FTP-Zugriff per SSL/TLS klappt nicht

longo · 26. Aug 2009

Hallo,

ich weiß, Thema wird hier immer iweder behandelt, habe vieles durchgelesen, funzt aber immer noch nicht.

Auf DS 109-Seite habe ich FTP so eingerichtet wie im Wiki empfohlen. SSL/TLS angehakt usw.:

Nun, "draußen" mit FTP-Programm (FilzZilla), klappt der Zugriff auf die Station per FTP SSL/TLS trotzdem nicht. Log:

Status: Verbinden mit xxx.dyndns.org...
Status: Verbunden mit xxx.dyndns.org, SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden
Fehler: Verbindung getrennt
Fehler: Verbindung kann nicht hergestellt werden!
Status: Warte auf erneuten Versuch... (5 Versuche übrig)

Die Einstellungen in Filezilla:

Woran kann es jetzt noch liegen, dass es nicht klappt? Danke. - Ach so, habe ich den jetzt noch eine Chance? Das FTP-Programm hat ja schon mehrfach - ud dann jeweils fünf Mal - versucht, eine Verbindung herzustellen. Bin ich dadurch, dass ich die automatische IP-Blockierung verwendet habe, denn jetzt womöglich geblockt?

Anzeige · 26. Aug 2009

Hallo longo,

Bücher und Hardware zum Thema gibt es bei Amazon: FTP-Zugriff per SSL/TLS klappt nicht

itari · 26. Aug 2009

Geht es denn ohne SSL/TLS im lokalen Netz?

Itari

jahlives · 26. Aug 2009

Und die Portweiterleitungsregeln hast du entsprechend gesetzt, dass die benötigten Ports zur IP der DS weitergeleitet werden?
ausserdem solltest du die Option "Externe IP im PASV Mode berichten" aktivieren, denn ein FTP Server sollte beim Wechsel auf Passiv Mode die externe IP Adresse an den Client melden können. Sonst könnte es sein, dass der Server die seine LAN IP an den Client meldet und damit geht Passive FTP in die Hose.

longo · 26. Aug 2009

hier gehts weiter

Also der FTP-Zugriff ohne SSL/TLS funzt von Außen einwandfrei. Das müsste doch auch Beleg für die richtige Portweiterleitung sein. Und den Punkt "Externe IP im PASV-Modus berichten" habe ich jetzt wieder angehakt.

Leider keine Änderung: SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden.

Da hakt es.

Es heißt ja im Wiki, dass bei reiner FTP-Verbindung das Passwort "gesnifft" werden kann. Bei mir wird es aber in FileZilla nur in Bulletpoints dargestellt, nicht im Klartext. Trotzdem unsicher?

itari · 26. Aug 2009

longo schrieb:
Bei mir wird es aber in FileZilla nur in Bulletpoints dargestellt, nicht im Klartext. Trotzdem unsicher?

Das ist ja nur Bildschirm-Kosmetik - du kämst ja trotzdem locker mit PantsOff an dein Kennwort

Schalt mal das Blockieren in der DS ab ...

Itari

jahlives · 26. Aug 2009

Es heißt ja im Wiki, dass bei reiner FTP-Verbindung das Passwort "gesnifft" werden kann. Bei mir wird es aber in FileZilla nur in Bulletpoints dargestellt, nicht im Klartext. Trotzdem unsicher?

Die Bullets sind nur die Darstellung im Client. An der Server wird das PW natürlich im Klartext verschickt, mit Bullets kann der Server ja nix anfangen

Kannst du mal den kompletten Log von FileZilla bei einem Verbindungsaufbau(versuch) hier reinposten?

jahlives · 26. Aug 2009

itari schrieb:
du kämst ja trotzdem locker mit PantsOff an dein Kennwort

Ah nochmal jemand der dieses nette Programm kennt. Was sagt eigentlich dein Virescanner dazu? Mit Norton muss ich den immer erst deaktivieren, damit ich das Tool installieren kann. Sobald Norton wieder läuft löscht er dann die dll und macht das Tool leider unbrauchbar.

longo · 26. Aug 2009

hier der Log

Hi,

hier der Log, und die Blockierung habe ich ausgeschaltet, keine Veränderung.

Status: Verbinden mit meinname.dyndns.org...
Status: Verbunden mit meinname.dyndns.org, SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden
Fehler: Verbindung getrennt
Fehler: Verbindung kann nicht hergestellt werden!
Status: Warte auf erneuten Versuch... (5 Versuche übrig)
Status: Verbinden mit meinname.dyndns.org...
Status: Verbunden mit meinname.dyndns.org, SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden
Fehler: Verbindung getrennt
Fehler: Verbindung kann nicht hergestellt werden!
Status: Warte auf erneuten Versuch... (4 Versuche übrig)
Status: Verbinden mit meinname.dyndns.org...
Status: Verbunden mit meinname.dyndns.org, SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden
Fehler: Verbindung getrennt
Fehler: Verbindung kann nicht hergestellt werden!
Status: Warte auf erneuten Versuch... (3 Versuche übrig)
Status: Verbinden mit meinname.dyndns.org...
Status: Verbunden mit meinname.dyndns.org, SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden
Fehler: Verbindung getrennt
Fehler: Verbindung kann nicht hergestellt werden!
Status: Warte auf erneuten Versuch... (2 Versuche übrig)
Status: Verbinden mit meinname.dyndns.org...
Status: Verbunden mit meinname.dyndns.org, SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden
Fehler: Verbindung getrennt
Fehler: Verbindung kann nicht hergestellt werden!
Status: Warte auf erneuten Versuch... (1 Vesuch übrig)
Status: Verbinden mit meinname.dyndns.org...
Status: Verbunden mit meinname.dyndns.org, SSL-Verbindung wird ausgehandelt...
Fehler: SSL-Verbindung kann nicht hergestellt werden
Fehler: Verbindung getrennt
Fehler: Verbindung kann nicht hergestellt werden!

jahlives · 26. Aug 2009

Hast du auch sichergestellt, dass deine IP nicht mehr unter den blockierten Hosts geführt wird? Afaik werden durch das blosse Deaktivieren der Funktion bereits eingetragene Hosts nicht gelöscht.

longo · 26. Aug 2009

kein Host Blockiert

in der Blockierungsliste ist nix drin, leer.

itari · 26. Aug 2009

Geht es denn mit SSL/TLS im lokalen Netz?

Itari

jahlives · 26. Aug 2009

Greifst du aus dem internen (LAN) Netzwerk auf den dyndns Namen zu? Viele Router fallen dabei auf die Schnauze, wenn du dich nicht wirklich ausserhalb deines Routers befindest. Funzt es denn z.B. mit SSL/TLS wenn du versuchst dich auf die interne IP der DS zu verbinden?

jahlives · 26. Aug 2009

@itari
Hast du ne schnellere Tastatur? Bereits mit USB 3?

Matthieu · 26. Aug 2009

jahlives schrieb:
@itari
Hast du ne schnellere Tastatur? Bereits mit USB 3?

Nein, er fasst sich nur kürzer

Trotzdem will ich nich wissen wieviel Anschläge er pro Minute schafft.

MfG Matthieu

jahlives · 26. Aug 2009

Matthieu schrieb:
Trotzdem will ich nich wissen wieviel Anschläge er pro Minute schafft.

Ich verwende das System "Terror": Jede Minute ein Anschlag

itari · 26. Aug 2009

Ich benutze einen Stift ... ihr nicht?

Itari

Matthieu · 26. Aug 2009

Da bin ich aber mit der Tastatur schneller als mit einem Stift ...

MfG Matthieu

Holgiman · 26. Aug 2009

Das klappt nicht mit Filezilla

Leider kommen nur sehr wenige FTP-Programme mit dieser Problematik klar.

Kurze Erklärung...

Der FTP-Server der DS unterstuetzt Active und Passive Mode:

*** Active Mode *** gut aus der Sicht des Admins (von Diskstation & Router )
-Nur Port 20 & 21 muss geoeffnet werden
-relativ sicher
-funktioniert Problemlos im Lan

Nachteil:
-FTP Server baut Datenverbindung zum Client auf - viele Admins ( Internetcafe oder Arbeitsgeber ) blockieren jedoch verbindungen die auf den hohen ports reinkommen .

***Passive Mode*** - gut aus Sicht des FTP Client
- Funktioniert theorethish fast ueberall , weil der FTP Client die Verbindung aufbaut
-Funktionert im Lan Problemlos
- IE oder Firefox benutzt PassiveFTP - man kann jedoch nur Files downloaden ( keine Folder - und Upload geht auch nicht )

Nachteil:
- Auf der DS und Router muessen mehr Ports aufgemacht werden

Zum Beispiel :
Port 50000 - 50008 fuer Passive FTP freigeben ( auf der DS )

Danach:

Port 20,21 , 50000 - 50008 im Router forwarden.

Beim verschlüsselten Verbindungsaufbau kommen die meisten FTP-Programme dann bis zum LIST-Kommando u. dann hörts auf.

KOMMANDO:> PASV
227 Entering Passive Mode (192,168,1,100,245,24)
KOMMANDO:> LIST

KOMMANDO:> PASV
227 Entering Passive Mode (192,168,1,100,245,24)
KOMMANDO:> LIST

Der FTP Client versetzt also die DS in den passive Mode. Diese antwortet auch ordnungsgemaes ( jedoch mit der internen IP Adresse)

192.168.1.100

Im Passive Mode - gibt der FTP server seine eigene IP -adresse bekannt ...

Nun das Problem....
Da ja die DS mit der internen Ip antwortet, wird die benötigte, externe Ip nicht an den Client übermittelt.

Manche FTP clients ( zum Beispiel WSFTP ) sind jedoch schlau genug und erkennen dies :

"Subsituting internal Ip 192.168.1.100 with 59.100.171.13 .... "

Lade dir mal den WSFTP runter (Gibt es u.a. als Demo) u. probiere es damit, damit klappt es !

jahlives · 26. Aug 2009

Ähm darum gibt es ja die Funktion externe IP im PASV Mode berichten.
Natürlich klappt der Passive Mode auch mit Filezilla, wäre mir völlig neu, dass mein Filezilla nicht mit Passiv FTP der DS könnte

longo · 26. Aug 2009

Kurze mal Rückmeldung von hier

... nein, ich bin zurzeit nicht im LAN-Netzwerk, sondern versuche von Außen (Büro) auf den FTP meiner Diskstation zurückzugreifen.

FTP-Zugriff per SSL/TLS klappt nicht

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat