ECONNREFUSED - Connection refused by server

Hey Leute - Ich bins wieder

Ich habe gerade einen FTP Server erfolgreich installiert und ein Problem mit SSL. In dem Handbuch und in dem Forum habe ich keine Antwort gefunden, die mein Problem gelöst hat. Deshalb schreibe ich hier.

Ich versuche, von meinem PC (192.168.2.101) auf meinen Server (192.168.2.200) zu connecten. Da das ganze lokal geschieht, lassen wir meine Fritzbox mal vorne aus (auf FTP ohne SSL funktioniert der Zugriff von außen - nur so nebenbei)

Ich habe ein Zertifikat erstellt und dieses in den Domaineinstellungen ausgewählt. In den Domaineinstellungen steht unter "IP Bindung" */21/SSL explizit erlauben.

Wenn ich in Filezilla (V. 3.2.4.1) auf meinen Server OHNE SSL connecte, funktioniert die Verbindung. Stelle ich im FileZilla Servermanager den Servertyp jedoch auf "FTPS - FTP über implizites TLS/SSL", erscheint in Filezilla die Meldung "ECONNREFUSED - Connection refused by server".

Im Serverlog erscheint kein Verbindungsversuch.

Jo, das wars. Ich hoffe auf Lösung des Problems

gene6ftpuser1

Versuch mal bitte einen anderen Client - Filezilla ist für sein Gezicke mit SSL-Verbindungen bekannt.

Okay, danke für die Antwort. Ich habe meinen FTP über den Onlinetest hier getestet und siehe da: die Verbindung klappt. Nach etwas rumprobieren hat es auch mit Filezilla geklappt: Man muss explizites SSL einstellen, damit die Verbindung funktioniert. Explizites SSL bedeutet, dass der Benutzername noch unverschlüsselt gesendet wird. Jetzt will ich aber implizites SSL einstellen. Filezilla beherrscht das, aber was muss ich im Gene umstellen?

In der IP Bindung gibt es 2 interessante Punkte, auf die sich die Frage bezieht:
Ausschließlich SSL und Inklusive SSL.

Beschreibt Inklusive SSL hier eine Implizite Verbindung (siehe Handbuch - alles wird verschlüsselt) während Ausschließlich SSL eine explizite Verbindung beschreibt ?

mfg gene6ftpuser1

Hm... der G6 macht doch AuthSSL, wenn mich nicht alles täuscht. Wenn Du also den Fz auf FTPES (explizites SSL) und normale Verbindung mit L/P stellst und Adresse und Port passend gesetzt hast, sollte es eigentlich kein Problem sein, Du musst dann lediglich noch das Zertifikat annehmen, wenn er Dich dazu auffordert - ich hab hier zumindest bisher keinen Stress mehr mit mit G6 FTPs über SSL, seitdem diese Einstellungen fahre ...

Mal davon ab: Warum eigentlich eine gesicherte Verbindung über Port 21? Irgendeiner der oberen wäre IMHO sicherer...

edit: Murks, schon wieder während des tippens erwischt - bin heute einfach zu langsam

OK, dann halt ein kleiner Auszug aus dem Manual:

Die verschiedenen Sicherheitsprotokolle:

Nur reguläres FTP: normales FTP Protokoll, entspricht RFC959, dieses FTP Protokoll verstehen alle FTP Clients.
reguläres FTP, SSL explizit erlauben: Zusätzlich zu ftp kann auch SSL für die Verbindung benutzt werden, die die Übertragung sichert. Der Client kann den Server anweisen auf SSL umzuschalten, wenn es benötigt wird.
Ausschliesslich SSL: Der Unterschied zum vorhergehenden Modus ist, dass der Client nur per SSL mit dem Server kommunizieren kann, alles wird verschlüsselt, SSL kann nicht abgestellt werden.
Inklusive SSL: Nur verschlüsseltes, ausdrückliches SSL, keine reguläre Sitzung. Sobald der Client die erste Serverreaktion empfangen hat (220 Gene6 FTP Server v3.5.x (Build xx) ready...) gibt er den AUTH-Befehl aus, der erfordert, dass alles ab diesem Punkt verschlüsselt wird, auch Benutzer und Passwort wird verschlüsselt.

Zum Vergrößern anklicken....

Sprich: Inklusive läuft mit AUTH Request vom Client, d.h. der G6 startet zumindest mal die Willkommen-Meldung ohne und schaltet dann auf Anfrage um. Ausschließlich SSL erwartet direkt alles in verschlüsselt, da gibts keine Verhandlung. Wer's nicht kann, wird erst gar nicht angenommen. Vollständig verschlüsselt, inklusive Password und Co, sind beide, wenn der Gene auf den AUTH korrekt reagiert und umschaltet.

Empfohlene Einstellung: *, 21, Nur reguläres FTP, Inklusive SSL.

Zum Vergrößern anklicken....

Na, ja, je nach dem was man will und wie öffentlich der Server sein soll, sollte man evtl. doch eine härtere Sicherheitseinstellung fahren.

Okay. Danke für die wirklich schnelle Antwort

Also im Server steht jetzt */21/inklusive SSL. Im Server ist also implizites SSL aktiviert. Serverlog:

09/09/29 11:48:49, 50, 93.199.246.149, , new connection from 93.199.246.149 on 192.168.2.200:21 (Implicit SSL)

Im Filezilla stelle ich "FTPS - FTP über implizites TLS/SSL ein"
Meldung von Filezilla:

Status: Verbinde mit 93.199.246.149:990...
Status: Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Connection refused by server".
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Jo, das ist das Problem. Je sicherer desto besser ... und desto mehr probleme.

Ach ja: Wenn ich im Gene explizites SSL einstelle und im Filezilla auch, dann funzt die Verbindung. Nur das Implizite SSL macht mir noch Probleme

mfg gene6ftpuser1

gene6ftpuser1 schrieb:

Explizites SSL bedeutet, dass der Benutzername noch unverschlüsselt gesendet wird.

Zum Vergrößern anklicken....

Wir hatten damals heiße Diskussionen wegen der Beschreibung zum explizit-implizit. Richtig beschreiben können wir es bis heute nicht.

Du schreibst SSL Explizit funktioniert.

DAS ist die Funktion, die "richtig" Verschlüsselt & abwärtskompatibel ist.

Client -> Server "hello" (unverschlüsselt)
Server -> Client gibt 220 zurück (hallo zurück, hier bin ich)
Client -> Server "AUTH SSL "
Server -> Client gibt 234 zurück (worauf die Verschlüsselung ausgehandelt wird)
Client -> Server "USER Benutzername" (wird schon Verschlüsselt gesendet)
....

Implizit ist die TOTALE, absolute Verschlüsselung. Schon der Client muss das können. Unverschlüsselte oder Explizite Verschlüsselung geht dann nicht mehr.

Ich will aber alles Verschlüsseln! Wie geht das?
Einfachste & Sicherste Variante ist Domain -> Properties -> IP Binding [Implicid SSL]

Eleganter finde ich diese Lösung:
Benutzer mit SSL zwang: Options [Secure Connection Only]
Server Einstellungen -> IP Bindings: * 990 Implicid SSL
Login: ftp://user:pass@maxg.ath.cx:990 (link funktioniert nur mit "richtigem" ftp client. Browser bleiben draussen)

Im Screenshot sieht man zusätzlich die Einstellung mit aktivem Fallback auf port 21.
Link dazu (mit & ohne ssl): ftp://user:pass@maxg.ath.cx

Danke für die Antwort. Auf einmal funktioniert alles ohne Probleme - wunderbar

Bevor wir hier closen können, noch 2 kleine Fragen

1. Wenn ich mich so verschlüsselt auf meinen FTP IM LOKALEN NETZWERK verbinde, ist der Speed im Vergleich zur lokalen unverschlüsselten Verbindung nur halb so groß. Das hat mit der Verschlüsselung zu tun und kann nicht behoben werden, stimmt's (abgesehen von IP Bindings)?

2. Kurios: Mein FTP läuft über eine no-ip Adresse (Internetzugriff). Wenn ich mich zum Test von meinem PC im lokalen Netzwerk (gleiches Netzwerk, in dem auch der FTP steht) auf meinen Server mit der Adresse "blabla.no-ip.blubb" verbinde, geschieht ein Download nur mit meinem normalen DSL-Uploadspeed (128 KB/s). Wenn ich eine Datei anfordere läd mein FTP mir das nur mit meinem DSL Uploadspeed hoch, was bedeutet, dass er die Pakete erst irgendwo ins Internet schickt und dann erst auf meinen Clienten. Warum um alles in der Welt löst mein Client (Filezilla, ich weiß ...) meine No-Ip Adresse nicht in meine lokale Adresse auf und (Verschwörung): Wohin verschickt mein FTP denn die Pakete ins Internet *ggg*. Die Pakete laufen definitiv über mein Modem ins Internet raus. Aber der Server steht doch nur einen Raum weiter. Die Frage: Wohin laufen die Pakete?

mfg gene6ftpuser1

P.s.: Als ich einen Exchange Server laufen hatte, liefen die Pakete lokal, obwohl meine No-Ip Adresse angegeben wurde.

Zu 1: Ja, Verschlüsselung kostet Geschwindigkeit, da sich die Datenmenge erhöht. Brutto bleibt sie zwar gleich (wenn der Rechner schnell genug ist) aber die Netto Datenrate sinkt um den overhead den die Verschlüsselung mit sich bringt.

Zu 2: Hm... leitet der im internen Netz die Daten wirklich über das Modem? Abhilfe könnte da evtl. schaffen, in den jeweiligen HOSTS Dateien der einzelnen Rechner den Eintrag:

[hierDie.lokaleIP.desFTP.ServerRechners] hierDie.no-ip.adresse

und auf dem Server Rechner
127.0.0.1 hierDie.no-ip.adresse

hinzu zu fügen (natürlich sinnvoll ersetzen), dann versucht er nicht mehr die Namensauflösung im Netz zu machen und geht auch nicht mehr über das Modem - zumindest sollte er es dann nicht mehr im lokalen Netz, wenn doch, ist irgend etwas an der Netzwerk Konfiguration quer ...

Hey

Danke für den Tip. Hat aber leider nichts gebracht. Wenn ich meinen lokalen Server mit der externen IP anspreche liefert er mir immer noch in DSL Speed anstatt mit Lanspeed. Ich mein wohin verschickt das Teil denn die ganzen Pakete? Der braucht doch irgendwo ne Gegenstelle, zu der er hochlädt? Die Daten laufen übers Modem raus, aber wohin dann? Auf welchem Weg kommen die denn dann zu mir zurück?

mfg gene6ftpuser1

Was da passiert, nennt man loopback - der Router schickt die Daten über den WAN-Port raus und über LAN direkt wieder rein. Nicht alle Router können das überhaupt. Deiner kann es offenbar, mit dem entsprechenden Ergebnis.
LAN-Geschwindigkeit erreichst Du nur, wenn Du den Server auch über die interne IP ansprichst.

Danke für die Antwort

--- closed ---