ubuntuusers.de

ftp: connection refused

Status: Ungelöst | Ubuntu-Version: Ubuntu 24.04 (Noble Numbat)
Antworten |

AugustQ

Anmeldungsdatum:
24. Oktober 2007

Beiträge: 765

Hi,

beim Zugriff auf meinen Server bekomme ich immer die Meldung: connection refused.

Server: RasPi 4 mit Ubuntu 22.04

Vorbemerkung: ich verwende hier als Beispiel ftp, möchte aber keine Diskussion über (un)Sinn von ftp lostreten. Normalerweise verwende ich ssh, aber ich dachte, mit einem einfachen Programm testet es sich besser.

Ziel: ich bin angeschlossen via Vodafone/Unitymedia, also in einem IPv6-Netzwerk. Wie kann ich von "aussen" auf meinen Server zugreifen?

Weg Nr 1: bei dynv6.com habe ich eine Subdomain eingetragen: xxxx.dynv6.net. Name und AAAA-record habe ich eingetragen, aber keine IPv4-Adresse (da nicht vorhanden). Damit komme ich auf meinen Server drauf, aber nur innerhalb meines lokalen Netzes.

Weg Nr 2: ich fand diese Beschreibung: https://www.datamate.org/aus-ipv4-in-ipv6-serverzugriff-aus-dem-mobilfunknetz/ Also habe ich auch bei feste-ip.net eine Subdomain eingetragen. Bei Zugriff via ftp darauf erhalte ich die Meldung: connection refused bzw. Verbindungsaufbau abgelehnt

Tests: mit ping:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
august@MINIPC:~$ ping -c1 192.168.0.12
PING 192.168.0.12 (192.168.0.12) 56(84) bytes of data.
64 bytes from 192.168.0.12: icmp_seq=1 ttl=64 time=0.234 ms

--- 192.168.0.12 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.234/0.234/0.234/0.000 ms
august@MINIPC:~$ ping -c1 xxx.dynv6.net
PING xxx.dynv6.net (2a02:908:1995:fb20:dea6:32ff:feea:42b5) 56 data bytes
64 bytes from 2a02:908:1995:fb20:dea6:32ff:feea:42b5: icmp_seq=1 ttl=64 time=0.281 ms

--- xxxx.dynv6.net ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.281/0.281/0.281/0.000 ms
august@MINIPC:~$ ping -c1 xxxxx.feste-ip.net
PING fr1.portmap64.net (185.248.148.15) 56(84) bytes of data.
64 bytes from 185.248.148.15: icmp_seq=1 ttl=59 time=27.0 ms

--- fr1.portmap64.net ping statistics ---
1 packets transmitted, 1 received, 0% packeCodet loss, time 0ms
rtt min/avg/max/mdev = 27.031/27.031/27.031/0.000 ms
august@MINIPC:~$ 

Alle 3 Möglichkeiten gehen (im lokalen Netz), der Server ist also erreichbar.

Tests mit ftp, Kontrolle via /var/log/vsftpd.log:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
Kontrolle auf dem Server: sudo tail -f /var/log/vsftpd.log

Zugriff vom Client via: ftp 192.168.0.12
im log:
Thu Oct 31 14:27:00 2024 [pid 108995] CONNECT: Client "::ffff:192.168.0.31"
Thu Oct 31 14:27:30 2024 [pid 109002] CONNECT: Client "::ffff:192.168.0.31"

--------

Zugriff vom Client: ftp xxxx.dynv6.net
im log: 
Thu Oct 31 14:27:47 2024 [pid 109004] CONNECT: Client "2a02:908:1995:fb20:76f9:b6fe:29aa:5d5c"

--------

Zugriff vom Client: ftp xxxxx.feste-ip.net
nichts im log
auf der client-Seite:
ftp xxxxx.feste-ip.net
ftp: Can't connect to `185.248.148.15:21': Verbindungsaufbau abgelehnt
ftp: Can't connect to `xxxxx.feste-ip.net:ftp'
ftp> ^D

Ich bitte um einen Tip, was hier fehlt oder falsch ist. Oder geht dieser Weg überhaupt?

Schönen Gruß AugustQ

PS: gibt es einen besseren Weg, von "aussen" auf den Server zuzugreifen?

micneu

Avatar von micneu

Anmeldungsdatum:
19. Januar 2021

Beiträge: 763

Wohnort: Hamburg

Du willst eine einfache Lösung dann nimm SSH / sftp. Wir sind in der Firma von ftp auf sftp umgezogen, ftp ist NICHT einfach.

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18199

Wohnort: in deinem Browser, hier auf dem Bildschirm

Auf dem Server:

ss -tl

Ist eine Firewall auf dem Server aktiv?

Wenn du von außen kommst:

sudo traceroute -T -p 21 <IP>

Das muss bis zum Server durchgehen.

AugustQ

(Themenstarter)

Anmeldungsdatum:
24. Oktober 2007

Beiträge: 765

micneu schrieb:

Du willst eine einfache Lösung dann nimm SSH / sftp. Wir sind in der Firma von ftp auf sftp umgezogen, ftp ist NICHT einfach.

Hi,

ich wollte keine Diskussion über Sinn/Unsinn von ftp.

Ich verwende hier ssh und sftp, aber da ich Probleme hatte mit dem Zugang, bin ich auf eine einfachere Software ausgewichen. Sobald es läuft werde ich wieder sftp und ssh verwenden.

AugustQ

AugustQ

(Themenstarter)

Anmeldungsdatum:
24. Oktober 2007

Beiträge: 765

@DJKUhpisse

Teil 1:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
august@RasPi4AQ:~$ ss -tl
State   Recv-Q  Send-Q     Local Address:Port       Peer Address:Port  Process  
LISTEN  0       4096          127.0.0.54:domain          0.0.0.0:*              
LISTEN  0       100              0.0.0.0:smtp            0.0.0.0:*              
LISTEN  0       4096       127.0.0.53%lo:domain          0.0.0.0:*              
LISTEN  0       100                 [::]:smtp               [::]:*              
LISTEN  0       4096                   *:ssh                   *:*              
LISTEN  0       32                     *:ftp                   *:*              
august@RasPi4AQ:~$ 

Teil 2 folgt.

AugustQ

(Themenstarter)

Anmeldungsdatum:
24. Oktober 2007

Beiträge: 765

jetzt von "aussen": Teil 2:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
august@Notebook:~$ ping xxxx.feste-ip.net
PING fr1.portmap64.net (185.248.148.15) 56(84) bytes of data.
64 bytes from 185.248.148.15: icmp_seq=1 ttl=56 time=84.8 ms
64 bytes from 185.248.148.15: icmp_seq=2 ttl=56 time=170 ms
64 bytes from 185.248.148.15: icmp_seq=3 ttl=56 time=71.0 ms
^C
--- fr1.portmap64.net ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 70.999/108.480/169.611/43.593 ms
august@Notebook:

ping auf den Server funktioniert. Jetzt mal traceroute:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
august@Notebook:~$ sudo traceroute -T -p 21 xxxx.feste-ip.net
[sudo] Passwort für august: 
traceroute to xxxx.feste-ip.net (185.248.148.15), 30 hops max, 60 byte packets
 1  _gateway (192.168.30.195)  11.159 ms  3.170 ms  11.077 ms
 2  10.0.80.195 (10.0.80.195)  80.357 ms  80.329 ms 10.0.80.194 (10.0.80.194)  80.302 ms
 3  * 10.81.102.69 (10.81.102.69)  80.244 ms  80.132 ms
 4  10.81.85.22 (10.81.85.22)  80.093 ms * *
 5  irb-500.0005.inrx.02.fra.de.net.telefonica.de (62.53.236.114)  80.159 ms * *
 6  bundle-ether1.0002.corp.02.fra.de.net.telefonica.de (62.53.10.51)  81.142 ms * *
 7  fra1.mx240.ae6.de-cix.as48314.net (80.81.194.175)  62.145 ms * *
 8  fra1.cc.as48314.net (194.45.196.22)  81.118 ms !X * *
august@Notebook:~$ 

ftp (oder ssh) geht nicht, wie gehabt.

shiro Team-Icon

Supporter

Anmeldungsdatum:
20. Juli 2020

Beiträge: 1249

Hmm... Ich würde deinen Server nicht so offen ins Internet stellen. Aber das musst du ja wissen. Oder handelt es sich um einen primitiven "honypot"?

Der Grund, warum "ftp" nicht funktioniert ist, weil du die Ports (z.B. 20,21 usw) nicht geöffnet hast. Du hast ja den HTTP Port (80) und SMB (139) geöffnet. Darüber gewährst du der Welt ja den Zugriff auf deinen Rechner und deine Daten. Anbei eine kleine Übersicht deiner ins Internet geöffneten Ports:

$ nmap -A -T4 185.248.148.15
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-01 15:20 CET
Nmap scan report for 185.248.148.15
Host is up (0.022s latency).
Not shown: 970 closed tcp ports (conn-refused)
PORT      STATE    SERVICE      VERSION
53/tcp    open     tcpwrapped
80/tcp    open     http         nginx
|_http-title: Portmapper.DE
|_http-server-header: Feste-IP.Net
111/tcp   open     rpcbind      2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|_  100000  3,4          111/udp6  rpcbind
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn
443/tcp   open     ssl/http     nginx
|_http-server-header: Feste-IP.Net
|_http-title: Portmapper.DE
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=de3.portmap64.net/organizationName=COSIMO/stateOrProvinceName=Frankfurt/countryName=DE
| Not valid before: 2017-04-19T11:07:32
|_Not valid after:  2027-04-17T11:07:32
| tls-nextprotoneg: 
|_  http/1.1
445/tcp   filtered microsoft-ds
10003/tcp open     ssl/http     nginx
| http-robots.txt: 1 disallowed entry 
|_/
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=andidshome.synology.me
| Subject Alternative Name: DNS:*.andidshome.synology.me, DNS:andidshome.synology.me
| Not valid before: 2024-09-17T07:15:41
|_Not valid after:  2024-12-16T07:15:40
|_http-title: 400 The plain HTTP request was sent to HTTPS port
10009/tcp open     tcpwrapped
10082/tcp open     amandaidx?
10778/tcp open     http         nginx
| http-robots.txt: 1 disallowed entry 
|_/
|_http-title: VDSM&nbsp;-&nbsp;Synology&nbsp;VirtualDSM
11111/tcp open     ssh          OpenSSH 8.4p1 Raspbian 5+deb11u3 (protocol 2.0)
| ssh-hostkey: 
|   2048 6e:22:f7:49:22:33:c7:17:8a:a3:98:55:12:df:f8:7a (RSA)
|_  256 ff:a2:5f:54:f0:55:b9:91:d9:99:89:c6:64:df:83:d2 (ECDSA)
12000/tcp open     tcpwrapped
12345/tcp open     tcpwrapped
16001/tcp open     tcpwrapped
19801/tcp open     http         Mobotix Camera http config
| http-title:  Error 401: Unauthorized access
|_Requested resource was /control/userimage.html
| http-auth: 
| HTTP/1.1 401 Unauthorized\x0D
|   Basic realm=MOBOTIX Camera User
|_  Digest qop=auth algorithm=MD5 realm=MOBOTIX Camera User nonce=000021inmbmejiefkgodhkaabhjcbleipiafmm stale=false
30000/tcp open     tcpwrapped
31337/tcp open     Elite?
32768/tcp open     ssl/http     ZyXEL ZyWALL http config
|_http-title: USG FLEX 50W (USG20W-VPN)
| ssl-cert: Subject: commonName=usg20w-vpn_BCCF4FF0D4AE
| Subject Alternative Name: othername: UPN::usg20w-vpn_BCCF4FF0D4AE, email:usg20w-vpn_BCCF4FF0D4AE
| Not valid before: 2021-03-11T09:33:30
|_Not valid after:  2031-03-09T09:33:30
|_ssl-date: TLS randomness does not represent time
32770/tcp open     tcpwrapped
32771/tcp open     http         Node.js Express framework
| http-title: Anmelden - Overseerr
|_Requested resource was /login
|_http-trane-info: Problem with XML parsing of /evox/about
32773/tcp open     http         CherryPy wsgiserver
|_http-server-header: CherryPy/18.10.0
| http-title: Tautulli - Login
|_Requested resource was http://185.248.148.15:32773/auth/login?redirect_uri=/
49152/tcp open     tcpwrapped
49165/tcp open     unknown
50000/tcp open     tcpwrapped
50001/tcp open     tcpwrapped
50002/tcp open     tcpwrapped
50003/tcp open     tcpwrapped
54328/tcp open     http         Golang net/http server (Go-IPFS json-rpc or InfluxDB API)
|_http-title: Site doesn't have a title (text/plain; charset=utf-8).
55555/tcp open     tcpwrapped
Service Info: OS: Linux; Devices: webcam, security-misc; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 182.49 seconds
$ 

AugustQ

(Themenstarter)

Anmeldungsdatum:
24. Oktober 2007

Beiträge: 765

@shiro

wenn die entsprechenden Ports nicht geöffnet sind, wieso komme ich dann per ftp, sftp, ssh im lokalen Netz auf den Server?

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 9630

Wohnort: Münster

AugustQ schrieb:

[…] ich bin angeschlossen via Vodafone/Unitymedia, also in einem IPv6-Netzwerk.

Wenn Du das schon weist, warum testest Du mit IPv4?

Wie kann ich von "aussen" auf meinen Server zugreifen?

Vielleicht per IPv6, garantiert nicht per IPv4.

Du musst die IPv6-Adresse des Servers, nicht die des Routers, im Dynamischen DNS eintragen und aktuell halten.

Ein SSH-Server ist einfacher zu konfigurieren als ein FTP-Server.

shiro Team-Icon

Supporter

Anmeldungsdatum:
20. Juli 2020

Beiträge: 1249

wenn die entsprechenden Ports nicht geöffnet sind, wieso komme ich dann per ftp, sftp, ssh im lokalen Netz auf den Server?

Ich kenne deine Infrastruktur nicht. Aber normalerweise trennt man das lokales Netz vom Internet über einen Router (z.B. mit Firewall), der dann den Request aus dem Internet auf den lokalen Router weiter leitet. Was du da getan hast, müsstest du am Besten wissen.

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18199

Wohnort: in deinem Browser, hier auf dem Bildschirm

Teste mit IPv6, bei traceroute also noch ein -6 dazu.

Antworten |