7170 mit Freetz 1.1.3 kein FTP nach außen

[kaosman]

Guten Mittag,

ich habe mir für die 7170 ein freetz-Image mit NTFS-Support, mc und dtach erstellt. Ich möchte nun eine neue dtach-Session starten, in der ich mit mc eine FTP-Verbindung zu meiner zweiten, entfernten und unveränderten Box (7270) aufbaue und größere Dateien im Hintergrund auf eine angeschlossene NTFS-Platte übertragen.

Über telnet logge ich mich auf der 7170 ein und führe

dtach -c /tmp/mysession mc ftp://ftpuser:passwort@[meine2teBox].dyndns.org

aus. Doch es passiert einfach nichts. Von Rechnern im Netzwerk aus funktioniert es tadellos.
Dann wollte ich testweise mit ftpget eine Datei übertragen und bekam den Fehler "No route to host." angezeigt. Ein nslookup auf [meine2tebox].dyndns.org liefert aber die korrekte Namensauflösung.

Wo liegt also das Problem bzw. was ist mein Denkfehler?

 

[sf3978]

...Von Rechnern im Netzwerk aus funktioniert es tadellos....

Evtl. finden die Pakete den Rückweg nicht, wegen der Interfaces der Box. S-NAT oder das entsprechende Routing sollte helfen.

 

[kaosman]

Aus meinem Verständnis heraus, sollte doch eine Antwort von der Firewall durchgelassen werden, sofern die Anfrage von intern initiiert wurde.

Leider hilft mir deine Antwort nicht weiter. Brauche ich dazu ein weiteres Paket, oder wie kann ich das Routing beeinflussen?


Ich hatte das ganze schonmal mit einer original Firmware und einem compilierten mc-binary probiert. Da haben Verbindungen nach extern sofort funktioniert. Daher bin ich jetzt etwas verdutzt.

 

[sf3978]

Die Verbindung nach extern funktioniert ja. Es geht vermutlich um die Datenpakete die zurück kommen wollen. Die kennen ihren Absender nicht mehr und wissen daher nicht, wer auf sie wartet bzw. wohin sie gehören. S-NAT mit iptables wäre eine der Möglichkeiten.

 

[aladin_dd]

Ich habe gerade das gleiche Problem und bin der Ursache schon etwas näher gekommen.
Die Box findet den Tunneleingang nicht.
Es sieht so aus als würde die Box den Verbindungsaufbau über das falsche Interface / die falsche IP versuchen.

Über
ping -I <lokale IP> <IP im entfernten Netz>

ist das entfernte Netz bzw. die Box erreichbar.

Der ssh-Client aus openssh z.B. hat ja die Option -b für die bind_address.
Dies hat der ssh-Client von Dropbear leider nicht.

Kann man noch irgendwie anders festlegen über welche IP-Adresse ein Verbindungsversuch zu der anderen Box erfolgen soll?

 

[ponderto]

Kann man noch irgendwie anders festlegen über welche IP-Adresse ein Verbindungsversuch zu der anderen Box erfolgen soll?

Hallo Heiko ;-)

wenn du iptables auf deiner Fritzbox hast, versuche mal

iptables -t nat -A POSTROUTING -p tcp -o <interface> -j SNAT --to-source <IP deiner Fritzbox>

Den Hinweis habe ich in einem anderen Thread bekommen. Weiter Infos zu SNAT gibts z.B.hier.

Kannst mir ja berichten, ob's funktioniert, bevor ich mir ein unstable Freetz auf meine Fritzbox lade...