Hallo,

mein bisheriges Setting war recht schlicht: Internet via Kabelanschluss, Unitymedia-Modem stellt ein WLAN, in dem mehrere Rechner problemlos via Filezilla auf diverse Server zugreifen, sowohl via FTP als auch SFTP.

Neues Setting: FTTH-Anschluss (fixe IP), Unitymedia-Modem (ohne Router/WLAN-Funktion), dahinter eine Fritzbox 7590 als Router.
WLAN funktioniert einwandfrei, FTP-Zugriff auf die Server auch, nur bei SFTP bekomme ich keine Verbindung zustande...
Fehlermeldung:
"Status: Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Verbindung durch Server verweigert"."

In den Filezilla-Settings (bzw. dem Anssistenten unter Bearbeiten > Netzwerkkonfigurationsassistent) ist auch brav die externe IP angegeben sowie "Betriebssystem nach Port fragen"; in der Windows-Firewall darf Filzilla quasi "alles"; TCP 21 ist auch in der Fritzbox-Firewall freigegeben.
Fehlermeldung im Assitententext:
"Fehler beim Erstellen eines Sockets auf Port 0; breche ab."


Gebe ich testweise in der Fritzbox die TCP-Ports 6000-6100 frei und stelle die auch in Filzilla ein (https://www.screencast.com/t/rpw4bBHJ), ist das Resultat folgendes:

Verbinde mit probe.filezilla-project.org
Verbindung hergestellt, warte auf Willkommensnachricht.
Antwort: 220 FZ router and firewall tester ready
USER FileZilla
Antwort: 331 Give any password.
PASS 3.28.0
Antwort: 230 logged on.
Überprüfe Korrektheit der externen IP-Adresse
Beziehe externe IP-Adresse von http://ip.filezilla-project.org/ip.php
Überprüfe Korrektheit der externen IP-Adresse
IP (korrekte externe/fixe IP) eg-bea-j-eg
Antwort: 200 OK
PREP 6080
Antwort: 200 Using port 6080, data token 1519674179
PORT 46,140,9,46,23,192
Antwort: 502 Port mismatch. Received arguments contained port 64880. Command has been tained by router or firewall.
PORT-Befehl wurde vom Router oder der Firewall beeinträchtigt.
Verbindung getrennt"

Hat jemand eine Idee was hier zu tun ist?
Von Port-forwarding, routing usw hab ich schonmal gehört, aber eigentlich keine Ahnung.


Achja, advanced challenge:
In dem Netzwerk hängt nach der Fritzbox nochmal ein Router, an dem ein paar Notebooks hängen (und tadellos ins Netz kommen), aber das gleiche Problem mit SFTP haben, ich gehe davon aus, dass auch in diesem Router noch Ports konfiguriert werden müssen? Dieses Problem ist aber eher nachrangig, da diese Rechner auch via WLAN an der Fritzbox hängen können.


Bin für (fast) jeden Vrschlag dankbar!

Redest du von SFTP oder von FTPS, bzw. verschlüsselt FTP?
SFTP ist in der Regel nicht auf Port 21 sondern Port 22. Und "ECONNREFUSED" klingt genau danach.

Hallo,

der Server verwendet als Protokoll "SFTP - SSH File Transfer Protocol", wie es in Filezilla eingestellt ist.

Gebe ich TCP Port 22 n der Fritzbox frei, erhalte ich:

Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Status: Nächsten Versuch abwarten...

Eigentlich ist aber auch via "normalem" FTP der Zugriff auf den Server gestattet, aber hier bekomme ich

Status: Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Verbindung durch Server verweigert".
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

1. Reden wir hier von SFTP (Port 22 wie SSH) oder FTPS (explizite/implizite SSL/TLS-Verschlüsselung über FTP - Port 21)?

2. Falls letzteres, stehen die FTP(S)-Server außerhalb deines Netzwerkes (z.B. im Internet) und wenn ja sind sie dort direkt oder hinter einem (NAT-)Router ans Internet angebunden?

Je nachdem muss nämlich für den FTPS-Modus der FTP-Server auch richtig konfiguriert und in vorgschalteten Routern entsprechende Ports (bzw Port-Ranges) freigeschaltet werden, damit man problemlos im Passive-Modus per FTPS auf den FTP-Server kommt.

Edit: Ok, wenn ich deinen letzten Post richtig verstehe, geht es wohl um nen SFTP/SSH-Server, der in deinem Netz steht und von außen erreichbar sein soll? Dann musst du einfach nur TCP Port 22 auf die IP-Adresse deines SSH-Servers in der FritzBox forwarden (Port 21 für FTP hast du anscheinend ja schon lauffähig bekommen). Bei deinen Clients, die dann von außen drauf zu greifen können sollen, muss dann in Filezilla auch SFTP (Port 22) ausgewählt werden (und nicht FTPS).

1. Reden wir hier von SFTP (Port 22 wie SSH) oder FTPS (explizite/implizite SSL/TLS-Verschlüsselung über FTP - Port 21)?

- im alten, noch bestehenden WLAN des Kabelrouters klappt beides, wie auch die Server-Admins bestätigen

2. Falls letzteres, stehen die FTP(S)-Server außerhalb deines Netzwerkes (z.B. im Internet) und wenn ja sind sie dort direkt oder hinter einem (NAT-)Router ans Internet angebunden?

Server sind außerhalb, an deren Konfiguration hat sich nichts geändert, nur hier im Büro ist das Netzwerk-Settung neu/anders; ich kann aber noch auf das "Kabelanschluss-WLAN" zugreifen, hier klappt die Verbindung eben

Je nachdem muss nämlich für den FTPS-Modus der FTP-Server auch richtig konfiguriert und in vorgschalteten Routern entsprechende Ports (bzw Port-Ranges) freigeschaltet werden, damit man problemlos im Passive-Modus per FTPS auf den FTP-Server kommt.

Edit: Ok, wenn ich deinen letzten Post richtig verstehe, geht es wohl um nen SFTP/SSH-Server, der in deinem Netz steht und von außen erreichbar sein soll? Dann musst du einfach nur TCP Port 22 auf die IP-Adresse deines SSH-Servers in der FritzBox forwarden (Port 21 für FTP hast du anscheinend ja schon lauffähig bekommen). Bei deinen Clients, die dann von außen drauf zu greifen können sollen, muss dann in Filezilla auch SFTP (Port 22) ausgewählt werden (und nicht FTPS).

Ich habs nochmal durchgespielt:

Verbindung via "altem" WLAN hergestellt:
Server 1: Zugriff via Filezilla klappt mit SFTP (SSH), aber NICHT via FTP(S) (= ECONNREFUSED)
Server 2: beides klappt, SFTP/SSH und FTP(S)

Verbindung mit Fritzbox (=neues WLAN hinter FTTH-Modem mit fixer IP):
Server 1: SFTP/SSH klappt nicht (Timeout), FTP(S) klappt nicht (=ECONNREFUSED)
Server 2: SFTP/SSH klappt nicht (Timeout), FTP(S) klappt problemlos



Daraus ziehe ich (vielleicht fälschlicherweise) zwei Schlüsse:
a) die Server sind entgegen anderer Aussage vielleicht doch nicht identisch zugänglich (sondern 1 nur via SFTP/SSH)
b) SFTP/SSH hakt im neuen Netzwerksetting irgendwo, d.h. es fehlt eine Freigabe, Port-Konfig....o.ä.

Ah, cool. Es ist eine neue Info, dass es hier um RAUSGEHENDE Verbindungen handelt. Alles klang nach eingehend.
Meistens sind Port rausgehend nicht geblockt, daher ist das eine entscheidende Info. Da muss man auch nicht port forwarden.

Dein Problem klingt nach kaputter Firewall, aber von Fritzboxen versteh ich zuwenig.

Jo, sorry, es geht ausschließlich um rausgehende Verbindungen; das meinte ich mit "Zugriff via Filezilla auf Server"...also mein FTP-Client, Zugriff auf externe Server.

Jop @"sei laut". Also wenn es nur um einfache ausgehende Verbindungen geht und sich an den Servern nichts geändert hat, musst du in deiner Fritzbox gar nichts freigeben. SSH- und passive FTP-Verbindungen sollten problemlos laufen.

Dazu gleich mal nen Vorschlag: Führe die Tests nicht im WLAN durch, sondern erstmal mit normaler Ethernet-Verkabelung. Bei WLANs kann es je nach Modell durchaus blockierte bzw. nur bestimmte, zugelassene Ports geben.

Nun zu deinen Tests einige Gedanken.

Server 1:
Hier ist ein FTP-Dienst entweder gar nicht am laufen (FTP UND FTPS funktionieren nicht) oder nur falsch konfiguriert/hinter einer NAT-Firewall (nur FTPS geht nicht).

neue Verbindung über FTTH/Fritzbox:
Hier könnte eine Blockierung des Ports 22 in der Fritzbox (Gast-WLAN?) vorliegen oder auf den Servern ist eine IP-Range-Beschränkung (zugelassen aufs Unitiymedia-IP-Netz)? Auch die verwendete IP-Protokoll-Version (IPv4 / IPv6) müsste überprüft werden. Die Server sollten auch auf gesperrte IP-Adressen geprüft werden (fail2ban?), wobei ich das fast ausschließen würde, da ja auf Server 2 wenigstens FTPS geht.

Um die Fritzbox als Fehler auszuschließen, würd ich die einfach weglassen und mit einem Rechner direkt per Ethernet-Kabel ans FTTH-Modem (heißt hier wohl eher Optokoppler?) gehen (Achtung, die Netzwerkschnittstelle des Rechner bekommt dann die öffentliche IP-Adresse deines Anschlusses).

Was für eine externe IP hast Du denn?
Unitymedia und Co geben ja gern mal Carrier-Grade NAT adressen (100.X)
andererseits sieht man auch:
https://forum.unitymedia-helpdesk.de/viewtopic.php?f=24&t=6600

-> UM stinkt

Vielen Dank allerseits, ich kann mich dem leider erst am Montag wieder widmen, werde das dann aber versuchen; vor allem bin ich gespannt auf das Ergebnis direkt am Modem, also ohne Fritzbox dazwischen...


Was für eine externe IP hast Du denn?
Unitymedia und Co geben ja gern mal Carrier-Grade NAT adressen (100.X)
andererseits sieht man auch:
https://forum.unitymedia-helpdesk.de/viewtopic.php?f=24&t=6600
-> UM stinkt

Ist UM/upc.ch "business". D.h. schon eine "richtige" IP, aber man könnte meinen wir sind deren erster Kunde. Das ganze Setup lief (bzw. läuft) noch nicht so richtig rund...

Was für eine externe IP hast Du denn?
Unitymedia und Co geben ja gern mal Carrier-Grade NAT adressen (100.X)
andererseits sieht man auch:
https://forum.unitymedia-helpdesk.de/viewtopic.php?f=24&t=6600

-> UM stinkt

Da geht es aber um eingehende Verbindungen. Jedenfalls würde ich das anhand der Beschreibung vermuten.

Mit ausgehenden Verbindungen hatte ich bei UM noch nie Probleme. Weder mit (S)FTP noch SSH / SFTP.

Eventuell relevant: Ich verbinde mich praktisch immer per IPv6 auf meine Server. Ich kann mich aber auch nicht daran erinnern mit IPv4 irgendwie Probleme gehabt zu haben. Generell sollte man bei DS-Lite natürlich immer IPv6 bevorzugen, einfach weil man nicht noch einmal das CGNAT im Nacken hat.

Bei der Hardware saß ich schon einmal an einer UM-Fritzbox, Retail-Fritzbox und einer Connectbox. Mit keiner hatte ich so ein Problem. Der Server war jeweils entweder ein Debian, Fedora oder OpenBSD. Die Clients waren von Windows, macOS über GNU/Linux und Android bunt gemischt.

Achja, advanced challenge:
In dem Netzwerk hängt nach der Fritzbox nochmal ein Router, an dem ein paar Notebooks hängen (und tadellos ins Netz kommen), aber das gleiche Problem mit SFTP haben, ich gehe davon aus, dass auch in diesem Router noch Ports konfiguriert werden müssen? Dieses Problem ist aber eher nachrangig, da diese Rechner auch via WLAN an der Fritzbox hängen können.

Doppeltes NAT kann da tatsächlich kritisch sein. Theoretisch sollte es auch so gehen, aber das kann natürlich niemand garantieren. Wenn möglich würde ich das doppelte NAT irgendwie vermeiden und eine korrekte Konfiguration inklusive IPv6 möglich machen. Heißt: Du willst ein möglichst "flaches" Netzwerk (eben ohne weiteres Routing / doppeltes NAT) und deine Adressen / Infos von der Fritzbox beziehen. Wenn es dann noch immer nicht geht, kann man noch immer weitergucken.

Vielleicht habe ich das aber auch falsch verstanden. Normalerweise ist ein kleines Diagramm hilfreich, wie das genau verbunden ist. Kann auch per Paint sein.

EDIT: Aggressives Fail2ban könnte per SSH natürlich auch sein. Würde mich jedenfalls nicht wundern.