[Frage] Verbindungsproblem zu FTP-Server über SSL

[hermonn]

Verbindungsproblem zu FTP-Server über SSL

Hallo Freunde,
ich habe einen FTP-Server am laufen, der so einwandfrei funktioniert. Intern kann ich ohne Probleme regulär oder über SSL darauf zugreifen, demnach wie ich es am Server einstelle. Auch klappt die Verbindung über das Internet, leider nur regulär, also offen, ohne Probleme. Wenn ich SSL aktiviere, dann verbindet sich der Client mit meinem Server, dass kann ich auch sehen, aber er zeigt mir keine Daten an. Im Protokollfenster des Clients steht dann "425 Cannot open data connection". Der Client ist aber verbunden, dass sehe ich auf dem Server, trotz SSL das aktiviert ist. Im Fenster des Clients steht nach dem Verbinden ca. 20 sec. "Ausgelastet", dann erscheint die Meldung "Verbindung mit IP... ist hergestellt, auch das Schlüsselsymbol wird angezeigt. Aber ich sehe keine Daten.
Wer kann mir helfen, ich denke das kann nichts großartiges sein, aber ich bekomme es nicht hin.

Danke schon mal

Server: Gene6 3.4.0
Client: WS FTPpro 2006

 

[Supernature]

Hallo hermonn, herzlich willkommen
Auf jeden Fall solltest Du erstmal Gene6 auf den neuesten Stand bringen, 3.4.0 ist wirklich nicht mehr up to date. Keine Angst, es geht nichts kaputt dabei, alle Einstellungen etc. bleiben erhalten.
Das hat aber höchstwahrscheinlich nichts mit dem Problem zu tun - um das näher einzugrenzen muss man wissen, ob der Client im PORT- oder PASV-Modus zugreift - ein LOG-Auszug von Server und/oder Client wäre da sehr hilfreich.

 

[hermonn]

Auszug aus der Log des Clients

Verbinden mit 84.165.232.77:21
Verbunden mit 84.165.232.77:21 in 0.187500 s, Warten auf Server-Antwort
SSL-Sitzung wird initialisiert...
220 Gene6 FTP Server v3.4.0 (Build 16) ready...
AUTH TLS
234 AUTH command ok; starting SSL connection.
SSL-Sitzung wurde NICHT zur erneuten Verwendung festgelegt
SSL-Sitzung gestartet.
Host type (1): Automatisch
USER gast
331 Password required for gast.
PASS (hidden)
230 super burchi, du bischt druff!!!!!!!!!!
SYST
215 UNIX Type: L8
Host type (2): Unix (Standard)
PBSZ 0
200 PBSZ=0
PROT P
200 PROT command successful.
Befehl FEAT wird gesendet, um zu ermitteln, welche Funktionen der Server unterstützt.
FEAT
211-Extensions supported:
AUTH TLS
PBSZ
PROT
CLNT
MDTM
MLST type*;size*;created;modify*;
MODE Z
PASV
REST STREAM
SIZE
SSCN
TVFS
UTF8
XCRC "filename" SP EP
XMD5 "filename" SP EP
211 End.
Antwort auf Befehl FEAT fertig interpretiert.
Der Befehl FEAT braucht nicht unbedingt gesendet zu werden. Er kann in den Einstellungen des Server-Profils deaktiviert werden.
PWD
257 "/" is current directory.
TYPE A200 Type set to A.
PASV
227 Entering Passive Mode (192,168,1,21,210,242)
Verbinden des Datenkanals mit 192.168.1.21:210,242(54002)
Verbindungsadresse 84.165.232.77 für Privatadresse 192.168.1.21 aus PASV eingesetzt.
PORT 192,168,1,22,4,110
200 Port command successful.
LIST
425 Cannot open data connection.
CWD /
250 CWD command successful. "/" is current directory.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PORT 192,168,1,22,4,111
200 Port command successful.
LIST
425 Cannot open data connection.
------------------------------------------------------------------
Der Client ist mit dem Server Vebunden, ich sehe nur meine Daten nicht.
Am Server sehe ich, dass ich drauf bin, oder ein anderer, man sieht im SSL Modus die Daten nicht. Ohne SSL vom Internet aus keine Probleme. Wenn ich SSL Intern benutzte (LAN), klappt es einwandfrei.

Danke
hermonn

 

[Supernature]

Ich rufe hier mal laut nach MaXg, der hat das Problem mit SSL durch die Einrichtung von zwei Domains gelöst. Er schaut hier sicher rein.
Seltsam ist, dass es weder mit PORT noch mit PASV zu funktionieren scheint.

 

[hermonn]

Servus Freunde,
wir kommen der Sache etwas näher. Ich habe den FTP-Server direkt mit dem DSL-Modem verbunden und eingewählt. Mit meinem Notebook bin ich dann über Analog Telefonverbindung auf den FTP-Server gegangen und SSL hat funktioniert.
Also kann es dann nur noch eine Einstellung an der FritzBox 7050 sein, aber welche??

DHCP habe ich aus, feste IP`s.
Port 20 und 21 sind auf FTP-Server IP weitergeschaltet.
Was noch???

Danke
hermonn

 

[Ruhe]

Da gibts im G6 so eine Option "Route PASV IP only for secure connections" (sinngemäß). Mal setzen bzw. entfernen, je nachdem wie sie jetzt gesetzt ist.

Was ist mit der Freigabe einer Portrange wie 50000-50100 im Router / FTP-Server?

 

[Supernature]

Braucht die Fritz!Box normalerweise nicht.
Bei mir ist es so: PASV-Range vergeben, keine PASV-IP eingetragen, und in der Fritz!Box nur Port 21 geöffnet.
Wenn ich mich recht entsinne, dann hat MaXg für SSL eine zweite Domain angelegt, die auf einem anderen Port läuft. Da muss dann eine PASV-IP eingetragen werden, und auch die entsprechenden PASV-Ports müssen in der Box geöffnet sein.
Aber warten wir mal, was er selbst dazu sagt.

 

[MaXg]

Aber warten wir mal, was er selbst dazu sagt.

//ot: Habe derzeit Beruflich ne menge um die Ohren.

Warum ich das damals mit 2 Domains gemacht habe weiss ich leider nicht mehr, dokumentiert hab ich auch nichts.

In der AVM Box sind die Service Ports 21 [ftp] & 990 [ftp-ssl] & Pasv 810-840 offen.

Meine derzeitige Serverconfig mal als Screenshot. Hoffe das hilft weiter.

 

[MaXg]

So:

Konfiguration geprüft. *erinnermich*.

Hier laufen mehrere (dynamische (dyndns)) Domains und noch 3 Top Level Domains. Dadurch war ich zu einer "Von hinten durch die Brust Lösung" gezwungen.
Der Hund ist in der hosts datei begraben ( %windir%\system32\drivers\etc\ )

In der hosts ist maxg.ath.cx mit einer fixen IP vergeben (192.168.0.3) , maxgftp.ath.cx jedoch steht da nicht drin, wird also nicht via hosts Datei, sondern per "echtem" dns aufgelöst.
Praktischerweise bekommt der verbundene Client nichts davon mit, da der Server die Domain maxgftp.ath.cx extern korrekt auflöst und intern eh auf maxg.ath.cx rennt.

hier der code vom ping:

Ping maxg.ath.cx [192.168.0.3] mit 32 Bytes Daten:



Antwort von 192.168.0.3: Bytes=32 Zeit<10ms TTL=64

Antwort von 192.168.0.3: Bytes=32 Zeit<10ms TTL=64

Antwort von 192.168.0.3: Bytes=32 Zeit<10ms TTL=64

Antwort von 192.168.0.3: Bytes=32 Zeit<10ms TTL=64



Ping-Statistik f�r 192.168.0.3:

    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

    Minimum = 0ms, Maximum =  0ms, Mittelwert =  0ms



Ping maxgftp.ath.cx [84.179.18.201] mit 32 Bytes Daten:



Antwort von 84.179.18.201: Bytes=32 Zeit<10ms TTL=63

Antwort von 84.179.18.201: Bytes=32 Zeit<10ms TTL=63

Antwort von 84.179.18.201: Bytes=32 Zeit<10ms TTL=63

Antwort von 84.179.18.201: Bytes=32 Zeit<10ms TTL=63



Ping-Statistik f�r 84.179.18.201:

    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

    Minimum = 0ms, Maximum =  0ms, Mittelwert =  0ms

 

[hermonn]

Hallo Maxg,
muss ich in der hosts was eintragen, bzw, was?
Port 810 bis 840 habe ich auch geöffnet auf meine FTP-Server IP.
Port 21 und 990 sind auch offen, aber nix, immer das gleiche. Der Client ist verbunden, ich sehe aber keine Daten!
Habe auch einen Auszug gemacht, ich hoffe er wird angezeigt

Es sind 2 Verschiedene Einstellungen die ich getestet habe, beide nix!

Ich weis nicht mehr was ich noch tun kann, es kann doch nur eine Einstellung an der FritzBox 7050 sein, wenn ich den Server direkt ans Modem anschließe und mich über das Notebook via Analogmodem verbinde, funktioniert die SSL Verbindung. Oh man :angel

Danke für Euer bemühen, vieleicht klappts ja noch
hermonn

 

[hermonn]

Servus Freunde,
es hat geklappt, es funktioniert, so wie ich es will, super geil :smokin
Was wars:
- PASV-Ports am FTP-Server 810-840 eingestellt, danke Maxg
- Ports in der Firewall göffnet, auf meine feste Server IP
- Verbindungen auf Ports <1024 erlauben in der Server konfig

Tests durchgeführt, alles wunderbar

Hier noch der letzte Auszug meiner funktionierrenden SSL-Verbindung

Danke nochmals an alle die mir geholfen haben
hermonn