.titleBar { margin-bottom: 5px!important; }

Problem mit vsftp und SSL

Dieses Thema im Forum "Freetz" wurde erstellt von Skaren, 24 Dez. 2011.

  1. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich versuche jetzt seit ein paar Tagen vsftpd mit SLL einzurichten. Ohne SSL läuft alles ohne Probleme.
    Ich habe mit openssl (openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem) ein Zertifikat erstellt und in der Freetz Weboberfläche hinzugefügt. Außerdem SSL aktiviert.
    Sobald ich jetzt versuche über FileZilla auf den FTP Server zuzugreifen bekomme ich folgende Fehlermeldung:
    Code:
    Error:	GnuTLS error -53: Error in the push function.
    Error:	Connection timed out
    Error:	Failed to retrieve directory listing
    Ich hoffe ihr könnt mir bei diesem Problem helfen.

    Viele Grüße Skaren
     
  2. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    #2 sf3978, 24 Dez. 2011
    Zuletzt bearbeitet: 24 Dez. 2011
    Erfolgt der Zugriff im (W)LAN oder über das Internet (d. h. von einem anderen Internetanschluss)?

    EDIT:


    Schau mit lsof (wenn auf der Box) oder mit netstat, dass der Server auf dem gewollten Port lauscht. Dann mit nmap einen Scan auf die IP-Adresse und den Port machen. Wenn über das Internet, ist der Port für das Internet freigegeben?

    EDIT 2:

    Welche Filezilla-Version benutzt Du bzw. gegen welche GnuTLS-Version ist dieser Filezilla-Client gelinkt?
     
  3. SaschaBr

    SaschaBr Aktives Mitglied

    Registriert seit:
    1 Mai 2007
    Beiträge:
    2,232
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    NRW
    Die Ports für SSL hast Du im WebIF aber eingetragen und auch in der Firewall freigegeben?
    Auch die beiden anderen Optionen (siehe Bild) sollten für SSL aktiviert sein.

    vdftp-ssl.JPG
     
  4. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für eure schnellen Antworten.

    Ich habe den FTP Zugang bis jetzt immer nur Intern getestet. Also übers LAN.
    Die FileZilla Version die ich benutzt habe ist: 3.5.2 für Mac OS.

    Die Einstellungen in der Web Oberfläche von Freetz habe ich wie im angehängten Screenshot von SaschaBr gesetzt. In der Firewall habe ich die Ports wie folgt weiter geleitet:
    Freetz – AVM-Firewall.jpg

    Viele Grüße
     
  5. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Hast Du die Möglichkeit extern zu testen, d. h. über einen anderen Internetanschluss? Im LAN wird SSL für ftp, i. d. R. nicht benötigt.
    Bei der Freigabe/Weiterleitung der passiven Ports in der Firewall, solltest Du identische Quell- und Zielports verwenden. Im LAN wird die Freigabe/Weiterleitung aber nicht benötigt.
    Bitte poste auch deine anonymisierte vsftpd.conf.
     
  6. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das war die Lösung! Ich danke euch! :)

    Ich war davon ausgegangen, dass man die Passiven Ports auf den Port 21 weiterleiten muss.
    Nachdem ich beim Zielport auch die 21212+51 eingetragen hatte lief alles ohne Probleme!

    Viele Grüße Skaren
     
  7. SaschaBr

    SaschaBr Aktives Mitglied

    Registriert seit:
    1 Mai 2007
    Beiträge:
    2,232
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    NRW
    #7 SaschaBr, 26 Dez. 2011
    Zuletzt bearbeitet: 26 Dez. 2011
    Kleiner Tip noch von mir:
    Verwende anstatt den "Standard-Port" für FTP einen belibigen anderen (z.B. 21123, weitergeleitet auf 21). Dann wird Dein Server nicht so häufig von zufälligen Zugriffsversuchen "belästigt". ;)
     
  8. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für den Tip. Das habe ich gleich mal umgesetzt.

    Leider habe ich jetzt noch ein anderes Problem. Sobald ich ein paar Minuten nichts am FTP Server mache (Dateien kopieren, etc.) bekomme ich folgende Fehler Meldung:
    Code:
    Error:	GnuTLS error -8: A record packet with illegal version was received.
    Error:	Disconnected from server: ECONNABORTED - Connection aborted
    Eventuell noch jemand ne Idee, was man da machen kann?

    Viele Grüße
     
  9. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Sendet dein FTP-Client "FTP-Verbindungserhaltungs-Befehle"?
     
  10. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #10 Skaren, 27 Dez. 2011
    Zuletzt bearbeitet: 27 Dez. 2011
    Es kann sehr gut sein, dass der Client das nicht macht. Zumindest habe ich das nicht explizit eingestellt.
    Kannst du mir sagen, wo ich diese Einstellung bei FileZilla setze?
    Ist es den normal, dass der FTP-Server nach einer bestimmten Zeit die Verbindung abbricht?

    EDIT:
    Ich habe die Einstellung gefunden. "Settings -> FTP -> Send FTP keep-alive commands" aktivieren.
     
  11. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Bei einem guten FTP-Server ist das nicht normal. Evtl. ist der vsftpd so konfiguriert bzw. so kompiliert, dass er abbrechen kann/darf. Ich weiß es aber nicht, ob es tatsächlich so ist. Wie startest Du den vsftpd?
     
  12. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe den vsftpd komplett über die Freetz Weboberfläche konfiguriert und gestartet.
     
  13. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    D. h. Automatisch oder Manuell, nicht über Inetd? OK.
     
  14. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Genau! Der vsftpd ist auf "Automatisch" eingestellt.
     
  15. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Ist das mit anderen BS (z. B. Linux) auch so? Oder hast Du diese Meldung nur mit dem Filezilla auf dem Mac OS?
     
  16. SaschaBr

    SaschaBr Aktives Mitglied

    Registriert seit:
    1 Mai 2007
    Beiträge:
    2,232
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    NRW
    Das habe ich auch, aber Übertragungen sind davon nicht betroffen, von daher hat mich das bisher nicht tangiert.
     
  17. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, ist es.
    Es kann ja sein, dass der Client einfach vergessen hat die Verbindung zu schließen. Wenn der Server dann nicht die Verbindung irgendwann schließt, dann hat er nur noch alte offene Verbindungen und kann keine neuen mehr annehmen.
     
  18. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    #18 sf3978, 27 Dez. 2011
    Zuletzt bearbeitet: 28 Dez. 2011
    Wie bereits im Beitrag #11 vermutet, kann dein vsftpd-Server, gemäß den default-Werten die Verbindung abbrechen:
    Code:
    ....
    # You may change [U]the default value[/U] for timing out an idle session.
    #[COLOR=red]idle_session_timeout=600[/COLOR]
    #
    # You may change [U]the default value[/U] for timing out a data connection.
    #[COLOR=red]data_connection_timeout=120
    [COLOR=black]...[/COLOR][/COLOR]
    Wenn der Server vor Ablauf der konfigurierten bzw. der default Werte abbricht, ist das nicht normal. Mit Hilfe der Konfiguration, kannst Du diese Werte ändern.

    EDIT:
    Bei meinem vsftpd sind in der tunables.c folgende Standardwerte eingetragen:
    Code:
    tunable_idle_session_timeout = [COLOR=red]300[/COLOR];
    tunable_data_connection_timeout = [COLOR=red]300[/COLOR];
     
  19. Skaren

    Skaren Neuer User

    Registriert seit:
    24 Dez. 2011
    Beiträge:
    12
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Laut der Webseite zur vsftpd.conf (http://vsftpd.beasts.org/vsftpd_conf.html) sind die Default Werte von idle_session_timeout=300 und von data_connection_timeout=300.

    Was genau wird in der tunables.c gespeichert?
     
  20. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,655
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Naja, "gespeichert" ist nicht der richtige Ausdruck. Die "tunables.c" hat 302 Zeilen und beinhaltet source code mit default Werten. Evtl. mit einem Linux-Editor mal reinschauen: source/target-mipsel_uClibc-0.9.**/vsftpd-2.3.*/tunables.c