Ich möchte von außen (Standort A) auf den FTP-Server (Standort B) zugreifen.

http://www.imgbox.de/users/public/images/cZMVc8Eju3.png (http://www.imgbox.de/)

Ist es richtig, dass ich den Zugriff wie folgt freischalte?:
- Standort B: Im Router ein portforward von Port 21 auf FTP-Server
- Standort A: Mit FTP-Client auf 195.14.24.8:21 verbinden

Meine Frage:
- muss ich noch etwas einrichten?
- wenn ich nun auf dem PC (192.168.1.18) von Standort B einen FTp-Client auführe, funktioniert der dann noch?
- Und wenn ja, warum?

Du hast das so richtig verstanden. Arbeitet Standort B mit einer festen IP oder wird die dynamisch zugewiesen. Dann hättest du das "problem", dass du die IP unter Umständen nicht kennst. Ein DynDNS könnte dann helfen. Ansonsten aber wie gesagt korrekt so. Mit dem FTP Programm musst du auch nur die IP angeben, den Port noch anzufügen sollte nicht nögtig sein - das Programm "weiß" schließlich, mit welchem Port es arbeitet ;)
Es sollte also vollkommen reichen, wenn du in dem FTP Programm die öffentliche IP des Routers angibst. Mehr ist nicht zu tun.
Verstehe deine Frage nicht bezüglich des FTP Clients im Standort B - warum sollte der nicht funktionieren? Ist doch alles "intern" aus seiner Sicht!?!

MfG Blase

naaja

ich werfe hier mal noch paar nötige details von passivem FTP in den raum.

Beim FTP gibt es bekanntermaßen einen Steuerkanal (Port 21) und einen Datenkanal (Port 20 auf Serverseite bei aktivem FTP und Port >1023 bei passivem FTP).

Nun, dein Vorhaben soll wohl passives FTP darstellen, da einfacher realisierbar.

Der Steuerport 21 muss auf RouterB wie erwähnt zum FTP-Server weitergeleitet werden. Über diesen Steuerkanal teilt dann jedoch der Server dem Client einen Port > 1023 (Datenkanal) mit (da der Client ja sagt, Server, sei du mal passiv, ich bau hier die verbindungen auf), mit dem sich der Client dann mit dem Server verbindet.

Kann hier nicht von Praxiserfahrung sprechen aber beim FTP-Server sollte ein Portbereich konfigurierbar sein, aus dem Ports bei passivem FTP dem Client mitgeteilt werden.

Dieser Portbereich muss ebenfalls beim Router zum FTP-Server weitergeleitet werden. Da der Client eben im 2. Schritt (Steuerinformationen ausgetauscht, nun kommen die Daten) über einen dieser Ports den FTP-Server erreichen will.

Zu Frage 1.)

Soweit nichts weiter. Der FTP Server muss jedoch auch passive Verbindungen erlauben (das tun unter Umständen nicht alle Server von Haus aus, da dies weitere Ports - wenn auch zeitweilig - in der NAT-Firewall aufmacht) - ohne die passive Verbindungen wird der Dateiaustausch nicht klappen.

Zu Frage 2.)

jepp, der läuft noch, direkt per LAN konnektieren (192.168.1.10).

Zu Frage 3.)

Dem FTP Server ist es egal, woher die Verbindung kommt. Da er seinen Dienst oberhalb der Transportschicht anbieten. Weiteres dazu im ISO/OSI Modell.

Vielen Dank hadez16 und AlecWhite, das hat mir sehr geholfen.
Hab jetzt die Funktionsweise kapiert. Jeder Client hat ja seinen eigenen individuellen Port, auf dem es sendet und empfängt.

Vielleicht könnt Ihr noch eine allgemeine Frage beantworten?
Angenommen im Netz B baut der PC mit IP 192.168.1.18 einen Verbindung zu einem FTP-Server irgendwo im Internet auf und benutzt dazu Port 1026 und 1027.
Wieso kommen die Antworten von diesem FTP-Server wieder auf dem PC an, der Router weiß doch eigentlich gar nicht, dass er die Ports 1026 und 1027 an den PC weiterleiten muss?

Doch, dass weiß der Router - in der NAT des Routers werden entsprechende Infos hinterlegt. Diese Infos sind jedoch sehr flüchtig und je nach Einstellung des Routers zügig wieder entfernt. Kannst mal nach googlen.

Hmm, jetzt bin ich etwas verwirrt. Wie NAT funktioniert weiß ich jetzt.
Aber wenn der Router durch NAT immer weiß, wohin er ankommende Pakete schicken muss, warum muss dann überhaupt ein Port festeingestellt forwarded werden? Das könnte man sich doch sparen?

Der Unterschied ist, dass du mit dem jeweiligen Rechner die Verbindung initiierst und der Router dabei den Rechner und den verwendeten Port identifizieren kann. Das speichert er dann in der NAT-Tabelle ab, um die Antwort entsprechend zurück zu leiten.

Wenn sich dagegen von außen jemand meldet, ohne das vorher etwas passiert ist, kann der Router nicht wissen, an welchen Rechner die Nachricht gehen soll, denn nach außen hin ist ja nur der Router zu sehen. Das Paket kann daher nicht an einen bestimmten Rechner im Netz adressiert werden. Diese Zuordnung schafft erst die Weiterleitung des Ports.

suchmaschiene "Portforwarding" ;)

Welcher NAT-Router kommt heutzutage nicht mehr mit aktiven FTP zurecht, das von einem Client aus seinem geschütztem Netz aufgebaut wird?
Es sollte ausreichend sein den Port 21 auf den FTP-Server weiterzuleiten.