SSL-Verbindung klappt nicht

DesiWeb

bekommt Übersicht
Hallo zusammen

ich habe in den onLine-Handbüchern http://www.g6ftpserver.de/handbuch/tutorials.html#Tutorials.6 mich etwas schlau gemacht (was mir zwar nicht ganz gelungen ist - sonst müsste ich ja nicht hier fragen :( )

Ausgangslage:
Ich habe bei mir den FTP-Server mit Erfolg im Betrieb. Jetzt möchte ich hier gerne die Option mit SSL anbieten - und da scheitere ich kläglich

hier ein der Auszug aus dem FileZilla Log:
Status: Auflösen der IP-Adresse für xxxxxxxxxxxxxxxx
Status: Verbinde mit xx.xxxx.xx.xxx:21...
Status: Verbindung hergestellt, initialisiere TLS...
Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

hat da jemand einen Tipp für mich?

herzliche Grüsse
Martin
 
Zuletzt bearbeitet:
Was sagt denn das Server-Logfile dazu?

08/12/15 14:50:38, 0, xx.xxx.xx.xxx, , new connection from xx.xxx.xx.xxx on xxx.xxx.x.xx:21 (Explicit SSL)
08/12/15 14:50:38, 0, xx.xxx.xx.xxx, , hostname resolved : xxx-xx.xxx-xx.cust.bluewin.ch
08/12/15 14:50:38, 0, xx.xxx.xx.xxx, , sending welcome message.
08/12/15 14:50:38, 0, xx.xxx.xx.xxx, , 220-welcome @FTP-Server by DesiWeb

mehr steht nicht im Server-Log... :(
 
Wie sieht es mit Firewall/Portfreigaben aus, alles gesetzt?
Hast Du die Möglichkeit, es mal lokal im Netz zu testen?
 
Für die SSL-Verbindung sollte noch 990 offen sein.

OK, das ist gemacht... auch sehe ich, dass sich das TryIcon vom FTP-Server verändert (vom Computer zum Männchen). Aber dann kommt beim FTP-Client wieder die Fehlermeldung:
Status: Verbinde mit xx.xxx.xx.xxx:990...
Status: Verbindung hergestellt, initialisiere TLS...
Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

hier noch die IP-Bindung vom FTP-Server
FTPS-fehler.jpg

danke übrigens vielmals für die Hilfe...

Grüsse
Martin
 
Das kann nicht funktionieren.
Dein Server läuft jetzt fest auf Port 990, gleichzeitig erlaubst Du aber keine Verbindungen für Ports unter 1024.

Im FTP sind die Ports 21 und 990 eingestellt, der Server hat aber einen ganz anderen Portbereich (1024 - 65535) und die Ports unter 1024 sind deaktiviert.

Im Client hast Du wahrscheinlich auch nicht Port 990 eingestellt, der dürfte noch auf Port 21 laufen.


Ausserdem würde ich für meinen FTP nie Ports unter 1024 nehmen (das sind die sog. well known ports), sondern immer 4 - 5 stellige. Und den 21-Standard-Port schon zweimal nicht.


Bei mir sah das, als ich noch den G6 laufen hatte, so aus.

Nur Port 6789 wird für SSL eingetragen.
Passive Ports (das ist die Portrange): 6790 - 6799
Passive IP: dort hatte ich meinen DynDNs-Alias drin stehen.

Die Ports 6789 bis 6899 müssen dann im Router noch eingestellt werden.

Anschliessend läuft Dein FTP in dem Beispiel auf Port 6789, die Portrange für die User wäre die 6790 bis 6799.
 
Warum überhaupt einen anderen Port für SSL?
21 inkl. oder exkl. SSL und gut is (je nach Client).
PASV Ports würd ich zudem nicht so extrem streuen, 100 reichen (zB 40000-40099)
Das ist auch einfacher im Router und Firewall freizugeben.
 
hmmm, wahrscheinlich bin ich einfach zu doof :( - aber ich bekomme es einfach nicht hin...
Ich versuche es dann nochmals über die Festtage. Vielleicht habe ich dann ja ein "glücklicheres" Händchen ;)

in diesem Sinne, frohe Weihnachten und bis später
Martin
 
Poste uns doch bitte nochmal einen Log-Auszug von Server+Client vom selben Versuch, sonst ist das immer nur Kaffeesatzleserei.
 
Ich versuche mich nu auch gerade an SSL. Hab hier einiges durchgelesen, aber so einfach is es ja nich...
Ich hab ein Zertifikat erstellt, welches "nicht vertrauenswürdig" ist. Un nu? Muss ich das Zertifikat installieren? Wobei ich hier vom System ausdrücklich gewarnt werde beim Versuch es zu tun...

Die IP Bindung sieht wie folgt aus:

* 21 Nur Regulär
* 6789 Nur SSL erlauben

PASV: aus
Passive IP: *meine domain*
Passive Ports: 6790-6799


6790-6799 ist im Router frei gegeben. Die Verbindung funktioniert aber nich.

09/05/01 00:25:25, 12, xxx.xxx.xxx.x, , new connection from xxx.xxx.xxx.x on 192.168.1.2:21
09/05/01 00:25:25, 12, xxx.xxx.xxx.x, , hostname resolved : xxxxxxxxxx
09/05/01 00:25:25, 12, xxx.xxx.xxx.x, , sending welcome message.
09/05/01 00:25:25, 12, xxx.xxx.xxx.x, , 220 Gene6 FTP Server v3.9.0 (Build 2) ready...
09/05/01 00:25:25, 12, xxx.xxx.xxx.x, , USER Barton
09/05/01 00:25:25, 12, xxx.xxx.xxx.x, Barton, 501 This account requires a secure connection to log in, please use SSL.
09/05/01 00:25:25, 12, xxx.xxx.xxx.x, Barton, disconnected. (00d00:00:00)


Wie muss sich dann mein Kollege auf dem FTP mit SSL anmelden?
 
1. PASV an
2. Die SSL-Verbindung ist laut Deinem Log im Client nicht konfiguriert. Dein Client versucht es ohne SSL.
 
Ok danke. PASV ist nu an. Im FlashFxp hab ich im Site Manager Implicit SSL aktiviert und als Port 6789. Oder 21?
Was ist mit meinem als nicht vertrauenswürdig eingestuften Zertifikat?
 
Port 6789, nicht 21.
Das mit dem Zertifikat liegt daran, dass der Domain-Name des selbst signierten Zertifikates nicht mit dem Common Name überein stimmt.
Das ist bei mir auch nicht anders. Der Gegenüber, der auf den FTP möchte, muss es akzeptieren.
 
Es will einfach ned funktionieren.

[R] Verbinde zu xxxxxxxxx.ath.cx -> DNS=xxxxxxxxx.ath.cx IP=xxx.xxx.xxx.x PORT=6789
[R] Verbunden mit xxxxxxxxx.ath.cx
[R] Verbunden. SSL Session aushandeln..
[R] SSL FEHLER: Unbekanntes Protokoll
[R] Konnte SSL nicht aushandeln, Verbindung getrennt
[R] Verbindung fehlgeschlagen (Verbindung von Benutzer getrennt)
[R] Verzögere um 120 Sekunden bis zum Versuch einer erneuten Verbindung Nr.1
[R] Wiederholungs-Versuch abgebrochen

Liegt es vielleicht daran dass ich von meinem PC versuche auf meinen PC zu verbinden? Hat ja sonst auch immer funktioniert...
Von aussen hats bis gestern auch nicht geklappt.

Mit Port 6789 verbinden "FTP using implicit SSL" und Passiv Modus an im FlashFXP.
 
Welches FlashFXP? Mit der teilweise noch genutzten alten Version 1.44 klappt es nicht.
Mit meiner 3.6er klappts aber problemlos.

Probiers ausserdem mal mit Auth SSL.
 
Version 3.7.4

Aah, teilerfolg! :D
Ich hab jezt Auth SSL gewählt. Ich kam rein, dann hat er gehängt, die Ordner nicht gezeigt und schliesslich abgebrochen.

[R] Verbinde zu xxxxxxxxx.ath.cx -> DNS=xxxxxxxxx.ath.cx IP=xxx.xxx.xxx.x PORT=6789
[R] Verbunden mit xxxxxxxxx.ath.cx
[R] 220 Gene6 FTP Server v3.9.0 (Build 2) ready...
[R] AUTH SSL
[R] 234 AUTH command ok; starting SSL connection.
[R] Verbunden. SSL Session aushandeln..
[R] SSL Aushandlung erfolgreich...
[R] SSL verschlüsselte Sitzung mit Cipher AES256-SHA (256 bits)
[R] PBSZ 0
[R] 200 PBSZ=0
[R] USER Barton
[R] 331 Password required for Barton.
[R] PASS (hidden)
[R] 230 User Barton logged in.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211-Extensions supported:
[R] AUTH TLS
[R] CCC
[R] CLNT
[R] CPSV
[R] EPRT
[R] EPSV
[R] MDTM
[R] MFCT
[R] MFMT
[R] MLST type*;size*;create;modify*;
[R] MODE Z
[R] PASV
[R] PBSZ
[R] PROT
[R] REST STREAM
[R] SIZE
[R] SSCN
[R] TVFS
[R] UTF8
[R] XCRC "filename" SP EP
[R] XMD5 "filename" SP EP
[R] XSHA1 "filename" SP EP
[R] 211 End.
[R] CLNT FlashFXP 3.7.4.1284
[R] 200 Noted.
[R] OPTS UTF8 ON
[R] 200 UTF8 OPTS ON
[R] PWD
[R] 257 "/" is current directory.
[R] TYPE A
[R] 200 Type set to A.
[R] MODE Z
[R] 200 Mode Z ok.
[R] PROT P
[R] 200 PROT command successful.
[R] PASV
[R] 227 Entering Passive Mode (67,215,65,132,26,141)
[R] Öffne Datenkanal-IP: 67.215.65.132 PORT: 6797
[R] Daten Socket Fehler: Verbindung zu lange im Leerlauf
[R] Auflistungsfehler
[R] PASV
[R] 227 Entering Passive Mode (67,215,65,132,26,141)
[R] Öffne Datenkanal-IP: 67.215.65.132 PORT: 6797
(Sanfter Abbruch)
[R] ABOR
[R] 226 ABOR command successful.
[R] Auflistungsfehler
 
Oben