FTP mit TLS und FritzBox

    Hallo, ich bin hier am verzeifeln. Ich finde keine Möglichkeit per sicherer FTP Verbindung auf den QNAP zuzugreifen.


    Im QNAP habe ich folgendes eingestellt:


    - FTP mit SSL/TLS explizit
    - Unicode Unterstützung -> Ja
    - Passiver FTP Portbereich -> 55536 - 55559


    In der Fritzbox habe ich eine Portweiterleitung für
    - Port 21
    - Port 55536 bis 55559


    FileZilla gibt folgende Fehlermeldung:


    - Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
    - Zeitüberschreitung der Verbindung
    - Verzeichnisinhalt konnte nicht empfangen werden


    Hat jemand eine Idee?

    Versuche es doch per VPN. Das erhoeht die Sicherheit. Dann musst du auch nicht mehr zwingend TLS/SSL beim FTP verwenden.

    Danke, aber das ist nicht nur für mich. Ich kann nicht überall eine VPN Verbindung einrichten. Zudem ist das ja auch nicht unbedingt einfach.


    Es muss doch auch irgendwie per FTP und halbwegs sicher möglich sein.

    Funktioniert es denn ueberhaupt von aussen, wenn du die Verschluesselung deaktivierst?

    Ja, das klappt prima.


    PS: In anderen Threads zu älteren QNAPs stand, dass TLS nur für den Adminaccount funktioniert und nicht für die anderen Benutzer. Ist das aktuell bei der FW 4.1 auch noch so?

    Hallo,


    ich habe es mal getestet und einen User "test" eingerichtet. Dieser konnte sich per FTP sowohl mit SSL, als auch mit TLS problemlos anmelden.
    Also kann das mit nur Adminaccount nicht mehr der Fall sein.

    Prima, dann sollte das Problem irgendwo bei den Portweiterleitungen liegen, oder?

    Ja, da sollte es liegen. Nur wo, kann ich dir jetzt leider auch nicht sagen.
    Leitest du denn immer TCP weiter?

    Ja, hab auch verschiedene Varianten durchprobiert. Also nur Port 21, oder 20-22 und zur Ergänzung die vorgeschlagenen passiven Ports. Klappt wie gesagt nicht mit Verschlüsselung, nur unverschlüsselt.

    Hat niemand sonst eine Idee? Wundert mich eigentlich. Die Fritzbox ist doch sehr weit verbreitet. Nutzen die Leute alle nur unverschlüsseltes FTP um von außen auf den QNAP zuzugreifen? :shock:

    Zitat von "NM78"

    Nutzen die Leute alle nur unverschlüsseltes FTP um von außen auf den QNAP zuzugreifen? :shock:


    Nein! Die Leute, die wichtige Daten auf ihrem NAS haben, verwenden ein VPN für den Zugriff.
    Daher können wahrscheinlich auch die Wenigsten das Problem nachvollziehen.
    Ganz egal, was Du am FTP herumfrickelst, es wird niemals sicher genug sein. Auch ich würde Dir zu VPN raten.


    Ansonsten:
    Die Ports 20 & 21 sollten weitergeleitet sein. Vielleicht hilft das Rücksetzen des Zertifikats.


    LG

    Wo finde ich mehr Infos zum Thema VPN und QNAP? Bisher konnte ich immer nur diese Lösung finden, bei der sich der Server mit Serven der Firma QNAP verbindet. Für sicherer halte ich das allerdings nun auch wieder nicht. Gibt es da eine andere Lösung?

    Hi,


    schreib mal bitte die Firmwarestände auf QNAP, Fritzboxtyp / FW und Filezilla Version.


    Bevor du von "außen" das ganze versuchst, teste erst mal ob es "Netzintern" funktioniert. Dann wissen wir wenigstens wo wir suchen müssen.


    Ich habe diese Konfig genau so fehlerfrei am laufen.


    VPN ist sicherlich der sinnvollere Weg, geht aber in der Regel nicht wenn du in einem anderen Firmennetzwerk sitzt ( Firewall ). Hier muss oft gebastelt werden und man muss wissen über welche Ports man rauskommt.


    Grüße


    Hormswoggle

    Hallo, intern im Netzwerk funktioniert es ohne Probleme per TLS verschlüsselt (von außen nur unverschlüsselt).


    Filezilla 3.10.1.1
    FritzBox 7390 mit Fritz!OS 06.23
    QNAP TS-469 Pro mit 4.1.2


    Also eigentlich alles auf dem aktuellen Stand, oder?


    Die Nutzung von außen erfolgt nur von anderen Firmen aus und erfolgt durch Leute, die sich nicht mit Ports usw. auskennen, sondern einfach nur irgendwie auf Ihre Daten zugreifen wollen. Und das muss natürlich halbwegs sicher geschehen und nicht von vornherein gleich unverschlüsselt...

    Hi,


    super dann stimmt ja an der Qnap soweit alles. Firmwarstände etc. ist auch alles ok.


    So jetzt teste bitte mal den nächsten Schritt:


    - Du befindest Dich in deinem "Home Netz" und versuchst die FTPS Verbindung über extern... > z. B.: deindns.no-ip.org ( FTP Client steht auf passive )


    Wenn das geht , arbeitet auch die Fritzbox korrekt.


    hilfreich ist auch das hier:
    http://www.ipv4security.com/packet_flow/ftp_over_ssl.html


    Grüße
    Hornswoggle


    --- ModEdit ---


    ...


    noch checken das :


    FTP > Advanced > "kein Haken gesetzt ist bei" > Respond with external IP ........


    Grüß

    Einmal editiert, zuletzt von TobiasK () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln! Bitte den "Ändern"-Button benutzen.

    Zitat von "hornswoggle"

    ...
    noch checken das :
    FTP > Advanced > "kein Haken gesetzt ist bei" > Respond with external IP ........
    Grüße


    Das war schon so eingestellt. Hatte das früher auch schon erfolglos anders versucht.


    Zitat von "hornswoggle"

    Hi,
    So jetzt teste bitte mal den nächsten Schritt:
    - Du befindest Dich in deinem "Home Netz" und versuchst die FTPS Verbindung über extern... > z. B.: deindns.no-ip.org ( FTP Client steht auf passive )


    Genau, das funktioniert leider nicht bzw. nur unverschlüsselt.


    Filezilla listet die Verzeichnisse einfach nicht auf, im Log steht dann nur:


    Zitat


    Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
    MLSD
    Zeitüberschreitung der Verbindung
    Verzeichnisinhalt konnte nicht empfangen werden


    Ich weiß leider nicht, wie ich den Fehler weiter eingrenzen soll. Ich habe noch einige andere Systeme im Intranet, die ebenfalls FTP nutzen, deswegen habe ich im QNAP testweise auch andere FTP Ports einstellt und in der Fritzbox weitergeleitet, ebenso wie die passiven Ports. Das hat allerdings auch nichts gebracht.


    PS: Vielen Dank auf jeden Fall, für die freundliche Hilfe bei der Fehlereingrenzung!



    --- ModEdit ---


    OMG jetzt geht es. Ich habe im QNAP das Häkchen bei "FTP mit SSL/TLS (explizit)" entfernt. Seither klappt es wie gewünscht.


    Anscheinend habe ich die Funktion dieser Option nicht richtig verstanden. Ich dachte immer die muss aktiviert sein, damit ich
    TLS nutzen kann. Aber offensichtlich ist es genau anders herum.


    Vielen Dank für Eure Hilfe!


    :)


    EDIT: Kommando zurück, es geht doch nicht verschlüsselt. Filezilla schreibt im Log "Unsicherer Server; er unterstützt kein FTP über TLS.".


    Und nun?


    :?:

    Einmal editiert, zuletzt von TobiasK () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln! Bitte den "Ändern"-Button benutzen.

    ok. Da seh ich gerade was:


    Qnap > FTP > Advanced > Passive Port Range > auf "default" stellen



    Fritzbox:


    Weiterleitung auf folgendes > 55536 bis 56559 (TCP)


    Ich "meine mich zu erinnern", das die Werte von dir bei mir auch nicht gingen.


    Check it out ;)

    Mit dieser Einstellung meldet Filezilla nur:


    Zitat


    Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.

    Schick mir mal per PN die Einstellungen (screenshot) :


    Netzwerkfreigaben der Fritzbox


    QNAP > FTP Einstellungen (alle Kacheln)


    Grüße

    Falls mal jemand mit einem ähnlichen Problem die Lösung sucht:


    Ich habe den Fehler anscheinend nun wirklich gefunden. Ich hatte einen Tippfehler in den Portweiterleitungen der Fritzbox. Anstatt von 55536-56559 hatte ich nur eine Weiterleitung von 55536-55559 eingerichtet. Da fehlten also noch einige Ports.