FTPs Zugriff netzintern nicht möglich (Infuse, Reolink), Filezilla geht

[KGBist2000]

Hallo Zusammen,
ich bin langsam am verzweifeln. Ich habe eine Reolink-Kamera 811wa und auf smartphones, macbook, AppleTV die App Infuse installiert.

Wenn ich eine FTP-Verbindung aufbaue, dann funktioniert alles normal.
Wenn ich eine FTPs verbindung aufbauen:
1. bekomme ich bei Reolink-App (Windows), ErrorCode: 450 (unbekannter Fehler)
2. Infuse sagt SSL connect error
3. FileZilla zeigt an, dass das SSL zertifikat selbstsigniert ist und dass ich es bestätigen soll, dann ist der login erfolgreich auf die richtige Ordner

Jetzt die Frage, was ist falsch an der Config ? Ist es wirklich das selbstsignierte SSL Zertifikat ? Oder woran kann es liegen, dass FTPs verbindungen von zwei Apps nicht laufen?


PS: Ich habe im Moment Infuse über Webdav (HTTPs) laufen, mit dem gleichen selbstsignierten Zertifikat, und es funktioniert ohne meckern.

 

[ottosykora]

Ja gut, du hast ein selbstsigniertes Zrrtifikat. Damit kann man zwar durchaus verschlüsselte Verbindung aufbauen, aber Systeme und Apps sind von den Heraugebern dazu 'tainiert' solches zu reklamieren oder gar zu verweigern. Es ist nämlich nicht möglich zu verifizieren ob die Schlüssel echt sind oder ein Fake, also vielleicht ein man in the middle Angriff.

Man kann aber durchaus beglaubigte Zertifikate besorgen, zum Bsp von Letsencrypt.
Bitte für IP Adressen keine Zertifikate erwarten, die stellt niemand aus.


Also in allem, was du da beschreibst ist normal und vorgesehen genau so.

 

[Ronny1978]

bekomme ich bei Reolink-App (Windows), ErrorCode: 450 (unbekannter Fehler)

Ist in der Kamera das Protokoll aktiviert? Man muss den Regler erst "umlegen". Standard ist bei Reolink fast jedes Protokoll aus. Bitte in die Einstellungen der Kamera über die App gehen und dort die Regler umstellen. Dann sollte es gehen.

Infuse sagt SSL connect error

Probier doch mal unten noch SFTP zu aktivieren und nimm vielleicht mal einen anderen Port 2222 oder so. Ich bin nicht ganz sicher was Infuse nutzt, da ich es nicht in Verwendung habe. Aber das muss nicht unbedingt FTPs, sondern kann auch SFTP sein.

Warum nutzt du netzintern nicht SMB bei Infuse statt FTPs? Kann Infuse überhaupt FTPs? Auf der Website finde ich nur FTP, SFTP und/oder SMB. Was willst du denn erreichen? Streaming oder Filetransfer?

https://support.firecore.com/hc/en-us/articles/215090057-Streaming-Files-Over-the-Network

 

[KGBist2000]

Danke für deine Antwort. Es ist ein Versuch, die verwendeten Systeme über ein Protokoll und Portfreigabe in der Firewall (VPN->internen Netz) zu schleusen ohne noch weitere Protokommen, wie WebDav oder SFTP. Da alle FTP/FTPs können, dachte ich, dass es ein guter gemeinsamer Nenner ist. Macht auch die Administration einfacher.

Welchem Regler meinst du in der reolink App? FTP ist aktiviert und bei den Einstellungen mit Port, Username, etc. kann ich noch einen schiebe Regler setzen „SSL only“. Wenn ich das tue kann ich keine Verbindung aufbauen. Wenn ich das nicht tue ist es FTP blank und es geht ohne Probleme.

Infuse unterstützt viele Protokollen:
https://support.firecore.com/hc/en-us/articles/215090977-Streaming-From-a-Mac-PC-or-NAS

SMB, NFS haben zu viel overhead und gerade in Hotel Wifi oder 4G, 5G netz und VPN sind diese Protokolle Mega ineffizient. Mit FTP bekomme ich 20-30% mehr Durchsatz, was gerade bei 4K Filmen einen Unterschied macht, ob man den Film schauen kann oder ob die App alle 10sec. für 10sec. buffert.

PS: Anstatt FTPs habe ich gestern mit Infuse FTPES getestet (FTPs explizit). Das ging. Also habe ich dann filezilla genommen in einmal explizit und einmal implizit getestet. Explizit geht, implizit kann wohl Synology nicht.

Kann es sein, dass Synology FTPs nicht vollständig oder richtig umgesetzt hat?

 

[ottosykora]

Zwischenfrsge: wozu braucht man noch ssl wenn alles nur intern ist?

 

[KGBist2000]

Zwischenfrsge: wozu braucht man noch ssl wenn alles nur intern ist?

Warum den nicht, wenn es geht. Man muss ja nicht immer alle Zugangsdaten offen im Netz oder in meinem Fall im IoT vLAN allen preisgeben die mitloggen und nachhause telefonieren.

 

[ottosykora]

Auch unser FTP kommerzieller Provider kann allenfalls explizit. Die verwenden eine open source SW die es eben nicht kann. Für implizit müssten die noch weitere Ports verfügbar machen, nehme an dazu haben die keine Lust.

Filezilla Client, sowie Filezilla Server können beides. Andere Server nicht unbedingt.

So wird vermutlich auch Synology die neure und einfachere Version verwenden vermutlich.

 

[ottosykora]

und Portfreigabe in der Firewall (VPN->internen Netz) zu schleusen

also ja, du hast da FW am laufen?
Das ist auch ein Grund warum FTPS implizit wohl nicht geht. Das braucht noch weitere Ports.

 

[KGBist2000]

Danke für den Tipp,

Ich habe zZ. zum Testen Any to Any AllowAll zwischen den betroffen Netzen eingestellt, damit es nicht stört. Für den produktiven Betrieb habe ich folgendes vorbereitet, siehe Anhang aus der FW. Portfreigabe von VPN -> intern, bzw. IoT -> intern. Rückweg ist komplett frei. Habe ich noch was vergessen?

läuft es bei dir über FTPs mit dem Scahlter „SSL only“ in reolink App?

 

[ottosykora]

Für FTPs implizit wäre noch 990 nötig