Discussion:
proftpd: TLS-Verbindung bricht weg bei Verbindung von außen
(zu alt für eine Antwort)
Marcus Röckrath
2020-05-26 21:23:42 UTC
Permalink
Hallo,

bei eingerichteter Portweiterleitung (Port 21 oder aber auch ein in der
Regel benutzter anderer Port) funtkioniert eine ungesicherte ftp-Verbindung
zu proftpd völlig problemlos; fordere ich TLS geht es plötzlich nur noch im
internen Netz, während eine externe Verbindung nach dem erfolgreichen
Verbindungsaufbau wieder wegbricht:

Status: TLS/SSL-Verbindung hergestellt.
Antwort: 331 Password required for xxxxxxxxxxxxxxx
Befehl: PASS *********
Antwort: 230 User xxxxxxxxxxxxx logged in
Befehl: SYST
Antwort: 215 UNIX Type: L8
Befehl: FEAT
Antwort: 211-Features:
Antwort: AUTH TLS
Antwort: CCC
Antwort: CLNT
Antwort: EPRT
Antwort: EPSV
Antwort: HOST
Antwort: LANG en-US*
Antwort: MDTM
Antwort: MFF modify;UNIX.group;UNIX.mode;
Antwort: MFMT
Antwort: MLST
modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.groupname*;UNIX.mode*;UNIX.owner*;UNIX.ownername*;
Antwort: PBSZ
Antwort: PROT
Antwort: REST STREAM
Antwort: SIZE
Antwort: SSCN
Antwort: TVFS
Antwort: UTF8
Antwort: 211 End
Befehl: CLNT FileZilla
Antwort: 200 OK
Befehl: OPTS UTF8 ON
Antwort: 200 UTF8 set to on
Befehl: PBSZ 0
Antwort: 200 PBSZ 0 successful
Befehl: PROT P
Antwort: 200 Protection set to Private
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is the current directory
Befehl: TYPE I
Antwort: 200 Type set to I
Befehl: PASV
Antwort: 227 Entering Passive Mode (192,168,1,2,158,66).
Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht
routingfähig. Benutze stattdessen die Serveradresse.
Befehl: MLSD
Fehler: Die Datenverbindung konnte nicht hergestellt werden: EHOSTUNREACH -
Keine Route zum Host
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Firewall/Router auf Clientseite (Fritz-fli4l-internes Netz; fli4l ohne
Masqerading).

Aber warum schlägt das nun nur bei einer TSL-Verbindung fehl, die hat doch
mit den verwendeten Pots etc. nichts zu tun.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
2020-05-26 21:42:11 UTC
Permalink
Hallo,
Post by Marcus Röckrath
bei eingerichteter Portweiterleitung (Port 21 oder aber auch ein in der
Regel benutzter anderer Port) funtkioniert eine ungesicherte
ftp-Verbindung zu proftpd völlig problemlos; fordere ich TLS geht es
plötzlich nur noch im internen Netz, während eine externe Verbindung nach
Firewall/Router auf Clientseite (Fritz-fli4l-internes Netz; fli4l ohne
Masqerading).
Aber warum schlägt das nun nur bei einer TSL-Verbindung fehl, die hat doch
mit den verwendeten Pots etc. nichts zu tun.
Um meine Seite als Fehlerquelle auszuschließen, habe ich auf einem
Android-Tablet per Mobilfunk versucht, aber das gleiche Ergebnis erhalten;
auch hier Abbruch bei TLS.

Am Konstrukt Fritz-fli4l-internes Netz kann es IMHO also nicht liegen.
--
Gruß Marcus
[eisfair-Team]
Juergen Edner
2020-05-27 11:45:51 UTC
Permalink
Hallo Marcus,
Post by Marcus Röckrath
bei eingerichteter Portweiterleitung (Port 21 oder aber auch ein in der
Regel benutzter anderer Port) funtkioniert eine ungesicherte ftp-Verbindung
zu proftpd völlig problemlos; fordere ich TLS geht es plötzlich nur noch im
internen Netz, während eine externe Verbindung nach dem erfolgreichen
die Absicherung von FTP-Verbindungen ist meines Wissens auf zweierlei
Wege möglich, einmal FTPS (FTP über TLS - 20/21/tcp) und einmal SFTP
(SSH file transfer protocol - 22/tcp). Kann es sein, dass Du eine SFTP-
Verbindung aufbauen willst?
Post by Marcus Röckrath
Befehl: PASV
Antwort: 227 Entering Passive Mode (192,168,1,2,158,66).
Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht
routingfähig. Benutze stattdessen die Serveradresse.
Befehl: MLSD
Fehler: Die Datenverbindung konnte nicht hergestellt werden: EHOSTUNREACH -
Keine Route zum Host
Hierzu habe ich verschiedene Postings gefunden:

https://www.winboard.org/threads/ftp-server-adresse-fuer-passiv-modus-nicht-routingfaehig.151105/
https://administrator.de/forum/filezilla-passiv-modus-nicht-routingf%C3%A4hig-95450.html
https://administrator.de/forum/server-gesendete-adresse-passiv-modus-nicht-routingf%C3%A4hig-benutze-stattdessen-serveradresse-dns-323-167301.html

Gruß Jürgen
--
Mail: ***@eisfair.org
Marcus Röckrath
2020-05-27 12:32:20 UTC
Permalink
Hallo Jürgen,
Post by Juergen Edner
die Absicherung von FTP-Verbindungen ist meines Wissens auf zweierlei
Wege möglich, einmal FTPS (FTP über TLS - 20/21/tcp) und einmal SFTP
(SSH file transfer protocol - 22/tcp). Kann es sein, dass Du eine SFTP-
Verbindung aufbauen willst?
Nein, definitiv nicht; im Servemanager ist FTP eingestellt und 22 ginge, da
Port 22 von außen nicht weitergeleietet wird, nicht.

Gehe ich über die lokale IP des FTP-Servers (VPN-Verbindung vorher
aktiviert), geht FTP über TLS; über die xterne Adresse aber nur
unverschlüsselt.

Da muss doch die Fritz irgendwie ihre Finger im Spiel haben.

Ausgangsseitig (Clientseitig) aber nicht, da per Mobilfunkdatenverbindung
der gleiche Effekt auftritt.
Post by Juergen Edner
Post by Marcus Röckrath
Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht
routingfähig. Benutze stattdessen die Serveradresse.
https://www.winboard.org/threads/ftp-server-adresse-fuer-passiv-modus-nicht-routingfaehig.151105/
https://administrator.de/forum/filezilla-passiv-modus-nicht-routingf%C3%A4hig-95450.html
https://administrator.de/forum/server-gesendete-adresse-passiv-modus-nicht-routingf%C3%A4hig-benutze-stattdessen-serveradresse-dns-323-167301.html

Kenne vergleichbare Artikel. Hinter NAT leiegende FTP-Server melden sich
üblicherweise immer mit ihrer "lokalen" IP, da sie ja auch keine Kenntnis
der externen haben.

Das merkt aber der Client und nimmt dann wieder die Serveradresse, über die
vorher ja auch die Verbindung aufgebaut wurde. Im NAT-Betrieb geht ja IMHO
auch nur der Passive-Mode; habe aber auch beide Einstellungen in Filezilla
getestet.
--
Gruß Marcus
[eisfair-Team]
Loading...