ftp via SSL

    Guten Abend
    Ich habe folgendes Problem:
    normale ftp Verbindung kein Problem, ich sehe mit filezilla alle freigegeben Verzeichnisse.
    Sobald ich eine ftp ssl Verbindung herstelle erhalte ich nach erfolgreicher Verbindung folgende Meldung nach dem LIST Befehl:
    Im filezilla: Zeitüberschreitung in der Verbindung
    Beim Test mit http://www.g6ftpserver.com/de/ftptest:


    * About to connect() to xxx.dyndns.tv port 21
    * Trying 84.xxx.113.xxx... connected
    * Connected to xxx.dyndns.tv (84.xxx.113.xxx) port 21
    < 220 NASFTPD Turbo station 2.x 1.3.1rc2 Server (ProFTPD) [192.168.0.3]


    > AUTH SSL
    < 234 AUTH SSL successful
    * successfully set certificate verify locations:
    * CAfile: d:\www-bin\curl\curl-ca-bundle.crt
    CApath: none
    * SSLv3, TLS handshake, Client hello (1):
    SSLv3, TLS handshake, Server hello (2):
    SSLv3, TLS handshake, CERT (11):
    SSLv3, TLS handshake, Server key exchange (12):
    SSLv3, TLS handshake, Server finished (14):
    SSLv3, TLS handshake, Client key exchange (16):
    SSLv3, TLS change cipher, Client hello (1):
    SSLv3, TLS handshake, Finished (20):
    SSLv3, TLS change cipher, Client hello (1):
    SSLv3, TLS handshake, Finished (20):
    SSL connection using DHE-RSA-AES256-SHA
    * Server certificate:
    * subject: /C=TW/ST=Taiwan/L=Taipei/O=QNAP Ltd./OU=Storage/CN=TS Series NAS
    * start date: 2000-01-10 22:06:34 GMT
    * expire date: 2010-01-07 22:06:34 GMT
    * common name: TS Series NAS (does not match 'xxx.dyndns.tv')
    * issuer: /C=TW/ST=R.O.C/L=Taipei/O=QNAP Ltd/OU=Storage/CN=TS Series NAS
    * SSL certificate verify result: error number 1 (19), continuing anyway.


    > USER admin
    < 331 Password required for admin


    > PASS *****
    < 230 User admin logged in


    > PBSZ 0
    < 200 PBSZ 0 successful


    > PROT P
    < 200 Protection set to Private


    > PWD
    < 257 "/" is the current directory
    * Entry path is '/'


    > CLNT Testing from http://www.g6ftpserver.com/ftptest from IP 84.226.113.255
    < 500 CLNT not understood
    * QUOT command failed with 500
    * Connection #0 to host xxx.dyndns.tv left intact


    * Closing connection #0
    * SSLv3, TLS alert, Client hello (1):


    Ich denke, dass ich einen Anfängerfehler mache!


    Besten Dank für jegliche Hilfe! :roll:

    Hallo,


    als erstes würde ich den Haken bei [X] FTP (standard) entfernen. Nicht das es das Problem behebt, aber macht für mich mehr Sinn wenn SSL gewüncht ist auch nur dieses zu erlauben.
    Dann den Haken bei [X] Mit externer IP-Adresse auf passive FTP-Verbindungsanfrage reagieren entfernen. Wieso ist dieser überhaupt gesetzt bei fehlender IP? Doch auch das scheint nicht störend zu wirken.


    Ich kann mich entsinnen auch mit einer älteren Filezillaversion Probleme gehabt zu haben. Dazu findet man das über google http://nachtrab.de/2007/08/28/…lient-v22xx-explicit-tls/ also bitte nachsehen welche Version vorliegt. Ich hab es mit der 3.0.11 getestet und es geht prima mit diesen Einstellungen:


    - Port 21 auf das NAS weiterleiten
    - FTP with SSL/TLS (Explicit) aktiviert
    - Filezilla Servertyp FTPES - FTP für Explizit TLS/SSL


    Ftp mit SSL/TLS anhand des Beispiels Filezilla!


    Grüße
    Christian

    Zitat von "christian"

    ...Dann den Haken bei [X] Mit externer IP-Adresse auf passive FTP-Verbindungsanfrage reagieren entfernen. Wieso ist dieser überhaupt gesetzt bei fehlender IP? Doch auch das scheint nicht störend zu wirken. ...


    Den Haken hab ich bei mir auch und nur so gings bei mir damals und geht auch heute noch. Ob "nur" weis ich nicht, hab ich nie mehr geändert.
    Im engl. Forum hat dann jemand von QNAP geantwortet, das das richtig sei, weil ohne eingesetzte IP-Adresse würde das NAS dann mit der Internet-IP des Routers antworten. Wieweit da jetzt der DDNS-Dienst mit eine Rolle spielt ? Bei mir ist DDNS jedenfalls aus, das macht bei mr auch der Router.



    VG,
    Lutz

    Zitat von "christian"

    ...hier gehts auch ohne.
    Christian


    Hallo Christian,


    ich hab das jetzt mal bei mir ausprobiert :
    FileZilla 3.0.5.2 geht mit und ohne " Respond with external IP address ..."
    Allerdings steht bei "ohne" im Log :

    Code
    ...
Antwort:	200 Type set to I
Befehl:	PASV
Antwort:	227 Entering Passive Mode (192,168,xxx,yyy,216,242).
Status:	Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
Befehl:	LIST
...


    Wobei 192,168,xxx,yyy natürlich der internen IP meines NAS entspricht.


    IE7&DateiExplorer geht nur "mit". "Ohne" kommt noch die Passwortabfrage, dann nach einiger Zeit ein TimeOut.
    Jeweils über die dyndns-Adresse getestet. Kein Standard-Port verwendet.


    Fazit : Bei FTP kommt es wohl immer auf die Client-SW an :(


    EDIT


    VG,
    Lutz


    ... und zum Thema SSL :


    Hier kenne ich mich nun gar nicht aus.
    Aber von den 3 Verbindungsarten die mir FileZilla anbietet geht bei mir nur "FTP durch explizites TSL/SSH"
    Wobei mein Log "natürlich" völlig anders ausssieht als das von pnocera :( :roll:



    VG,
    Lutz

    Einmal editiert, zuletzt von christian () aus folgendem Grund: Doppelte Beiträge vermeiden! siehe Foren Regel.

    Hallo Lodin und Christian


    Besten Dank für Euer feedback.
    Christian: Wenn ich das Kreuz bei "mit externer IP-Adresse auf passive...." nicht anklicke (ohne IP), dann kriege ich folgende Meldung:
    ...
    Status: Empfange Verzeichnisinhalt...
    Befehl: PWD
    Antwort: 257 "/" is the current directory
    Befehl: TYPE I
    Antwort: 200 Type set to I
    Befehl: PASV
    Antwort: 227 Entering Passive Mode (192,168,0,3,219,10).
    Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
    Befehl: LIST
    ...


    Wenn ich das Kreuz setze dann erscheint:
    ...
    Status: Empfange Verzeichnisinhalt...
    Befehl: PWD
    Antwort: 257 "/" is the current directory
    Befehl: TYPE I
    Antwort: 200 Type set to I
    Befehl: PASV
    Antwort: 227 Entering Passive Mode (192,168,0,3,219,10).
    Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
    Befehl: LIST
    Fehler: Zeitüberschreitung der Verbindung
    Fehler: Verzeichnisinhalt konnte nicht empfangen werden



    Es ist meiner Meinung nach schon so wie Lodin sagt, dass das Kreuz gesetzt werden muss. Allerdings erscheint mir nach wie vor keine Verzeichnis im Filezilla mit ftp SSL, mit normalem ftp gehts. Mit dem NAS bin ich ja offenbar erfolgreich verbunden. Ich habe mal irgendwo gelesen, dass SSL zwingend den Port 433 od. 443 braucht, stimmt das? Wenn ja, müsste man wohl diesen Port bei der Firewall ebenfalls öffnen, oder?

    Hallo Ihr zwei,


    in der Tat kommt bei einem entfernten Haken im Filezilla die obene erwähnte Meldung, dennoch kann ich mich verbinden und Dateien hin und her kopieren. Da Filezilla nicht mein Standard Ftp Programm ist ... naja egal. Wenn ich allerdings im WsFtp (Ftp Programm) eine Verbindung mit dem NAS erstelle gibt es diese Meldung oder eine ähnlich nicht.



    Im Router ist auch nur der Port 21 auf das Nas weitergeleitet.



    Christian


    Edit:


    Was tut sich wenn du die Ports (21, 55536-56559 & 443) in Richtung NAS freigibst? Eventuell ist es auch Router abhängig was mich aber schon wundert :?

    Hallo Christian


    Das glaubst Du nicht, nach dem Öffnen der von Dir besagten Ports sieht der log folgendermassen aus:


    ...
    Status: Verbunden
    Status: Empfange Verzeichnisinhalt...
    Befehl: PWD
    Antwort: 257 "/" is the current directory
    Befehl: TYPE I
    Antwort: 200 Type set to I
    Befehl: PASV
    Antwort: 227 Entering Passive Mode (192,168,0,3,220,73).
    Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
    Befehl: LIST
    Antwort: 150 Opening ASCII mode data connection for file list
    Status: Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
    Fehler: Could not read from transfer socket: ECONNABORTED - Connection aborted
    Antwort: 226 Transfer complete
    Fehler: Verzeichnisinhalt konnte nicht empfangen werden


    Ich denke jetzt fehlt nicht mehr viel......


    P.S. Weiss jemand wie die Einstellungen mit Core ftp für eine explicite ssl Verbindung ist?

    Hallo


    Das Problem ist dank der grosszügigen Hilfe von Christian behoben!
    Mit seiner Hilfe konnten wir das Problem eingrenzen.


    Schlussendlich war das Problem der filezilla selber! Nach einer Neuinstallation funktioniert die ftp SSL Verbindung tadellos.


    Übrigens beim NAS den ganz normalen port 21 freigegeben. Keine Freigabe des Ports 433 nötig.
    Ebenfalls Standard-Port-Wertebereich verwenden (55536 - 56559) und vor allem im Router und/oder Firewall weiterleiten!


    Funktioniert über ADSL wie auch über SWISSCOM unlimited, also keine Beschränkung oder Sperrung von Ports des GSM-Providers!


    :thumb: :thumb: :thumb: :thumb: :thumb: :thumb:
    :thumb: Besten Dank Christian! :thumb:
    :thumb: :thumb: :thumb: :thumb: :thumb: :thumb: