FritzBox 7270 verweigert FTPS Verbindung

[HansDampf00900]

Hi,

ich habe an meiner FritzBox eine USB-Festplatte angeschlossen und möchte diese aus dem Internet erreichbar machen. Eine Verbindung nur per FTP scheint mir etwas zu unsicher. Also wollte ich zumindest die eingebaute Funktion "Nur sichere FTP-Verbindungen zulassen (FTPS)" nutzen und somit etwas an Sicherheit gewinnen.
Die Verbindung über FTP ließ sich problemlos aufbauen.
Seitdem ich die FTPS Funktion in der FritzBox aktiviert habe, funktioniert das leider garnicht mehr. Probiert habe ich es mit Filezilla und SmartFTP.
Mit den Einstellungen "FTP - explizites TLS/SSL" und korektem Nutzername und Passwort.

Filezilla liefert folgenden Log:

Status: Auflösen der IP-Adresse für xxxxxxxxx
Status: Verbinde mit xxxxxxxxxxx...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 FRITZ!BoxFonWLAN7270v3(UI) FTP server ready.
Befehl: AUTH TLS
Antwort: 234 Authentication method accepted
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Befehl: USER ftpuser
Status: TLS/SSL-Verbindung hergestellt.
Antwort: 331 Password required for ftpuser.
Befehl: PASS *********************
Antwort: 230 User ftpuser logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8 Version: Linux 2.6.19.2
Befehl: FEAT
Antwort: 211- Extensions supported:
Antwort: UTF8
Antwort: MDTM
Antwort: SIZE
Antwort: AUTH TLS
Antwort: PBSZ
Antwort: PROT
Antwort: 211 end
Befehl: OPTS UTF8 ON
Antwort: 200 UTF8 ON
Befehl: PBSZ 0
Antwort: 200 ok
Befehl: PROT P
Antwort: 200 Data channel will be secured
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (92,194,50,87,14,113)
Befehl: LIST
Fehler: GnuTLS error -53: Error in the push function.
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Soweit ich dass beurteilen kann wird die Verbindung zuerst richtig hergestellt, aber dann geht etwas schief. Ich komm leider nciht weiter, deswegen frage ich mal hier nach.
Ich wäre sehr dankbar um etwas kompetente Hilfe.

Grüße
Leo

[LMS23]

Hallo,

das gleiche Problem hab ich auch (54.04.86 und 54.04.88 ). Ich hab grad wieder bei AVM eine Anfrage gestartet mit welchem FTP Tool man sich denn bitte an ihr FTPS anmelden kann.

Ich hab smartFTP, FileZilla und WinSCP Probiert. Ich bekomm auch immer nur eine Auth Fehlermeldung.

Intern klappts ohne Probleme (also 192.168.178.1) aber sobald ich aus dem Internet drauf zugreife (extern IP) wird die Verbindung immer verweigert.

Solange "nur" FTP funktioniert, lass ich die Funktion komplett aus, denn das ist mir nicht ganz geheuer....

Am liebsten wär mir eh SFTP...

Grüße

[HansDampf00900]

Ein Freund von mir hat es mit seinem MacBook probiert und konnte sogar ne kleine test Datei hochladen, aber dann wurde die Verbindung mit einer Fehlermeldung das Server-Zertifikat betreffend abgebrochen.
Bei ist die Verbindung, wie bei dir, intern problemlos möglich, aber die hat ja auch nichts mit dem ftp Server zu tun.
Falls von du von AVM was nützlichen erfährst wäre ich froh auch davon zu hören.

[LMS23]

Mit Intern mein ich schon nen FTP Server nur halt auf die Interne IP, sobald ich über einen anderen Rechner extern die externe IP eingebe und mich verbinden will kommt der AUTH Fehler

Bis jetzt hab ich von AVM noch nichts, aber ich denke das kommt im laufe der nächsten Woche

[Peter_Lehmann]

Hallo,

ich selbst nutze zwar "nur" den vsftp-Server auf meiner gefreetzten 7270, aber ich denke mal, dass der AVM-ftp-Server mit FTPES nicht viel anders umgeht, als der vsftpd.

Fakt ist, dass sehr viele ftp-Clients mit FTPES nicht richtig funktionieren. (Verbindungsaufnahme ja, aber kein Listen der Ordner und Dateien, also exakt wie beim Logauszug von Leo.)
So dass ich auch lange auf diese Option verzichtet habe. Aber Filezilla in der aktuellen Version 3.3.5.1 macht das wirklich perfekt. Sowohl die Datenübertragung als auch das Login.

Noch eine Bemerkung zum Ausgangsbeitrag:

Eine Verbindung nur per FTP scheint mir etwas zu unsicher.

Volle Zustimmung, klar.
Aber was erreichst du mit FTPES?
- Die Verbindung ist verschlüsselt => der Mitleser hat zumindest einige Probleme, und
- durch den Vergleich des Serverzertifikates weißt du, dass du mit dem richtigen Server verbunden bist .

Du musst aber immer daran denken, dass die Authentifizierung am Server lediglich mit dem allgemein bekannten Benutzername "ftpuser" und deinem Passwort erfolgt! FTPES schützt also nicht vor unbefugtem Eindringen in deinen Server! Außer natürlich, dass die üblichen automatischen Tools der Scriptkiddies nach einem offenen Port 21 suchen und dann ihre Listen an üblichen Benutzernamen und Passwörtern abarbeiten. Dabei testen sie erst gar nicht, ob lediglich FTPES möglich ist. Es wird den Spielmatzen also etwas der Spaß verdorben.
(Ich habe jeden Tag zwischen 2 und 3 Tausend "Anklopfversuche" )

Also: Ein wirklich gutes Passwort verwenden und dieses regelmäßig wechseln! Und die Logs auswerten - wobei ich nicht weiß, ob das bei der ungefreetzten Box möglich ist (in der normalen Ereignisanzeige??), ich habe bei mir u.a. den AVM-ftp rausgepatcht.

Leo, sicherlich wusstest du das alles schon.
Aber vielleicht nutzt es dem einem der gewollten "Mitleser" hier im Forum.

Nachtrag:
Eine beidseitige Zertifikatsbasierte Auth. wäre natürlich der Königsweg. Oder auch sftp, was ja auch eine beidseitige Authentifizierung mit asymmetrischen Schlüsseln ist. Aber das ist beides nicht mal auf dem vsftp-Server zu haben, vom AVM-ftp ganz zu schweigen ... .

MfG Peter

[PCMor]

Mit FileZilla 3.3.5.1 zeigt sich bei mir noch immer das selbe Fehlerbild wie bei HansDampf00900.

Witzigerweise funktioniert aber das Firefox-Add-on FireFTP vollkommen tadellos und fehlerfrei (mit AuthTLS)

Reicht mir erstmal...

[RalfFriedl]

Soweit ich dass beurteilen kann wird die Verbindung zuerst richtig hergestellt, aber dann geht etwas schief.

Die FTP-Verbindung wird aufgebaut, aber die Daten-Verbindung nicht. Vermutlich ist eine Pause zwischen dem Befehl LIST und der Fehlermeldung.
Muß man die Daten-Ports extra freigeben, oder macht das die Firmware automatisch, wenn man den AVM FTP einsetzt?

dass die Authentifizierung am Server lediglich mit dem allgemein bekannten Benutzername "ftpuser" und deinem Passwort erfolgt! FTPES schützt also nicht vor unbefugtem Eindringen in deinen Server!

Natürlich schützt eine Verschlüsselung nicht vor einem schlechten Paßwort.
Das Gleiche könnte man auch über SSH oder sftp sagen.

[Peter_Lehmann]

Deswegen auch mein Nachtrag.
(Eine beidseitige Zertifikatsbasierte Auth. wäre natürlich der Königsweg. Oder auch sftp, was ja auch eine beidseitige Authentifizierung mit asymmetrischen Schlüsseln ist.)
Wer ssh/sftp mit Benutzername+PW zulässt, ist selber schuld.

[LMS23]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Also ich hab jetzt mal eine "schwammige" Antwort von AVM erhalten:

...
Folgende FTP-Clients konnten wir erfolgreich mit der FRITZ!Box testen:

WICHTIG:
Die FTP-Clients funktionieren mit der zum jeweiligen Testzeitpunkt
verfügbaren aktuellen Version.

- FireFTP
- CoreFTP (FTPS only, kein mixed mode)
- FTP Voyager
- TotalCommander
- SmartFTP
...

Ich finde es schon komisch wieso FileZilla oder auch WinSCP nicht funktionieren

[Beitrag 2:]

Wer ssh/sftp mit Benutzername+PW zulässt, ist selber schuld.

Naja, ich hab jetzt nicht sooo wichtige Daten auf der FB das sich ein Angriff lohnen würde. Aber FTPS (oder SFTP) wäre auf jedenfall schon mal viel besser als normales FTP soviel ist sicher...

[HansDampf00900]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Hm, komisch. Mit SmartFTP hab ich auch schon probiert und kein Erfolg gehabt.
Mir ist aufgefallen, dass sich einige FTp-Clients über das serverseitige Zertifikat beschweren. Die akzeptieren das nicht, weil es seit 1970 abgelaufen ist oder so
ich weiß nicht ob das zu dem Fehler beiträgt oder nebensächlich ist.

[PCMor]

Noch einer, der unter Windows funzt (AuthSSL): WS_FTP.

Nur zur Info...