FTP SSL/TSL passiv Port forwarding

[Wishezz]

Hallo Leute,

ich willte eigentlich nichts weiter tun als über eine verschlüsselte Leitung auf meinen FTP der NAS zugreifen.

Ohne SSL/TSL ist das alles auch kein Thema, nur scheint bei mir irgendwie der Wurm bei den Ports drin zu sein. Ich stelle offensichtlich irgendwas falsch ein.

in der Fritzbox ist der Port 21 für die normale Verbindung einstellt.
Wenn ich nun aber in der NAS nachschaue nutzt der für den passiven Modus (in den der mich immer wieder schieben will) einen ganz anderen Port.
Soweit so gut.

Ich hab bisher versucht die eingehende passive Portrange auf die selbe Portrange weiterzuleiten.
--> klappt nicht,
mit der Meldung: "Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." und nichts weiter passiert.

Auf port 21 kann ich schlecht weiterleiten da die Fritzbox sagt die Freigabe gibt es schon.

Muss ich vom Port 21 auf den passiven Port umleiten?
Ist es doch nen anderer Port?!

War nicht mal Port 20 für passiv der Standardport?

Ergänzung (30. Januar 2011)

Zur Verbindung möchte ich ganz gerne FileZilla nehmen.
Vielleicht ist DA ja was falsch eingestellt?!?

Ergänzung (30. Januar 2011)

Inzwischen glaub ich es liebt am passiven Modus.

Kann es sein dass mein Router das einfach nicht kann?
wenn ich FTPES nuze und bei dem aktiven Modus bleibe scheint es zu gehen.
Intern hab ich auch keine Probleme auf den Server zu kommen

 

[grünel]

Der FTP-Server sendet beim PASV-Kommando neben der Portnummer immer die IP-Adresse des Servers mit. Der Client versucht dann, zur vom Server angegebenen IP zu connecten. Ich gehe stark davon aus, dass der Server in deinem Fall die interne IP-Adresse sendet, anstatt der öffentlichen. Dein FTP-Client versucht dann also von außen auf die interne IP zuzugrifen, was logischerweise nicht funktioniert. Normalerweise kann man im Server konfigurieren, welche IP beim PASV-Kommando gesendet werden soll, dort müsstest du dann deine öffentliche IP angeben.

Ich empfehle dir, SFTP (SSH File Transfer Protocol) zu nutzen, falls es dein NAS unterstützt. Klappt wesentlich besser.

 

[Wishezz]

die option gibt es wirklich.
leider will er nur ne IP haben.
Da fällt der passive Modus wohl für mich flach.
solange es mit FTPES sicher genug ist, ok^^

 

[grünel]

Ja, FTPES bietet ausreichend Sicherheit.

 

[Wishezz]

Ich hab jetzt nen anderes Problem.....
vielleicht haste da auch ne Idee...

ich wollte nen zertifikat erstellen mit private key
eingegeben und gespeichert.
jetzt hab ich die seite verlassen ohne es runterzuladen
nun komm ich nicht mehr auf den server.....
die Daten kann ich sichern, kein Thema

kann ich das zerfitikat auch am Rechner generieren?
code und key weiß ich ja....

 

[grünel]

Das wird wohl nicht funktionieren, wenn der Zugang jetzt mit dem Zertifikat gesichert ist...

 

[Wishezz]

ich habs befürchtet......also die TB daten sichern und NAS resetten, was?

 

[luky37]

SSL/TLS funktioniert nicht, weil dein Router durch die Verschlüsselung die FTP Packete nicht mehr analysieren kann, die entsprechenden DATA Ports werden dann nicht freigeschaltet.

Du musst einen Portrange für den Passive Mode konfigurieren und diesen im Router weiterleiten.

Siehe http://wiki.filezilla-project.org/Network_Configuration#Passive_mode_2

 

[Wishezz]

wenn ich mien NAS gesichert und resettet hab versuch ich das mal....
boah watt ärger ich mich gerade über meine eigene Schusseligkeit! ! !

 

[Wishezz]

Obwohl ich nun im aktiven Modus bleiben will kommt, nachdem er sich erfolgreich angemeldet hat, immernoch die Meldung:

"Befehl: MLSD
Antwort: 425 Unable to build data connection: No route to host
Fehler: Verzeichnisinhalt konnte nicht empfangen werden"

Port 21 ist frei. Da ich nur im aktiven Modus bleibe brauch ich doch keinen anderen?!
Und er kann sich doch generell mit dem Server verbinden, bekommt als ne Antwort.
Warum zeigt er dann also nur den Inhalt nicht?!

 

[grünel]

Port 21 (control) und 20 (data) braucht man für FTP.

Ich kann mich nur wiederholen, benutz lieber SFTP. FTP ist veralteter Mist.

 

[Wishezz]

es handelt sich ja um FTPES, also mit TLS/SSL (explezit)
Das "normale" FTP geht problemlos mit der Port 21 Weiterleitung.
Ist mir halt nur zu unsicher.

 

[luky37]

Vergiss aktives FTP, das kann heutzutage nicht mehr funktionieren. Entweder SFTP, oder passives FTP, aber mit den richtigen Einstellungen. Die Informationen dafür habe ich dir gegeben, wenn du noch Fragen hast, kannst du dich ja melden.

 

[Wishezz]

Ich hab jetzt eine Portfreigabe NUR für Port 22 eingerichtet. Hab mich also für SFTP entschieden.
Im NAS ist SSH und SFTP nun auch aktiviert.

Filezilla meckert diesmal:

"Fehler: Server unexpectedly closed network connection
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen"

Ich hab gesagt er soll die Verbindung akzeptieren und speichern, quasi.
In den Optionen von Filezilla kann ich aber nur eine Datei für SFTP angeben die ich nicht habe.

Ich steh aufm Schlauch und bin auch noch kurz angebunden, arghf......

 

[luky37]

Wir brauchen den gesamten Log. Außerdem wird es wahrscheinlich nicht funktionieren, wenn du von deinem internen Netz auf deine öffentliche IP zugreifst.

 

[Wishezz]

Im internen hab ich natürlich die interne IP genommen. Da klappt es auch mit FTPES weil er ja nich über den Router muss.
D.h. intern werd ich wohl FTPES weiter nutzen,
Extern halt lieber SFTP.

Ich habe also:

Port weiterleitung im Router von Port 21-22 auf Port 21-22 auf den NAS. (21 wg. FTPES und 22 für SFTP)
Im NAS hab ich (neben dem Haken beim aktivierten FTP-Dienst) auch nur den Haken bei "FTP mit SSL/TLS (explizit)"
Unicode-Unterstützung: nein
Anonyme Anmeldung: nein
Und unter dem Punkt SSH kann ich nur sagen dass SSH aktiviert sein soll auf Port 22 und dass SFTP aktiviert sein soll.

Intern gehts wie gesagt über FTPES explizit.
nur extern über SFTP kommt folgender LOG:

"Status: Verbinde mit [Der DynAlias]...
Antwort: fzSftp started
Befehl: open "[Benutzer]@[Der DynAlias" [Port]
Befehl: Neuem Serverschlüssel vertrauen: Einmal
Fehler: Server unexpectedly closed network connection
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Status: Nächsten Versuch abwarten..."
...... naja und dann halt das gleiche nochmal

 

[luky37]

Kannst du denn intern erfolgreich über SFTP zugreifen? Bist du bei deinem Test wirklich von extern (also einem anderen Internetanschluss) gekommen, oder hast du nur auf deine externe IP über den Dyndns zugegriffen?

 

[Wishezz]

Na super..... darauf kam ich natürlich nicht ...
jedenfalls geht es über SFTP nicht intern..... gleicher Fehler......
So langsam glaub ich ich sollte QNAP mal anschreiben....
In den Optionen von Filezille soll man angeblich einen Key hochladen.
diesen Schlüssel sollte er eigentlich bei Beginn der Verbindung speichern.
Macht er aber wohl nich.

Und extern ist wirklich extern

 

[luky37]

Hast du die Kiste mal neu gestartet? Vielleicht muss auch erst noch ein SSH Key auf de Box generiert werden.

 

[Wishezz]

Ich hab sie inzwischen nochmal neu gestartet.
Ich hab nicht mal ne Möglichkeit für SSH nen Key zu generieren.
Es kam ja erst nen Abfrage ob ich den Schlüssel zulassen möchte.
Natürlich mit Ja geantwortet.

Und selbst intern kommt die Meldung.

Vielleicht sollte ich mal nen neuen Thread aufmachen