FTPS-Verbindung geht nicht

[scheichkind]

Ich möchte gerne den FTP-Server meiner DS nutzen. Aus Sicherheitsgründen sollte das Einloggen über SSL/TLS verschlüsselt erfolgen. Das Einloggen mit dem TotalCommander über OpenSSL funktioniert auch so weit, allerdings scheitert dann schon die Funktion "LIST", also das Anzeigen des Verzeichnisinhalts ("PORT failed").

Muss ich außer den Standard FTP-Ports (20, 21, 55536-55663) noch weitere freigeben? Was läuft da noch schief? Kann es auch an der Firewall an meinem Arbeitsplatz liegen? Ach ja, ohne SSL/TLS geht FTP (wenn ich es freischalte).

Bin dankbar für alle Tipps!

/EDIT
Falls relevant: Es ist eine DS-107e mit Firmware 2.1-irgendwas

 

[jahlives]

Klappt es denn aus dem LAN? Oder geht das auch nicht?

 

[scheichkind]

Ja, das geht.

 

[Trolli]

Ich kenne den TotalCommander leider nicht. Aber wen normales FTP bei Dir funktioniert, müsste auch FTPES bei Dir funktionieren, da hierbei die Kommunikation über die gleichen Ports erfolgt. Vielleicht kannst Du zum testen zunächst mal ein anderes FTP-Programm (z.B. FileZilla) ausprobieren? Oder Du wartest auf jemanden, der sich mit dem TotalCommander auskennt...

Ein Log-Auszug wäre auch nicht schlecht...

Trolli

 

[scheichkind]

Ich glaube nicht, dass es am TotalCommander liegt. Hab's trotzdem auch mal mit FileZilla probiert. Hier ein Log vom versuchten Verbindungsaufbau:

Status:	Auflösen der IP-Adresse für <DynDNS>
Status:	Verbinde mit <IP>...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 DiskStation FTP server ready.
Befehl:	AUTH TLS
Antwort:	234 AUTH SSL command successful.
Status:	Initialisiere TLS...
Status:	Überprüfe Zertifikat...
Befehl:	USER <username>
Status:	TLS/SSL-Verbindung hergestellt.
Antwort:	331 Password required for <username>.
Befehl:	PASS *******
Antwort:	230 User <username> logged in.
Befehl:	SYST
Antwort:	215 UNIX Type: L8
Befehl:	FEAT
Antwort:	211- Extensions supported:
Antwort:	 AUTH TLS
Antwort:	 PBSZ
Antwort:	 PROT
Antwort:	 SIZE
Antwort:	 MDTM
Antwort:	 REST STREAM
Antwort:	 UTF8
Antwort:	211 End.
Befehl:	OPTS UTF8 ON
Antwort:	200 OK, UTF-8 enabled
Befehl:	PBSZ 0
Antwort:	200 PBSZ command successful (PBSZ=0).
Befehl:	PROT P
Antwort:	200 Protection level set to Private.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	PWD
Antwort:	257 <Dir> is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I.
Befehl:	PASV
Antwort:	227 Entering Passive Mode (<IP>)
Befehl:	LIST
Fehler:	Zeitüberschreitung der Verbindung
Fehler:	Verzeichnisinhalt konnte nicht empfangen werden

 

[jahlives]

Ja, das geht.

Dann heisst das, dass FTPES aus dem LAN funzt und von ausserhalb deines Routers nicht? Kennt die DS denn die aktuelle externe IP Adresse deines Modems? Vermutlich sendet sie die interne IP Adresse an den Client und damit kann man von ausserhalb deines Routers nix anfangen.
Probier mal wie vorgeschlagen FileZilla. Das Teil zeigt den Ablauf der FTP Verbindung sehr detailliert

Hast du hier

Entering Passive Mode (<IP>)

geschaut, dass wirklich deine korrekte externe IP Adresse gemeldet wird?

 

[scheichkind]

Sonst würde er doch sicher nicht (ein paar Zeilen darüber)

Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...

anzeigen.

 

[Trolli]

Die Vermutung von Jalives könnte sehr gut zutreffen. Es gibt im Disk Station Manager im FTP-Bereich die Option "Externe IP im PASV-Modus berichten". Die sollte eingeschaltet sein. Allerdings müssten davon auch unverschlüsselte passiv-FTP-Verbindungen betroffen sein.

Trolli

 

[Trolli]

Sonst würde er doch sicher nicht (ein paar Zeilen darüber)

Status:    Verbunden
Status:    Empfange Verzeichnisinhalt...

anzeigen.

Doch. Das bezieht sich nur auf die Kommandoverbindung (Port 21). Die passive Verbindung wird erst nach "entering passive mode" aufgebaut.

Trolli

 

[jahlives]

Bei FTP Problemen ist es oft der passiv Modus, der sich querlegt. Und der kommt erst weiter unten. Alles vorher läuft im aktiven Modus und der ist kein Problem wenn Port 21 und 22 offen sind. Sobald der passive Modus eingeleitet wird muss der Server an den Client die IP Adresse und den gewünschten Port schicken. V.a. bei Servern hinter Routern kommt es sehr häufig vor, dass dabei die interne IP (z.B. 192.168.x.x) gesendet wird. Der Client von ausserhalb kann mit dieser nix anfangen und darum scheitert dann die Verbindung.
Der passive Modus wird hier

Befehl: PASV
Antwort: 227 Entering Passive Mode (<IP>)
Befehl: LIST

eingeleitet und gleich darauf reisst die Verbidung ja ab. Das ist ein starkes Indiz für eine falsche IP Adresse

 

[scheichkind]

Die Option "Externe IP im PASV-Modus berichten" ist eingeschaltet. Unverschlüsseltes Anonymous-FTP geht auch von extern ohne Probleme.

Die IP hinter "Entering passive mode" ist jedenfalls die gleiche wie in der Kommandoverbindung. Die Angabe ist aber kommagetrennt ("213,x,x,x,x,x" -> +2 weitere Stellen, ist das IPv6???).

 

[Trolli]

Nein, das ist der benutzte Port: 1.Stelle * 256 + 2.Stelle

PS: Anonymous FTP heißt nicht unbedingt passiv FTP.

 

[scheichkind]

Ah, ok. Hab nachgerechnet, es ist einer der geöffneten Passiv-FTP Ports.

 

[scheichkind]

PS: Anonymous FTP heißt nicht unbedingt passiv FTP.

Egal ob ich im TotalCommander explizit "Passiven Modus für Transfers benutzen" anwähle oder nicht, mit Anonymous-FTP funktioniert es immer.

/EDIT:
Umgekehrt geht es über FTPES auch nicht bei explizit aktivem Transfer (FileZilla)...

 

[scheichkind]

So, da ich jetzt wieder zu Hause bin, habe ich nochmal genau nachgeschaut.

Hier die FTP-Einstellungen meiner DS:

Außerdem habe ich auch nochmal bei Synology nachgeschaut und hier folgendes in den technischen Daten gefunden:

Kann das sein? Unterstützt die 107e tatsächlich kein SSL? Liegt das nicht vielmehr an der Firmware? Ich habe die aktuelle 2.1-0832 installiert und damit auch OpenSSL. Aber das wäre natürlich eine Erklärung... Könnte ich das ggfs. über Pakete nachrüsten?

Im Verbindungsprotokoll der DS steht übrigens bei jedem Versuch von extern nur, dass <username> sich "successfully" eingeloggt hat - keine Fehler!

Eben habe ich auch nochmal eine FTPES-Verbindung übers LAN getestet, das geht ohne Probleme. Den gleichen Effekt habe ich übrigens auch beim Zugriff auf den DSM (über HTTPS, Port 5001) - übers LAN kein Problem, aber trotz Zertifikat kein Zugriff von extern.

Kann es vielleicht doch an gesperrten Ports an meinem Arbeitsplatz liegen? FTP ohne SSL/TLS geht allerdings von dort. Alles sehr rätselhaft...

Wäre toll, wenn hier noch jemand eine Idee hätte. Bin mit meinem Latein am Ende.

 

[Trolli]

Mit Firmware 590 wurde SSL auch in diesen Disk Stations eingeführt. Kann man auch in den Firmware Release Notes lesen:

1. (4267) FTP with SSL/TLS for all models: FTP with SSL/TLS is now supported on all models.
2. (4270) HTTPS for all models: HTTPS is now supported on all models.
3. (4271) Encrypted Network Backup for all models: Encrypted Network Backup is supported on all models.

An gesperrten Ports kann es auch nicht liegen, wenn passives FTP vom selben Platz aus funktioniert. Dabei werden die gleichen Ports benutzt. Bist Du sicher, dass es vom selben PC aus mit passiv FTP funktioniert?

Trolli

 

[scheichkind]

Ja, ich hab's gestern extra nochmal ausprobiert.

Ich fasse nochmal zusammen: Zu Hause aus dem LAN geht es wunderbar, sowohl Aktiv- als auch Passiv-FTP. Aus dem WAN (Arbeitsplatz) funktioniert nur der Verbindungsaufbau, habe dann aber keinen Zugriff - egal ob aktiv oder passiv FTP (LIST scheitert bereits). Unverschlüsselt geht es aber auch vom Arbeitsplatz.

Ich habe einen speziellen User eingerichtet für FTP mit Zugriffsrecht nur auf einige Verzeichnisse. Den Admin und die lokalen User habe ich als FTP-User ausgeschlossen. Könnte es vielleicht daran liegen?

 

[Trolli]

Nein, mit den Benutzern kann das eigentlich nichts zu tun haben. Funktioniert denn FTPES bei Dir zu Hause im lokalen Netz?

Trolli

 

[scheichkind]

Funktioniert denn FTPES bei Dir zu Hause im lokalen Netz?

Ja, zu Hause ohne Probleme.

 

[Trolli]

Hmmmm. Ich hab so spontan auch keine Idee mehr. Versuch es doch mal von einem ganz anderen Rechner aus dem Internet (also weder bei Dir zu Hause noch hinter dem Proxyserver im Büro). Dann können wir das Problem vielleicht noch etwas eingrenzen.

Trolli