FritzBox 7270 verweigert FTPS Verbindung

[HansDampf00900]

Hi,

ich habe an meiner FritzBox eine USB-Festplatte angeschlossen und möchte diese aus dem Internet erreichbar machen. Eine Verbindung nur per FTP scheint mir etwas zu unsicher. Also wollte ich zumindest die eingebaute Funktion "Nur sichere FTP-Verbindungen zulassen (FTPS)" nutzen und somit etwas an Sicherheit gewinnen.
Die Verbindung über FTP ließ sich problemlos aufbauen.
Seitdem ich die FTPS Funktion in der FritzBox aktiviert habe, funktioniert das leider garnicht mehr. Probiert habe ich es mit Filezilla und SmartFTP.
Mit den Einstellungen "FTP - explizites TLS/SSL" und korektem Nutzername und Passwort.

Filezilla liefert folgenden Log:

Status: Auflösen der IP-Adresse für xxxxxxxxx
Status: Verbinde mit xxxxxxxxxxx...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 FRITZ!BoxFonWLAN7270v3(UI) FTP server ready.
Befehl: AUTH TLS
Antwort: 234 Authentication method accepted
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Befehl: USER ftpuser
Status: TLS/SSL-Verbindung hergestellt.
Antwort: 331 Password required for ftpuser.
Befehl: PASS *********************
Antwort: 230 User ftpuser logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8 Version: Linux 2.6.19.2
Befehl: FEAT
Antwort: 211- Extensions supported:
Antwort: UTF8
Antwort: MDTM
Antwort: SIZE
Antwort: AUTH TLS
Antwort: PBSZ
Antwort: PROT
Antwort: 211 end
Befehl: OPTS UTF8 ON
Antwort: 200 UTF8 ON
Befehl: PBSZ 0
Antwort: 200 ok
Befehl: PROT P
Antwort: 200 Data channel will be secured
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (92,194,50,87,14,113)
Befehl: LIST
Fehler: GnuTLS error -53: Error in the push function.
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Soweit ich dass beurteilen kann wird die Verbindung zuerst richtig hergestellt, aber dann geht etwas schief. Ich komm leider nciht weiter, deswegen frage ich mal hier nach.
Ich wäre sehr dankbar um etwas kompetente Hilfe.

Grüße
Leo

[LMS23]

Hallo,

das gleiche Problem hab ich auch (54.04.86 und 54.04.88 ). Ich hab grad wieder bei AVM eine Anfrage gestartet mit welchem FTP Tool man sich denn bitte an ihr FTPS anmelden kann.

Ich hab smartFTP, FileZilla und WinSCP Probiert. Ich bekomm auch immer nur eine Auth Fehlermeldung.

Intern klappts ohne Probleme (also 192.168.178.1) aber sobald ich aus dem Internet drauf zugreife (extern IP) wird die Verbindung immer verweigert.

Solange "nur" FTP funktioniert, lass ich die Funktion komplett aus, denn das ist mir nicht ganz geheuer....

Am liebsten wär mir eh SFTP...

Grüße

[HansDampf00900]

Ein Freund von mir hat es mit seinem MacBook probiert und konnte sogar ne kleine test Datei hochladen, aber dann wurde die Verbindung mit einer Fehlermeldung das Server-Zertifikat betreffend abgebrochen.
Bei ist die Verbindung, wie bei dir, intern problemlos möglich, aber die hat ja auch nichts mit dem ftp Server zu tun.
Falls von du von AVM was nützlichen erfährst wäre ich froh auch davon zu hören.

[LMS23]

Mit Intern mein ich schon nen FTP Server nur halt auf die Interne IP, sobald ich über einen anderen Rechner extern die externe IP eingebe und mich verbinden will kommt der AUTH Fehler

Bis jetzt hab ich von AVM noch nichts, aber ich denke das kommt im laufe der nächsten Woche

[Peter_Lehmann]

Hallo,

ich selbst nutze zwar "nur" den vsftp-Server auf meiner gefreetzten 7270, aber ich denke mal, dass der AVM-ftp-Server mit FTPES nicht viel anders umgeht, als der vsftpd.

Fakt ist, dass sehr viele ftp-Clients mit FTPES nicht richtig funktionieren. (Verbindungsaufnahme ja, aber kein Listen der Ordner und Dateien, also exakt wie beim Logauszug von Leo.)
So dass ich auch lange auf diese Option verzichtet habe. Aber Filezilla in der aktuellen Version 3.3.5.1 macht das wirklich perfekt. Sowohl die Datenübertragung als auch das Login.

Noch eine Bemerkung zum Ausgangsbeitrag:

Eine Verbindung nur per FTP scheint mir etwas zu unsicher.

Volle Zustimmung, klar.
Aber was erreichst du mit FTPES?
- Die Verbindung ist verschlüsselt => der Mitleser hat zumindest einige Probleme, und
- durch den Vergleich des Serverzertifikates weißt du, dass du mit dem richtigen Server verbunden bist .

Du musst aber immer daran denken, dass die Authentifizierung am Server lediglich mit dem allgemein bekannten Benutzername "ftpuser" und deinem Passwort erfolgt! FTPES schützt also nicht vor unbefugtem Eindringen in deinen Server! Außer natürlich, dass die üblichen automatischen Tools der Scriptkiddies nach einem offenen Port 21 suchen und dann ihre Listen an üblichen Benutzernamen und Passwörtern abarbeiten. Dabei testen sie erst gar nicht, ob lediglich FTPES möglich ist. Es wird den Spielmatzen also etwas der Spaß verdorben.
(Ich habe jeden Tag zwischen 2 und 3 Tausend "Anklopfversuche" )

Also: Ein wirklich gutes Passwort verwenden und dieses regelmäßig wechseln! Und die Logs auswerten - wobei ich nicht weiß, ob das bei der ungefreetzten Box möglich ist (in der normalen Ereignisanzeige??), ich habe bei mir u.a. den AVM-ftp rausgepatcht.

Leo, sicherlich wusstest du das alles schon.
Aber vielleicht nutzt es dem einem der gewollten "Mitleser" hier im Forum.

Nachtrag:
Eine beidseitige Zertifikatsbasierte Auth. wäre natürlich der Königsweg. Oder auch sftp, was ja auch eine beidseitige Authentifizierung mit asymmetrischen Schlüsseln ist. Aber das ist beides nicht mal auf dem vsftp-Server zu haben, vom AVM-ftp ganz zu schweigen ... .

MfG Peter

[PCMor]

Mit FileZilla 3.3.5.1 zeigt sich bei mir noch immer das selbe Fehlerbild wie bei HansDampf00900.

Witzigerweise funktioniert aber das Firefox-Add-on FireFTP vollkommen tadellos und fehlerfrei (mit AuthTLS)

Reicht mir erstmal...

[RalfFriedl]

Soweit ich dass beurteilen kann wird die Verbindung zuerst richtig hergestellt, aber dann geht etwas schief.

Die FTP-Verbindung wird aufgebaut, aber die Daten-Verbindung nicht. Vermutlich ist eine Pause zwischen dem Befehl LIST und der Fehlermeldung.
Muß man die Daten-Ports extra freigeben, oder macht das die Firmware automatisch, wenn man den AVM FTP einsetzt?

dass die Authentifizierung am Server lediglich mit dem allgemein bekannten Benutzername "ftpuser" und deinem Passwort erfolgt! FTPES schützt also nicht vor unbefugtem Eindringen in deinen Server!

Natürlich schützt eine Verschlüsselung nicht vor einem schlechten Paßwort.
Das Gleiche könnte man auch über SSH oder sftp sagen.

[Peter_Lehmann]

Deswegen auch mein Nachtrag.
(Eine beidseitige Zertifikatsbasierte Auth. wäre natürlich der Königsweg. Oder auch sftp, was ja auch eine beidseitige Authentifizierung mit asymmetrischen Schlüsseln ist.)
Wer ssh/sftp mit Benutzername+PW zulässt, ist selber schuld.

[LMS23]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Also ich hab jetzt mal eine "schwammige" Antwort von AVM erhalten:

...
Folgende FTP-Clients konnten wir erfolgreich mit der FRITZ!Box testen:

WICHTIG:
Die FTP-Clients funktionieren mit der zum jeweiligen Testzeitpunkt
verfügbaren aktuellen Version.

- FireFTP
- CoreFTP (FTPS only, kein mixed mode)
- FTP Voyager
- TotalCommander
- SmartFTP
...

Ich finde es schon komisch wieso FileZilla oder auch WinSCP nicht funktionieren

[Beitrag 2:]

Wer ssh/sftp mit Benutzername+PW zulässt, ist selber schuld.

Naja, ich hab jetzt nicht sooo wichtige Daten auf der FB das sich ein Angriff lohnen würde. Aber FTPS (oder SFTP) wäre auf jedenfall schon mal viel besser als normales FTP soviel ist sicher...

[HansDampf00900]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Hm, komisch. Mit SmartFTP hab ich auch schon probiert und kein Erfolg gehabt.
Mir ist aufgefallen, dass sich einige FTp-Clients über das serverseitige Zertifikat beschweren. Die akzeptieren das nicht, weil es seit 1970 abgelaufen ist oder so
ich weiß nicht ob das zu dem Fehler beiträgt oder nebensächlich ist.

[PCMor]

Noch einer, der unter Windows funzt (AuthSSL): WS_FTP.

Nur zur Info...

[Golgorod]

Hallo,

eigentlich ist die Antwort darauf relativ eifach warum Filezilla nicht funktioniert. Und ehrlich gesagt bin ich langsam auch froh darüber, denn endlich wird in Bezug auf Sicherheit (auf Client-Seite) etwas getan.
Nur leider dauert es ewig bis alle "großen" FTP-Server dies berücksichtigen. Dementsprechend wird es dauern bis AVM reagiert.
Der entsprechende Beitrag findet sich im Filezilla-Forum:
spoofed FIN TCP packets - Server's Fault

Wer mehr wissen möchte:
Cisco-Security

Also AVM-Anschreiben. Die müssen was tun!

[RalfFriedl]

Hat das etwas mit dem Problem in diesem Thread zu tun?

[blondi3480]

Hallo,

ich quäle mich seit Tagen herum eine FTPS Verbindung zur Fritzbox 7240 aufzubauen. Ich komme einfach nicht weiter. Wenn ich mich mit dem Total Commander über FTP mit SSL/TLS verbinden will kommt immer folgende Meldung:

...
200 Data channel will be secured
Connect ok!
PWD
257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A.
PASV
425 Can't open passive connection. No such file or directory.
PORT 192,168,178,36,249,250
500 Illegal PORT Command


Ich hab alles so eingestellt wie es weiter oben beschrieben ist. Aber sobald ich mich auf die externe IP der Box mit SSL verbinden will streikt er. Wenn ich mit auf die interne IP verbinde funktioniert das FTPS allerdings.

Hat jemand eine Idee was ich falsch mache?

[RalfFriedl]

Normalerweise sollte der Server auf das PORT-Kommando damit reagieren, daß er eine IP-Adresse und Port zurück meldet. Hast Du eine Konfiguration, die verhindert, daß er die öffentliche IP-Adresse nutzen darf, oder ist kein Port mehr frei?

[blondi3480]

Hallo,

Normalerweise sollte der Server auf das PORT-Kommando damit reagieren, daß er eine IP-Adresse und Port zurück meldet.

also so wie ich das sehe kommt das PORT Kommando nur, weil er beim PASV Kommando eine Fehlermeldung bekommt. Eigentlich sollte die Verbindung im passiven Modus laufen. So wird es jedenfalls von AVM gefordert. Das PORT Kommando kommt also nur weil er nicht in den passiven Modus wechseln kann und dann alternativ den aktiven Versucht.

Die Frage ist: Warum kann er nicht in den passiven Modus wechseln? Da läuft doch eigentlich alles über Port 21 - oder?
(Übrigens sollte die Fritzbox die Portfreigaben automatisch setzen, falls notwendig. Der Benutzer selbst darf gar keine Port Freigaben auf die Box selbst anlegen.)

[RalfFriedl]

Ich wollte schreiben, daß der FTP-Server auf das PASV-Kommando damit reagieren sollte, daß er selbst einen Port angibt. Beim PORT-Kommando wird der Port als Parameter für das Kommando angegeben.
Ob aktiv oder passiv, die Daten-Kommunikation läuft bei FTP nie über Port 21, sondern immer über eine getrennte Datenverbindung. Die einzige Frage ist, in welche Richtung diese aufgebaut wird, vom Server zum Client oder vom Client zum Server.

[blondi3480]

Ich wollte schreiben, daß der FTP-Server auf das PASV-Kommando damit reagieren sollte, daß er selbst einen Port angibt.

Damit stellt sich jetzt die Frage warum mir die Fritzbox bei einer verschlüsselten Verbindung von außen keinen Port mitteilt.

[Golgorod]

@RalfFriedl

Natürlich hat es das. Das ist halt der Grund warum SSL nicht funktioniert mit Filezilla. Und füher oder spater wird es auch alle anderen Clients betreffen, wenn da ein Update kommt.
Ist doch eigentlich alles selbsterklärend.

[sf3978]

... Das ist halt der Grund warum SSL nicht funktioniert mit Filezilla.
...

Bei mir funktioniert SSL mit Filezilla.