NAS is niet via FTP bereikbaar voor meerdere computers, telefoon op hotspot werkt wel

Beste ​@EmielSch gewoon de firewall op STANDAARD zetten, dat is het laagste niveau, dan moet het altijd werken.

Het is misschien wel handig na de aanpassing de modem/router even een herstart te geven, dan weet je zeker dat alles werkt.

Bedankt voor de snelle reactie. Ik kan op dit netwerk niet checken of het werkt, dat wordt morgen.

Firewall op standaard zorgt er voor dat ik in ieder geval internet blijf houden, maar op de één of andere manier is de NAS vanaf een andere locatie helaas nog steeds niet bereikbaar. Ik heb poort 20, 21 en 22 geprobeerd, en FTP en SFTP, maar geen geluk. Toegang blijft geblokkeerd.

De firewall op "Standaard" zetten. En daarna niet meer aankomen. Met "Standaard" heb je dezelfde situatie als vroeger voor de update. 

Welke Experiabox heb je?

Voor de duidelijkheid: waar staat je nas? Gewoon bij je eigen thuis? Niet elders ofzo?

Je wilt hem kunnen bereiken vanaf andere computers in je thuisnetwerk? Dan heb je helemaal geen poortforwarding nodig. En die firewall instellen is in die situatie ook niet relevant. 

Welk ip heeft die nas? Krijgt die dat automatisch van de Experiabox? Of heb je zelf wat ingesteld? 

En je hebt alleen de Experiabox? Geen andere routers in je netwerk? Deco of Orbi ofzo?

Firewall staat nu op standaard. Het modem is een V12 als ik het goed heb, een nieuwe.

Nas staat met een vaste kabel aan het modem, andere modems zijn er niet. En port-forwarding staat aan, anders werkt het helemaal niet, nu werkt het wel als ik met de hotspot van de (KPN) telefoon inlog.

En inderdaad ik moet kunnen inloggen vanaf een andere locatie, via internet dus.

IP adres van de NAS is door het modem toegewezen.

Toch is het niet hetzelfde als voor de update, want toen werkte alles gewoon, er is door mij verder ook niets veranderd, ip-adressen zijn gelijk, wachtwoorden zijn gelijk, ftp-instellingen zijn gelijk. Het zou dus gewoon moeten werken.

Voor FTP heb je natuurlijk 2 poort forwardings nodig. De ene is poort 21. De andere is een hoog poortnummer wat hetzelfde mort zijn als wat bij de instellingen van het ftp programma ingesteld staat.

Welke NAS gebruik je? Met welke FTP software daarop?

Heb je vroeger ook wel eens poortforwardings ingesteld? Of heb je dat nog nooit gedaan?

Het is een Synology NAS, en ik gebruik freefilesync. Daarin kan staat gewoon poort 21 ingesteld, geen andere poorten. En zoals aangegeven hier is niets aan veranderd ten opzichte van een maand geleden toen alles nog wel gewoon werkte.

Een vreemd probleem. FTP werkt via een mobiele hotspot. Dus maakt een willekeurige KPN server binnen het mobiele netwerk verbinding met de NAS, dus dan zou ieder IP adres wereldwijd verbinding moeten kunnen maken.  

Poort 21 is “port-forwarded” naar de NAS, dat is essentieel.

Wat @marlon92 schrijft is bijna goed. Op de NAS zou een FTP server optie moeten zijn “passive port range” o.i.d.  Behalve poort 21 zou deze hele range  naar de NAS doorgesluisd moeten worden.

Echter: bij mij op Box 10 hoeft dat niet. U zou kunnen proberen of deze poorten forwarden toch verschil maakt. 

Een ander ding: als u thuis test en de FTP server aanroept op het publieke adres, wordt een “hairpin” gevormd. De verbinding gaat naar buiten, maar de router ziet zijn eigen adres en de data gaan dus weer per omgaande retour.  De FTP server ziet dan wel een verbinding vanaf het externe adres. Het staat mij bij dat eens gemeld is op dit forum dat dit bij bepaalde boxen niet werkt. Werkt het wel als u de FTP server op het interne 192.168.2.x adres benadert? Als u een VPN op de test pc  heeft, werkt het dan ook met het externe adres maar dan via VPN?  

Inderdaad een vreemd probleem. Als ik op het (wifi)netwerk inlog (ook met VPN) waar de NAS op zit kan ik hem inderdaad gewoon bereiken. Het lijkt er bijna op dat er ergens een ip-blokkade is, maar dat kan ik in het modem niet vinden. En bovendien dan zou het met VPN toch ook vanaf een andere aansluiting moeten werken?
In de NAS zelf staat wel een blokkade lijst, maar dat is enkel van IP adressen die meerdere foutieve inlogpogingen hebben gedaan. Het vreemde is echter dat daar ook recente adressen bij staan, die dus wel toegang tot het apparaat hebben gehad (maar er niet in kwamen).

Aanvulling: Er is inderdaad discussie geweest op dit forum over de “hairpin” modus, maar het lijkt op Box 12 te werken. Hier met box 10 werkt het in ieder geval probleemloos. 

Als FTPS gebruikt wordt, dan moeten de passieve poorten geconfigureerd worden op de server. 

Op de router moeten deze poorten in de firewall doorgelaten worden, dus “standaard” of “aangepast, alles doorlaten”, en port forwarding van deze poort reeks naar de NAS. 

Als FTP zonder encryptie gebruikt wordt luistert de V10 mee op het controlekanaal en regelt het zelf, maar als het controlekanaal versleuteld is gaat dit niet meer lukken.

Test: KPN V10, vsftpd server, filezilla en freefilesync client. 

Ik kan dus eigenlijk niet verklaren waarom het via hotspot werkt en rechtstreeks niet.

Gezien het merkwaardige wegvallen van internet in bepaalde firewall instellingen, heeft u al een “reset naar fabrieksinstellingen” geprobeerd? 

Ja modem is gereset, en later zelfs vervangen voor een nieuwe (V12).

Ik ga proberen of SFTP wel werkt, maar kan dat maandag pas testen. Ik heb poort 22 geforward naar de NAS en daar die service ook ingeschakeld. Op die manier werkt het op het lokale netwerk in ieder geval ook nog steeds, hopelijk gaat dat op afstand wel werken.

Op de Synology NAS staan zeker wel extra instellingen voor de 2de poort. Plaatje wat ik op internet vond:

Ik zelf gebruik geen FTP, ik doe alles via de drive app naar mijn NAS server via een VPN verbinding.
Maar hier even een recent overzicht van jou screenshot ​@Marlon92, dit is de nieuwe software van tegenwoordig.

 

Dat is zo goed als hetzelfde. 

Die pasive poort range moet dus ook open gezet worden.

Vroeger stond UPnP aan op de router denk ik. Dan worden de poorten automatisch open gezet door Synology. Met de nieuwe firmware op de Experiabox staat dat standaard uit. Je kan dat weer aanzetten. Maar het word tegenwoordig door sommige mensen als onveilig gezien.

Wat betreft de hotspot methode: is je mobiel dan wel verbonden via 4G? Die zit niet op je thuis WiFi? Bij de meeste toestellen is dat niet eens mogelijk. Dan gaat het toestel automatisch over naar 4G zodra je de hotspot aanzet. Maar ik dacht ooit ergens gelezen te hebben dat het bij sommige toestellen wel kan.

Misschien ten overvloede, maar je maakt verbinding met het WAN ip? Dus niet met het lokale ip wat begint met "192.168."?

Dus voor FTPS moeten de poorten 55536 tot 55899 naar de NAS geforward worden. 

Aan de client zijde mogen deze poorten niet door een uitgaande firewall geblokkeerd worden, een punt om rekening mee te houden als de client op afstand ook achter een KPN router staat.  “Aangepast/Alles blokkeren” om selectief poort 21 open te zetten zonder die passieve poort reeks toe te voegen zal dus geen verbinding opleveren. 

“Externe IP iin PASV mode rapporteren” moet ook aan staan op de NAS, maar de filezilla client corrigeert dat en freefilesync maakt zich daar dacht ik ook niet druk om. Externe IP moet dan ook correct ingevuld worden als de software het zelf niet uitzoekt.  

SFTP gebruikt alleen poort 22, dus dat zou eigenlijk weinig problemen moeten opleveren. 

Ik weet niet of IPv6 nog een rol kan spelen. Als de NAS met zijn IPv4 adres benaderd wordt is geen probleem te verwachten, maar “NAS.home” geeft nu ook een IPv6 adres. Dit zou binnenshuis een probleem kunnen zijn als de FTP server dit niet ondersteunt.

Voor dat freefilesync moet je wel even gaan zitten….  Ik kende dat niet. 

​@Marlon92  Een beetje off-topic maar ter info: uPnP speelt hier geen rol. Ik ken niet de Windows implementatie, maar sinds jaar en dag zit er een Linux een FTP “helper” die in de kernel geladen wordt. Dat module ziet dat er een  verbinding met poort 21 actief is en kijkt mee. Aan de server kant komt het commando “PASV” binnen, de server antwoordt met zijn IP adres en het poortnummer waar hij gaar luisteren. De FTP helper laat de firewall dan een verbinding van clientIP/poort* naar serverIP/passieve_poort “verwachten”, en de client kan contact maken. Na afloop wordt dit meteen gewist en is de firewall weer gesloten.

Ga je de verbinding versleutelen, dan is het direct einde verhaal omdat dat “helper” module alleen maar een brij van bits voorbij ziet komen. Het helpt aan twee kanten: aan de server kant bij passieve FTP, aan de client kant bij actieve FTP.

Bij de V10 werkt het netjes:  voor standaard FTP is het voldoende om FTP te forwarden en toe te laten in de firewall, dan werkt zowel een FTP server als client met actieve FTP.  

Dat speelt wel een rol. Synology kan via UPnP de poorten open zetten.

https://www.reddit.com/r/synology/comments/tiv3e3/what_is_upnp/?tl=nl

Dat was vroeger standaard ingeschakeld. Nu niet meer.

Dat is de reden dat ​@EmielSch nog nooit poorten heeft open gezet denk ik. En nu geen flauw idee heeft wat die eigenlijk aan het doen is en waarom dat nu opeens moet.

​@Marlon92 UPnP is en was altijd uitgeschakeld. Ik ben geen expert, maar dat wil niet zeggen dat ik geen idee heb waar ik mee bezig ben. Bovendien heb ik niets aan dit soort "advies".

Maar voor nu is het probleem opgelost, SFTP via poort 22 pakt hij wel, en het werkt gelukkig weer.

Bedankt voor alle hulp en adviezen.

Mooi dat het nu werkt via SFTP. Nog een tip: SFTP is een subsysteem van “Secure Shell” dat gebruikt wordt om op afstand in te loggen op Unix-achtige systemen en dus interessant voor hackers om te kijken of ze toegang kunnen krijgen. “Secure” is de versleuteling van de communicatie, maar voor de rest is het even “secure” als de kwaliteit van de gebruikersnaam/wachtwoord combinaties. Eventueel kunt u in de router de port forwarding laten lopen van een willekeurige andere poort naar poort 22, en de clients overeenkomstig instellen, dat vermindert mogelijk ongewenste bezoeken.  

Het beste is het om inloggen via gebruikersnaam/wachtwoord helemaal niet toe te staan.

https://sftpcloud.io/learn/sftp/sftp-authentication-methods

@Marlon92 

Klopt helemaal, ik zie dat FreeFileSync dat ook ondersteunt, zelfs met wachtwoordbeveiligd sleutelbestand.  Vraag is of die ondersteuning ook in de NAS firmware zit voor SFTP.