663 laufen lasse. Die Ports werden einfach nicht weitergeleitet.

Stell doch mal im DSM die Range für passive FTP auf nur einen Port ein. Am besten den ersten Port bei der Regel am Router. Ich habe echt das ungute Gefühl das die Oberfläche nicht täuscht und im Endeffekt nur der erste Port einer Range wirklich an das gewünschte Ziel weitergeleitet wird.
Blöde Frage: Aus dem LAN klappt FTP-mässig alles wie es sollte? Der Server funzt also?

 

[randfee]

...ja, FTP Server läuft ja anstandslos, seit Langem nicht angefasst und wenn ich per VPN rein geh (bin nicht vor Ort) komm ich auch sofort drauf.
Nochmal "ja", wie gesagt, für den passive-mode nur einen port und den dann weitergeleitet geht ja ohne Probleme. Ich probier nachher noch ob von diesem pseudo Bereich überhaupt irgendein port weitergeleitet wird, war ich eben zu faul für.