NAS FTP SSL/TLS funktioniert nicht

[gibtsnet]

Hey,

ich hoffe das ich mein Problem im richtigen Unternforum einstelle.

Ich habe ein Synology DS412+ NAS mit DSM 5.0-4458 und habe auf diesem den FTP Dienst aktiviert. Nun wollte ich aber aufgrund der daraus resultierenden unverschlüsselten Kommunikation auf FTP mit SSL/TLS umsteigen. Ich habe den Dienst aktiviert und habe die Ports 21,55536-55567 im Router auf das NAS weitergeleitet(NAT Port Forwarding).
Wenn ich mich nun mit einem FTP Client mit SSL/TLS auf das NAS verbinden will bekomme ich die Meldung das der TLS/SSL Handshake nicht erfolgreich war. Ich habe auch versucht mich direkt über mit Konsolenprogramm (ftp-ssl) am FTP anmelden will bekomme ich folgende Fehlermeldung.


Hat jemand eine Ahnung was das sein kann? Das Problem tritt nur auf wenn von extern auf den FTP mit SSL/TLS zugreifen will, wenn ich im LAN bin dann geht es einwandfrei.

Vielen Dank für die Hilfe schon mal im voraus!

 

[HominiLupus]

Kannst du kein SFTP verwenden?

 

[gibtsnet]

Kannst du kein SFTP verwenden?

​
Kann ich prinzipiell schon, aber als Standard Konfiguration hat nur der root Benutzer SSH(SFTP) zugriff. Für andere Nutzer müsste ich dann in der /etc/passwd die Einträge editieren, was ich aber nicht unbedingt will. Außerdem möchte ich ungern SSH auf dem NAS aktivieren, da ich nicht weiß wie gut das Ding Attacken oder ähnliches abhält.

 

[HominiLupus]

Und der FTPd kann Attacken abhalten? Man muss ja kein Port 22 verwenden...

 

[gibtsnet]

Und der FTPd kann Attacken abhalten? Man muss ja kein Port 22 verwenden...

Dass FTP Attacken abhält stand ja nicht zur Debatte. Die Lösung mit SFTP ist mir bereits durch den Kopf gegangen, aber unabhängig davon sollte ja rein theoretisch auch der FTP mit SSL/TLS funktionieren, was er aber nicht tut

 

[IndianaX]

Also bei mir klappt es wunderbar. Hier mal meine Konfig der DS & FB.
In der FB hab ich extern absichtlich ein alternativen Port angegeben, erspart einem ein paar DoS Attacken (natürlich nicht alle).

 

[Skaarah]

Wichtig ist das zweite Bild von IndianaX.

Die externe IP muss im PASV-Modus nach aussen gemeldet werden.
Im LAN gehts immer, weil dein Router dich intern weiterleitet.
Von außen muss sich aber dein FTP mit der Externen IP melden.
Das Problem hatte ich an meiner QNAP auch. Nachdem ich die externe IP melden lasse gehts einwandfrei.

 

[gibtsnet]

Also bei mir klappt es wunderbar. Hier mal meine Konfig der DS & FB.
In der FB hab ich extern absichtlich ein alternativen Port angegeben, erspart einem ein paar DoS Attacken (natürlich nicht alle).

Die Konfiguration meiner DS ist genauso wie die von IndianaX. (siehe Anhang)
Außerdem habe ich auch den Haken bei externe IP im PASV-Modus berichten aktiviert.
Der normale FTP Server läuft ja, nur wenn ich auf dem mit Verschlüsselung zugreifen will gehts nicht und es kommt der Fehler welcher im ersten Post zu sehen ist.

Kann das Problem vlt. am Router liegen? (es ist ein Linksys WRT-54GL mit DD-WRT v24sp1)

 

[IndianaX]

aso, normales ftp geht. Hast du was an der Zertifikaten der DS gemacht? Ansonsten kann er nur noch am FTP-Client liegen. Ich hab Cyberduck und FileZilla im einsatz.

 

[gibtsnet]

An den Zertifikaten der DS habe ich nichts geändert.
Als FTP Client nehme ich auch Cyberduck und ForkLift, aber bei beiden kommt bei FTP/SSL-TLS der folgende Fehler.

Received fatal alert: bad_record_mac.

Ich werde einfach mal auf der DS die Zertifikate neu generieren, vlt. hilft das ja was.

Edit: Hat nichts gebracht die Zertifikate neu zu generieren.

 

[IndianaX]

1x kurz google angeworfen. ist wohl ein java/sslv3 problem auf deiner kiste.

 

[gibtsnet]

1x kurz google angeworfen. ist wohl ein java/sslv3 problem auf deiner kiste.

Hast du dafür zufälligerweise einen Link für mich? Ich habe bevor ich das Problem bei CB gepostet hatte auch bereits einen längeren Zeitraum mit der Suche verbracht, habe aber keine Lösung gefunden.

 

[IndianaX]

http://www.synology-forum.de/showthread.html?11421-DS-109-TLS-SSL-Problem

Aber Lösung scheint es tatsächlich keine zu geben.

 

[gibtsnet]

Ich habe jetzt einfach mal dem Synology Support eine Nachricht geschrieben und mal schauen was die so Antworten. Sobald ich Antwort habe werde ich diese hier reinstellen, damit es anderen mit dem gleichen Problem auch noch hilft.