Как сделать доступным FTP сервер за NAT+Cloud Mikrotik и за NAT провайдера с динамическим IP?

Question

[Станислав]

Такая ситуация.

Есть интернет провайдер с выдачей динамических ip-адресов и подключением по PPPoE.
Есть роутер Mikrotik с включенной на нем службой IP/Cloud.
Есть NAS Dlink327 с включенным на нем ftp.

Задача: сделать доступным ftp-сервер из интернета.

Мой порядок действий такой. Сначала создаю в IP/Firewall/NAT правило, которое пробрасывает для внешних подключений (chain: dstnat, in.interface: my_pppoe, action: netmap) 20021 порт на 21 порт NAS.
После этого из внешнего интернета подключение начинает создаваться (client: Filezilla, host: xxx.sn.mynetname.net, port: 20021) :

Статус: Соединяюсь с my_ip:21...
Статус: Соединение установлено, ожидание приглашения...
Ошибка: Невозможно подключиться к серверу

Однако, так как в пассивном режиме, а мой клиент работает именно в нем, клиент еще должен подключиться и для передачи данных по порту, который ему укажет сервер из диапазона 55536-55663, подключение до конца не устанавливается, насколько я понимаю.
Не вопрос, пробую создать правило для входящих соединений с настройками chain: dstnat, in.interface: my_pppoe, action: netmap и открытыми 55536-55663 портами, но в итоге получаю все тот же лог, что и выше.

Что делать, как быть? Пробовал читать аналогичные темы в интернете, но ответа на свой вопрос не нашел. Пробовал в FTP-сервере поставить галку на "Report external IP in PASV mode" и указать там мой динамический ip, который получается у провайдера, но это тоже не помогло, да и вряд ли это верный путь, так как он изменится в любой момент и каждый раз его менять в настройках не вариант.

Answer 1

[Сергей]

и тут я с тупым вопросом чучуть не в тему .а почему собственно фтп?

Comments

[Станислав]

Это как факультатив - вспомнить, что и как, а заодно исправить какие-то ошибки в настройке, если таковые имеются. Ну и всяко удобнее кому-то помимо меня дать доступ к ftp, а не к vpn.

[Станислав]

Да, опять же - с пользователями рулить проще.

[Сергей]

то есть жесткой необходимости брать самый капризный протокол и не было?)

[Станислав]

Сергей: может быть, мне хотелось немного секса... Кажется, не туда пишу.

[Станислав]

Тем не менее, может быть посмотрите, что выше я мог не так сделать, или подскажете в чем может быть проблема? Потому что не работает именно ftp, тут даже не в роутере скорее всего дело, а в кривых руках разработчиков dlink.

Answer 2

[nimbo]

если на mikrotik белый динамический ip, то просто открыть ещё один минимум порт - 20.
Порт/ID: 21/TCP для команд, 20/TCP для данных, 49152-65534/TCP динамически
подробнее тут: https://ru.wikipedia.org/wiki/FTP
если вы у провайдера за nat'ом сидите - либо VPN, либо покупать у провайдера белый айпишник (статический или нет - сами с ними решайте).

Comments

[Станислав]

Да, спасибо. Я на самом деле еще рассматриваю вариант с просто поднятым vpn на роутере, тем более что это уже все работает, просто пока что не хочется переходить на него - более сложный вариант в использовании потом будет.

[nimbo]

Станислав: с vpn всё проще. просто один раз маршрутизацию надо настроить но это просто при использовании MikroTik. плюс в том что вы не привязаны к каналу данных. я, например, арендую VPS в германии и в любом случае имею связь со своими сайтами - нет основного если канала, то точно есть 3g\4g.

[Станислав]

nimbo: да тут такое дело, что сервера у меня в другом месте совершенно, и там все давно как часы работает, а то что я тут пытаюсь сделать - это домашняя сеть с роутером и насом за ним, сделать ее доступной из интернета - это приятная опция при работе вне дома - скачать там что-то с домашнего сервера, закачать, в общем чувствовать себя как дома. Самый простой вариант - например нужен дистрибутив какого-то софта или же архив фотографий, которые хочется скачать из внешнего интернета, находясь вне дома.

[nimbo]

Станислав: тогда например ovpn на 443 порту. у меня так работает и yota и со всякими гостинничными wi-fi сетями где пытаются отрезать порты все. здесь не придётся никаких портов открывать лишних - это раз, и плюс у вас доп защиты в виде впн-авторизации - это два.