FTP Server TLS nicht erreichbar

[BpDk]

Hallo Leute,

ich habe einen FTP Server (VSFTPD) auf Debian basis aufgesetzt. Der Server ist soweit konfiguriert, dass er TLS benutzt. Im Intranet verbindet er sich erfolgreich mit TLS und unverschlüsselt.

Allerdings, wenn ich von außen auf den Server versuche zu zu greifen, bricht er Die Verbindung mit folgendem Kontext ab:

Fehler: GnuTLS error -110: The TLS connection was non-properly terminated. Status: Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen Fehler: Transferverbindung unterbrochen: ECONNABORTED - Connection aborted Fehler: Zeitüberschreitung der Verbindung Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Portforwarding ist eingerichtet. Port 21, 20 werden auf die IP Adresse des FTP Servers weitergeleitet.

Unverschlüsselt klappt die Verbindung im Intranet sowie extern erfolgreich.

 

[mensch183]

Würde mir erstmal anschauen, was

openssl s_client -connect hostname:portnummer -msg -starttls ftp

beim Verbindungsversuch von außen sagt.

 

[BpDk]

Hallo mensch183,

erstmal Danke für die schnelle Antwort, aber bitte nochma genauer für dumme. Was meinst du mit "beim verbindunsgverusch von außen sagt"

Gruß

 

[dcz01]

So, das ist ganz einfach. Ich würde hald auch mal den Port für verschlüsselte Anfragen aufmachen und weiterleiten (Port: 22 (SSH))

 

[BpDk]

Port 22 ist doch wie du schon sagst der Port für SSH ? Das hat doch mit dem FTP Protokoll nichts zutuhn. Die Verbindung zum Server wird ja auch so "halb" aufgebaut, dass heißt er erreicht die Ziel Ip Adresse.

Es geht nicht um SFTP, sondern um FTPES

 

[dcz01]

1. FTPES gibt es nicht
2. Zum verschlüsseln wird bei FTP immer das SSH-Protokoll genutzt (SSL), daher auch der Port
3. Machs einfach

Klar erreicht er minimal die Ziel-Adresse, aber kann keine vollständige Verbindung aufbauen, da er das Handshake nicht vollenden kann, da er nicht auf verschlüsselter Basis "reden" kann.

 

[BpDk]

FTPES (Explizites FTP über TLS) gibt es

Naya ich versuche es mal mit dem Port 22.

 

[dcz01]

Mag es evtl geben, aber dies ist kein spezifizierter Standard...
Daher musst du es über Port 22 machen, da kein anderer für dieses Protokoll vergeben/vorgesehen ist.

 

[BpDk]

Dacht ich mir schon, hab Port 20,21 und 22 offen auf die Ziel IP, gleiche Fehlermeldung.

 

[dcz01]

Hmm ok...
Sonst versuch mal das: http://www.plesk-forum.de/ftpes-ueber-explizites-tls-ssl-941.html
Google hilft meistens

 

[mensch183]

Mag es evtl geben, aber dies ist kein spezifizierter Standard...

Um RFC4217 geht es.

 

[BpDk]

Hallo Leute,

also danke für die Hilfe. Wenn ich eine bestimmte Port Range freigebe funktiioniert alles. Ich bin mal anhand dieses Beispiels vorgegangen

pasv_min_port=41361
pasv_max_port=51208

Aber wenn ich so viele Ports freigebe, brauche ich ja auch keine Firewall mehr Gibt es eine Mindestanzahl an freien Ports die offen sein müssen ?

Gruß und DANKE

 

[westef]

dcz01: Wenn man keine Ahnung hat, …

BpDk: Klar, soviele Ports sind unnötig. Unter Umständen kann schon ein einzelner Port reichen, solange nur ein Transfer gleichzeit stattfindet. Wenn mehrere Transfers stattfinden, dann lieber paar Ports mehr freigeben. Die Ports werden auch nur beim Aufbau der Verbindung benötigt, wenn der eigentliche Transfer läuft dann ist der Passive Port wieder frei.

 

[Daaron]

1. FTPES gibt es nicht
2. Zum verschlüsseln wird bei FTP immer das SSH-Protokoll genutzt (SSL), daher auch der Port

FTP über SSH = SFTP
FTP mit explizitem TLS = FTPS

2 vollkommen unterschiedliche Ansätze.

Wie das genau bei VSFTP läuft kann ich dir leider nicht sagen. Ich verwende PureFTP (mit MySQL als User-Verwaltung), da klappt TLS recht gut.