Userbase

Ik heb een vraag ivm mijn Synology en TN Fibernet 60 abo.

Ik heb m'n Syno DS411J gekoppeld aan m'n Linksys E2000 router die op zich verbonden is met de Docsis 3.0 router/modem van TN. Via 'mijn telenet' doe ik geen port forwarding, maar zet ik wel het (extern) IP van de Linksys router in DMZ.

Dit alles werkt perfect en ik kan van buitenaf via FTP en poort 21 op de NAS aanloggen en bestanden uitwisselen, MAAR enkel als de externe verbinding waarmee ik connecteer ook van Telenet is (bvb bij familie of vrienden die ook TN hebben).
Als ik vanuit Nederland dezelfde verbinding uitprobeer, of in België via Belgacom kan ik niet verbinden...

opmerking : zelfs via m'n smartphone (Mobile Vikings) kan ik op de FTP connecteren.

Is er enige verklaring waarom enkel TN klanten met m'n FTP kunnen verbinden ?

Alle poorten <1024 (of zogoed als allemaal) inkomend worden van buiten het Telenet netwerk naar het Telenet netwerk geblokkeerd. Dat verklaart ook het fenomeen dat je ondervind. Da's al heel lang zo (reeds 10 jaar terug toen ik nog Telenet had).
Je moet het u dus voorstellen als een muur van een burcht die rond het Telenet netwerk staat. Al wat daarbinnen is, kan onderling wel. De enige structurerel oplossing is dus van provider veranderen (je kan beginnen foefelen met FTP op andere poorten te zetten, maar dan krijg je ook extra ambras met passive ftp + mogelijkheid dat het op de andere locatie geblokkeerd wordt).

Overigens los hiervan zou ik je niet aanraden om zoiets in volledig DMZ te plaatsen. Er draaien genoeg botnetwerken ed die brute force attacks doen via SSH, zelfs HTTP en uiteraard ook FTP.

Bedankt voor de info. Ergens was ik al bang dat dit het antwoord ging zijn, maar bij deze heb ik dus de bevestiging.

Zijn er misschien andere oplossingen ?
bvb via een poortnummer > 1024 :
* een SFTP te gebruiken ?
* iets met SSL/TLS ?

Erg veel kennis heb ik daar niet rond, dus vraag me af of dit gemakkelijk op te zetten is ?

I.v.m. de DMZ denk ik dat dit de enige manier is om een router achter de TN-modem/router te plaatsen, waardoor het netwerk alsnog van buitenaf bereikbaar blijft. Ik vertrouw ook een beetje op de firewall in de TN router en de SP1 firewall in de Linksys.
Als ze echt willen zullen ze ongetwijfeld binnengeraken

Kleine correctie >= 1024

Je zou in je router indien mogelijk >=1024 extern kunnen laten forwarden naar 21 lokaal.

Ik zou persoonlijk beginnen met FTP aan de praat te krijgen voor je aan beveiligde verbindingen begint.
Ik raad het je ten zeerste aan als je persoonlijke bestanden wil delen, dit is echter geen oplossing zodat je de standaardpoorten kan gebruiken.

Wat je misschien ook interesseert is dat je via dyndns een naam aan je IP koppelt, zodat je je (in principe) statisch IP niet hoeft te onthouden.

Ik heb inderdaad reeds via dyndns een naam aan m'n variabel IP gekoppeld (best wel handig).

Gewone FTP verbinding via poort >1024 werkt eveneens niet (uitgeprobeerd met verschillende ranges), vandaar dat ik op zoek was naar een oplossing via omweg hiervoor. Maar ik begin stilaan te vermoeden dat TN vlakweg heel het FTP protocol ongacht poortnr blokkeert van buitenaf.

jeanke81 schreef:Bedankt voor de info. Ergens was ik al bang dat dit het antwoord ging zijn, maar bij deze heb ik dus de bevestiging.

Zijn er misschien andere oplossingen ?
bvb via een poortnummer > 1024 :
* een SFTP te gebruiken ?
* iets met SSL/TLS ?

Erg veel kennis heb ik daar niet rond, dus vraag me af of dit gemakkelijk op te zetten is ?

I.v.m. de DMZ denk ik dat dit de enige manier is om een router achter de TN-modem/router te plaatsen, waardoor het netwerk alsnog van buitenaf bereikbaar blijft. Ik vertrouw ook een beetje op de firewall in de TN router en de SP1 firewall in de Linksys.
Als ze echt willen zullen ze ongetwijfeld binnengeraken

Als je SSH enabled, kan je via SFTP werken. Het voordeel is dat je dan enkel poort 22 nodig hebt (of een andere, als je dat ofwel in je SSH config ofwel via portforwarding aanpast, bvb 22 intern via 10022 van buiten).
Om SSH op gewone user account toe te staan, moet je nog wel een geldige shell meegeven in /etc/passwd (staat standaard op /no/login of iets dergelijks).

Gezien de problematiek waarmee je te maken krijgt, zou ik geen FTP of FTPES gebruiken. Je zal nog steeds geconfronteerd worden met meerdere poorten. SFTP is daarin veruit de beste qua config.

Het zou moeten gaan, ik denk dat je iets verkeerd doet.
Ik weet niet hoe het juist zit met de control poort (20), bij mij lukt het perfect door enkel poort 21 te openen.

http://www.canyouseeme.org/
Heel handig om te testen of je poort open staat naar buiten.

In je Synology kan je zo goed als alle poorten herdefinieren.
Je kan bijvoorbeeld je ftp-verkeer op poort 2121 instellen.

Ik heb de FTP op poort 2121 ingesteld maar is nog steeds niet bereikbaar voor non-telenet klanten. Een andere telenetklant kan er wel op.

jeanke81 schreef:Ik heb de FTP op poort 2121 ingesteld

Weet dat FTP een redelijk vervelend protocol is dat twee poorten gebruikt (21 en 20). Hoe dit precies in z'n werk gaat is dan ook nog eens afhankelijk van passive/active FTP.

Nu 21 is de control poort, en meestal kan je wel al aanloggen op de server als deze al goed staat... zodra je echter bijvoorbeeld een 'ls' doet ga je ook de andere poort nodig hebben.

Lukt de toegang tot de FileStation (poort 7000) wel buiten TN?
Als het lukt, heeft het inderdaad te maken met het blokkeren van poorten <= 1024, anders is er een ander probleem.

Inderdaad via de standaardpoorten 5000 en 7000 lukt aanloggen op de Webman en File Station wel.
HTTP lukt sowieso lijkt het.

Ok, dan blijkt TN de boosdoener.

Als je niet persé aan FTP gebonden bent, kan je het eens proberen met WebDav.

Zelf gebruik ik op andere locaties WebDav via https. In combinatie met het gratis programma NetDrive kan ik zo vanop mijn werk mijn Synology gebruiken als gewone map-schijf (bij mij N:) in eender welk programma.
Als het niet meteen lukt: ik heb er eerst een speciale patch van microsoft moeten voor installeren om WebDav aan de praat te krijgen.