none
Accesso a siti ftp con server 2012 RRS feed

  • Discussione generale

  • buongiorno a tutti,

    ho un problema di visualizzazione dei siti ftp.

    Ho un server 2012 con due schede di rete: una collegata al router telecom configurata con l'ip assegnato dalla telecom, e una collegata alla lan.

    Tutti i client navigano su internet, ma non aprono i siti ftp.

    il server naviga e apre i siti ftp.

    se uso ftp.exe apro i siti ftp sia dal server che dai client.

    ho aperto la porta 20 in ingresso aggiungendo una regola al firewall, senza risultati.

    con questa configurazione il test di filezilla lanciato da un client fallisce senza nemmeno riuscire a aprire la connessione.

    se apro tutte le porte tcp in ingresso il test di filezilla fallisce ancora, ma almeno apre la connessione.

    cosa sta succedendo?

    grazie

    diego

    • Tipo modificato Anca Popa lunedì 20 gennaio 2014 14:59 discussione in corso
    martedì 14 gennaio 2014 13:03

Tutte le risposte

  • Ciao, la porta ftp sono 20 e 21...la 21 è per il control, dovresti usare quella al posto della 20 magari..oltre questo il problema secondo me sta nel routing ed accesso remoto, il server ha due schede, quindi lui apre tutto perchè gestisce il routing, i client no perchè a mio avviso l'ftp sta sulla classe a cui non hanno accesso i client. 

    Prova a metterti sulla lan della scheda esposta ad internet da un client e vedi se riesci ad aprire i siti, oltre questo posta un ipconfig /all del server e di un client che vediamo. Ultima domanda, da fuori accedi a questo ftp o no?

    Ciao.

    A.

    martedì 14 gennaio 2014 13:17
    Moderatore
  • ciao,

    grazie per la risposta.

    lo schema delle mie connessioni è:

    router Cisco di telecom collegato alla eth2 del server; la eth 1 del server collegata allo switch di lan.

    la ethernet2 del server configurata come i dati della connessione telecom:

    ipconfig di eth2:

    Scheda Ethernet Ethernet 2:

       Suffisso DNS specifico per connessione: 
       Descrizione . . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Indirizzo fisico. . . . . . . . . . . : 84-34-97-11-2B-BD
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : S
       Indirizzo IPv6 locale rispetto al collegamento . : fe80::fc54:4117:e5b:2641%13(Preferenziale) 
       Indirizzo IPv4. . . . . . . . . . . . : 195.103.21.34(Preferenziale) 
       Subnet mask . . . . . . . . . . . . . : 255.255.255.248
       Gateway predefinito . . . . . . . . . : 195.103.21.33
       IAID DHCPv6 . . . . . . . . . . . : 327431319
       DUID Client DHCPv6. . . . . . . . : 00-01-00-01-18-F6-63-F3-84-34-97-11-2B-BC
       Server DNS . . . . . . . . . . . . .  : 151.99.125.2
                                               62.211.69.150
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    la scheda ethernet eth1 è collegata allo switch di LAN e configurata così:

    Scheda Ethernet Ethernet:

       Suffisso DNS specifico per connessione: 
       Descrizione . . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Indirizzo fisico. . . . . . . . . . . : 84-34-97-11-2B-BC
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : S
       Indirizzo IPv6 locale rispetto al collegamento . : fe80::18a2:7e6c:b36:421%12(Preferenziale) 
       Indirizzo IPv4. . . . . . . . . . . . : 192.168.101.5(Preferenziale) 
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 0.0.0.0
       IAID DHCPv6 . . . . . . . . . . . : 260322455
       DUID Client DHCPv6. . . . . . . . : 00-01-00-01-18-F6-63-F3-84-34-97-11-2B-BC
       Server DNS . . . . . . . . . . . . .  : ::1
                                               127.0.0.1
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    il server è dhcp e assegna ai client come ip gateway e come dsn 192.168.101.5.

    uso il test della connessione di filezilla per verificare la connettività e ottengo:

    Connessione a probe.filezilla-project.org
    Risposta: 220 FZ router and firewall tester ready
    USER FileZilla
    Risposta: 331 Give any password.
    PASS 3.6.0.2
    Risposta: 230 logged on.
    Controllo di correttezza dell'IP esterno
    È in corso la lettura dell'indirizzo IP esterno da http://ip.filezilla-project.org/ip.php
    Controllo di correttezza dell'IP esterno
    IP 195.103.21.34 bjf-bad-cb-de
    Risposta: 200 OK
    PREP 6026
    Risposta: 200 Using port 6026, data token 1081647656
    PORT 195,103,21,34,23,138
    Connessione chiusa

    cioè quando cerca di aprire la porta 6026 perde la connessione.

    ma perchè?

    se collego il mio pc allo switch cisco e mi prendo un indirizzo ip pubblico, tutto funziona bene, quindi è un errore di configuraizione del routing del server, come giustamente dicevi tu.

    però non so risolverlo, anche perchè mi sembra che le modifiche apportate per esempio al firewall non intervengano immediatamente e anche perchè alcuni client vedono i siti ftp e altri no.

    alcuni client vanno in timeout, ma poi se rinfrescano vedono tutto.

    brancolo nel buio.

    ciao

    grazie

    martedì 14 gennaio 2014 14:31
  • senti ma posso chiederti una cosa, esiste un motivo particolare per cui fai fare da router secondario al server? Hai provato a configurare il Cisco con un nat pubblico\privato ed a mettere una sola interfaccia attiva (quella interna) sul tuo server girando solo la 20 e la 21 verso l'ip privato della macchina? perchè la config sembra giusta ma qualcosa non va nel traffico dei pacchetti. Occhio anche al 151.99.125.2 come dns primario sulla wan, ultimamente mi ha dato grossi problemi. Stai usando l'ftp nativo o filezilla server?

    martedì 14 gennaio 2014 14:51
    Moderatore
  • ciao,

    il router è della telecom e non posso gestirlo.

    la configurazione ip pubblica è quella fornita da telecom.

    io sto usando filezilla client e il ftp.exe di windows.

    con ftp.exe funziona, ma non posso farlo utilizzare agli utenti, che sono capaci solo di usare esplora risorse oppure (al limite) filezilla.

    gli utenti devono aprire dei file che stanno sull'ftp e stamparli.

    quello che non capisco è dove si perdono i pacchetti di traffico.

    grazie

    ciao

    martedì 14 gennaio 2014 15:12
  • facciamo mente locale, perchè non ho capito se questi utenti devono connettersi da fuori o da dentro alla rete...direida fuori. Ora, comincia ad eliminare punti di intoppo. Ti metti con un client sulla classe della wan e vedi se funziona. Non funziona? bene, il problema sta nella WAN. Fai una prova da dentro la rete funziona? se funziona dalla wan alla lan non c'è nat o non va come dovrebbe. a quel punto devi fare una prova e ricreare il RRAS. 

    Per telecom basta una chiamata e ti fanno la modifica. Adoro Windows, ma ai server non faccio mai fare da router...semmai da VPN access...e poi nemmeno a meno che non ci sia un ISA od un TMG...

    martedì 14 gennaio 2014 15:31
    Moderatore
  • ciao,

    grazie ancora per la risposta.

    mi sono sicuramente spiegato male io.

    gli utenti da dentro la lan devono uscire e vedere un sito ftp che sta fuori. (la cosa in se dovrebbe essere la cosa più semplice possibile)

    mi sono messo con il mio pc sul router cisco che ha integrato uno switch 8 porte: ho preso uno degli indirizzi ip pubblici che ho a disposizione e ho aperto il sito ftp remoto: tutto ok.

    cioè: l'interfaccia wan è perfetta: se apro il sito ftp dal server tutto è ok; se apro il sito ftp da un pc collegato al router tutto ok.

    ora: il problema sta sul routing tra wan e lan, sicuramente.

    se apro il sito ftp da un client, che pure naviga perfettamente, non si apre perfettamente: cioè alcuni client si, altri no; alcuni si collegano dopo un primo tentativo fallito per timeout.

    ma il log del test di connessione di filezilla verso il suo server di test, mi sembra misterioso: trova il suo server, lo apre, verifica il mio ip, concorda una connessione su una porta random tra quelle che io ho indicato in filezilla, e poi perde tutto....


    cosa intendi per ricreare il routing e accesso remoto? elimino il ruolo e lo reinstallo?

    grazie

    ciao

    diego

    martedì 14 gennaio 2014 16:34
  • ok, ora ho capito. Il RRAS come tutti i firewall di default dall'interno permette tutto il traffico tcp/ip senza fare nulla, quindi non hai niente da modificare per aprire degli ftp esterni. Ora come dici tu il problema puó stare nel RRAS stesso. di qui hai capito bene il discorso di rifarlo ma puoi evitare di piallare il ruolo, semplicemente sciogli i RRAS e lo rifai (riavvia tra uno e l'altro). una curiosità: stai provando le connessioni con l'ip del server ftp o col nome?
    martedì 14 gennaio 2014 17:22
    Moderatore
  • a meno che tu non abbia impostato il pasv mode, nel qual caso è il client a comunicare al server una porta random sulla quale scambiare i dati, l'ftp classico utilizza la porta 20 come porta per i comandi e la 21 come porta per i dati.

    quando dici che con ftp.exe tutto funziona sia dal server sia dai clients cosa intendi ?

    o meglio, allora quando non funziona dai clients ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 15 gennaio 2014 14:13
    Moderatore
  • posta anche un route print del server

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 15 gennaio 2014 14:17
    Moderatore
  • ciao, 

    grazie per la risposta.

    dico che l'accesso ftp non funziona quando questa sequenza di operazioni (che è quella che eseguono gli utenti) non viene completata:

    apro il sito ftp in internet explorer.

    compilo maschera di login con username e password

    si apre la cartella in internet explorer

    menu pagina - apri in esplora risorse

    si riapre la maschera con login e password

    compilo

    vedo l'elenco dei file (che sono dei pdf)

    apro un file alla volta facendoci doppio click sopra e lo stampo.

    ecco: questa procedura fallisce a volte al login, a volte alla creazione dell'elenco file, a volte alla apertura di un file, a volte alla stampa di un file; da  alcuni pc in un modo, da altri in un altro modo.

    se eseguo questa stessa procedura accedendo al server via desktop remoto, aprendo un internet explorer (con la navigazione protetta disabilitata), aprendo il sito ftp remoto, visualizzando la pagina in esplora risorse, ecc. funziona tutto.

    chiaramente è inutile che funzioni dal server e non dai client.

    se apro il sito ftp.exe da un client, mi connetto al sito ftp, faccio un get di un file e me lo metto in locale, lo apro e lo stampo: tutto ok.

    i miei utenti non sono capaci di eseguire questa procedura e non voglio pensare che sia l'unico modo...

    si, ho letto che ftp usa la porta 20 e per questo avevo aperto un buco nel firewall in modo che le connessioni in ingresso dalla porta 20 passassero, ma mi rimaneva questo dubbio:

    con riferimento a questa pagina http://slacksite.com/other/ftp.html e in particolare al grafico delle connessioni:

    io apro la porta 20 sul firewall (del server 2012 che fa da router anche) ma lui che ne sa che il pacchetto che viene dal server ftp remoto deve andare alla macchina 192.168.1.97, che ha avviato la connessione?

    (piccola postilla: anche in riferimento a un altra domanda che avevo fatto, che aveva come oggetto un desktop remoto bloccato su attendi, penso che il problema sia nell'intero ruolo rras, che devo sciogliere e rifare (non so come si fa e devo informarmi bene, prima))

    grazie 

    ciao

    diego

    giovedì 16 gennaio 2014 17:19
  • Mi è un dubbio: quando ti colleghi con FTP.exe usi la modalità passiva in maniera esplicita? Perché di default utilizza la modalità attiva e questa potrebbe essere la differenza rispetto ad Internet Explorer.

    Prova ad andare in Opzioni Internet > Avanzate e a disabilitare la voce "Utilizza un FTP passivo", quindi dopo aver chiuso e riaperto il browser prova ad eseguire nuovamente le operazioni.

    PS: Mi sono accorto ora che te lo aveva anche chiesto Edoardo qualche post fa ma non gli avevi risposto




    giovedì 16 gennaio 2014 21:46
    Moderatore

  • si, ho letto che ftp usa la porta 20 e per questo avevo aperto un buco nel firewall in modo che le connessioni in ingresso dalla porta 20 passassero, ma mi rimaneva questo dubbio:

    con riferimento a questa pagina http://slacksite.com/other/ftp.html e in particolare al grafico delle connessioni:

    io apro la porta 20 sul firewall (del server 2012 che fa da router anche) ma lui che ne sa che il pacchetto che viene dal server ftp remoto deve andare alla macchina 192.168.1.97, che ha avviato la connessione?

    il link che hai postato spiega molto bene il funzionamento, ovviamente l'ip del client da cui è partita la richiesta è scritto nell'header del pacchetto trasmesso al primo get

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 17 gennaio 2014 10:20
    Moderatore
  • ciao e grazie.

    ftp.exe l'ho usato senza specificare la modalità passiva, quindi direi che funziona in modalità attiva.

    ho provato a disabilitare anche la voce 'utilizza ftp passivo' in IE dei client, ma non sembrava cambiare niente.

    riproverò, non sono sicuro di avere riavviato ie dopo la modifica.

    grazie

    ciao

    diego

    venerdì 17 gennaio 2014 14:47
  • Ricorda comunque anche di attivare in Internet Explorer l'impostazione "Attiva la visualizzazione cartella per i siti FTP" altrimenti verrà utilizzato comunque l'FTP passivo.
    venerdì 17 gennaio 2014 14:51
    Moderatore