Nun habe ich leider schon wieder ein Thema zu FTPS. Es geht um Folgendes:
Ich habe vsftp als Server laufen. Über mein Heimnetzwek kann ich auf diesen per ftp-client (ftp und ftp-ssl) zugreifen. Ob verschlüsselt oder unverschlüsselt macht keinen Unterschied. Beides funktioniert problemlos.
Nun zum Problem: Möchte ich von einem externen Netz auf den vsftp-Server zugreifen, ist dies nicht mehr über eine verschlüsselte Verbindung möglich. Ich benutze als dynamische Adresse den Service von 'no-ip.com'. Ändere ich die vsftpd.config, so dass unverschlüsselte Verbindungen möglich sind (ssl_enable=NO), funktioniert der Zugriff 'von Außen' wieder.
Anbei einige wichtige Dateien:
Code: Alles auswählen
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-vsftpd tcp -- anywhere anywhere multiport dports ftp,ftp-data,ftps,ftps-data
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-vsftpd (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
http://nopaste.debianforum.de/39357
Auszug aus der vsftpd.log:
=========================Sat Jun 11 14:58:54 2016 [pid 622] CONNECT: Client "::ffff:93.200.243.238"
Sat Jun 11 14:58:54 2016 [pid 622] FTP response: Client "::ffff:93.200.243.238", "220 Willkommen am ftp-Server von jcw."
Sat Jun 11 14:58:57 2016 [pid 622] FTP command: Client "::ffff:93.200.243.238", "USER ftpguest"
Sat Jun 11 14:58:57 2016 [pid 622] [ftpguest] FTP response: Client "::ffff:93.200.243.238", "331 Please specify the password."
Sat Jun 11 14:59:03 2016 [pid 622] [ftpguest] FTP command: Client "::ffff:93.200.243.238", "PASS <password>"
Sat Jun 11 14:59:04 2016 [pid 621] [ftpguest] OK LOGIN: Client "::ffff:93.200.243.238"
Sat Jun 11 14:59:04 2016 [pid 627] [ftpguest] FTP response: Client "::ffff:93.200.243.238", "230 Login successful."
Sat Jun 11 14:59:05 2016 [pid 627] [ftpguest] FTP command: Client "::ffff:93.200.243.238", "PORT 93,200,243,238,205,47"
Sat Jun 11 14:59:05 2016 [pid 627] [ftpguest] FTP response: Client "::ffff:93.200.243.238", "200 PORT command successful. Consider using PASV."
Sat Jun 11 14:59:05 2016 [pid 627] [ftpguest] FTP command: Client "::ffff:93.200.243.238", "LIST"
Sat Jun 11 14:59:06 2016 [pid 627] [ftpguest] FTP response: Client "::ffff:93.200.243.238", "150 Here comes the directory listing."
Sat Jun 11 14:59:06 2016 [pid 627] [ftpguest] FTP response: Client "::ffff:93.200.243.238", "226 Directory send OK."
Nun zur verschlüsselten Varinate, bei der ein interner Zugriff funktioniert, ein externer Zugriff aber eine Fehlermeldung gibt.
/etc/vsftpd.conf für den Fall, verschlüsselter Zugriff intern OK und verschlüsselt extern funktioniert NICHT:
http://nopaste.debianforum.de/39358
Eigentlich habe ich nur den Schalter:
Code: Alles auswählen
ssl_enable=YES
Wie gesagt, der Zugriff im internen Heimnetzwerk funktioniert, aber der externe Zugriff leider nicht. Ein Login ist möglich, aber schon ein 'directory listing' schlägt fehl. Ich benutze dafür das Programm ftp-sslAnbei der Ausgabe zum vsftpd.log:
Ich zwar kein Experte, aber ich behaupte, dass eine Verbindung von außen aufgebaut werden kann, aber es dann Probleme gibt, die etwas mit dem ftp-Protokoll zu tun haben. Stimmt da was mit den Ports nicht? An meinem Router kann ich nur ein Portforwarding einrichten. Umgleleitete Ports-öffentlich: 21, umgeleitete Ports-private Client: 21. Ist das korrekt, dass beide den identischen Port besitzen?Thu Jun 9 21:52:55 2016 [pid 725] CONNECT: Client "::ffff:62.227.185.154"
Thu Jun 9 21:52:55 2016 [pid 725] FTP response: Client "::ffff:62.227.185.154", "220 Willkommen am ftp-Server von jcw."
Thu Jun 9 21:53:11 2016 [pid 725] FTP command: Client "::ffff:62.227.185.154", "AUTH SSL"
Thu Jun 9 21:53:11 2016 [pid 725] FTP response: Client "::ffff:62.227.185.154", "234 Proceed with negotiation."
Thu Jun 9 21:53:12 2016 [pid 725] DEBUG: Client "::ffff:62.227.185.154", "SSL version: TLSv1/SSLv3, SSL cipher: AES256-GCM-SHA384, not reused, no cert"
Thu Jun 9 21:53:12 2016 [pid 725] FTP command: Client "::ffff:62.227.185.154", "USER ftpguest"
Thu Jun 9 21:53:12 2016 [pid 725] [ftpguest] FTP response: Client "::ffff:62.227.185.154", "331 Please specify the password."
Thu Jun 9 21:53:24 2016 [pid 725] [ftpguest] FTP command: Client "::ffff:62.227.185.154", "PASS <password>"
Thu Jun 9 21:53:25 2016 [pid 723] [ftpguest] OK LOGIN: Client "::ffff:62.227.185.154"
Thu Jun 9 21:53:25 2016 [pid 731] [ftpguest] FTP response: Client "::ffff:62.227.185.154", "230 Login successful."
Thu Jun 9 21:53:25 2016 [pid 731] [ftpguest] FTP command: Client "::ffff:62.227.185.154", "SYST"
Thu Jun 9 21:53:25 2016 [pid 731] [ftpguest] FTP response: Client "::ffff:62.227.185.154", "215 UNIX Type: L8"
Thu Jun 9 21:53:44 2016 [pid 731] [ftpguest] FTP command: Client "::ffff:62.227.185.154", "PORT 192,168,2,131,206,234"
Thu Jun 9 21:53:44 2016 [pid 731] [ftpguest] FTP response: Client "::ffff:62.227.185.154", "500 Illegal PORT command."
Thu Jun 9 21:53:50 2016 [pid 731] [ftpguest] FTP command: Client "::ffff:62.227.185.154", "QUIT"
Thu Jun 9 21:53:50 2016 [pid 731] [ftpguest] FTP response: Client "::ffff:62.227.185.154", "221 Goodbye."
Den passiven ftp-mode habe ich auch schon ausprobiert. Dann funktioniert es auch nicht.
Hier nochmal ein Auszug von netstat -a:
http://nopaste.debianforum.de/39360
Nochmal kurz zusammengefasst:
unverschlüsselt: INTERN funkt., EXTERN funkt.
verschlüsselt: INTERN funkt., EXTERN funkt. NICHT
Danke für die Hilfe!