Problem mit vsftp und SSL

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Servus Jungs,
ich bins wieder....

Die Tage wird meine neue 7170 von Batida kommen, dazu habe ich mir ein kleines Image gebaut.

Nun meine Frage:
1. Gibts irgendwo ein How-to, wie man ein Ssl-Zertifikat erstellt mit Openssl?

Das ist für mich bis dato die einzige Baustelle, da der Rest mit vsftp ja alles im Wiki super erklärt ist.
Aber ohne ssl macht für mich der ftp keinen Sinn.

Ich danke euch sehr für Eure Hilfe..

Beste Grüße
 
gigigaga schrieb:
Nun meine Frage:
1. Gibts irgendwo ein How-to, wie man ein Ssl-Zertifikat erstellt mit Openssl?
Zum Vergrößern anklicken....
Im Freetz-WEB-IF (bei vsftpd) kann man Folgendes lesen:
Code: 
Zertifikat&Key für Vsftpd. Wird nur für den Betrieb mit SSL benötigt.
[COLOR=red]Auf einem Rechner mit openssl kann ein passendes Zertifikat mit Schlüssel mit dem Befehl
 "openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem" erstellt werden[/COLOR].
 
sf3978 schrieb:
Naja, "gespeichert" ist nicht der richtige Ausdruck. Die "tunables.c" hat 302 Zeilen und beinhaltet source code mit default Werten. Evtl. mit einem Linux-Editor mal reinschauen: source/target-mipsel_uClibc-0.9.**/vsftpd-2.3.*/tunables.c
Zum Vergrößern anklicken....

Könntest du das mit der "tunables.c" nochmal ein bisschen näher erklären?

Bei Änderungen an vsftp schaue ich immer per Telnet direkt auf die Fritzbox und dort finde ich dann nur die vsftpd.conf. In dieser Datei habe ich folgende Einstellungen über "Freetz Weboberfläche -> VSFTPD -> Zusätzliche Konfigurationsoptionen (für Experten)" hinzugefügt:
Code: 
idle_session_timeout=300
data_connection_timeout=300
Leider bricht der Server anschließend die Verbindung immer noch nach einer bestimmten Zeit ab.
 
Skaren schrieb:
In dieser Datei habe ich folgende Einstellungen über "Freetz Weboberfläche -> VSFTPD -> Zusätzliche Konfigurationsoptionen (für Experten)" hinzugefügt:
Code: 
idle_session_timeout=300
data_connection_timeout=300
Leider bricht der Server anschließend die Verbindung immer noch nach einer bestimmten Zeit ab.
Zum Vergrößern anklicken....
Was meinst Du mit "nach einer bestimmten Zeit"? Mit deiner Konfiguration, sollte der Server nach 5 Minuten abbrechen. Wie stellst Du den Abbruch der Verbindung fest, am Client oder am Server?
 
sf3978 schrieb:
Was meinst Du mit "nach einer bestimmten Zeit"? Mit deiner Konfiguration, sollte der Server nach 5 Minuten abbrechen. Wie stellst Du den Abbruch der Verbindung fest, am Client oder am Server?
Zum Vergrößern anklicken....
Ja du hast recht, der Server bricht nach 5 Minuten ab. Den Abbruch der Verbindung stelle ich am Client über FileZilla fest, mit folgender Meldung:
Code: 
Error:	GnuTLS error -8: A record packet with illegal version was received.
Error:	Disconnected from server: ECONNABORTED - Connection aborted

Ich hatte gehofft, das man die Verbindung zwischen Server und Client irgendwie permanent halten kann. Du sagtest ja auch, dass ein "guter" Server die Verbindung nicht abbricht.
 
Skaren schrieb:
Ich hatte gehofft, das man die Verbindung zwischen Server und Client irgendwie permanent halten kann.
Zum Vergrößern anklicken....
Auch wenn ich keinen Nutzen darin sehe, versuch mal den Server mit:
Code: 
idle_session_timeout=[COLOR=red]86400[/COLOR]
data_connection_timeout=[COLOR=red]86400[/COLOR]
zu konfigurieren und beobachte was passiert.
Skaren schrieb:
Du sagtest ja auch, dass ein "guter" Server die Verbindung nicht abbricht.
Zum Vergrößern anklicken....
Ich meinte damit, innerhalb der default-Werte bzw. innerhalb der konfigurierten Werte und dass ein Client, keine FTP-Verbindungserhaltungsbefehle senden muss.
 
Zwischenfrage

sf3978 schrieb:
Im Freetz-WEB-IF (bei vsftpd) kann man Folgendes lesen:
Code: 
Zertifikat&Key für Vsftpd. Wird nur für den Betrieb mit SSL benötigt.
[COLOR=red]Auf einem Rechner mit openssl kann ein passendes Zertifikat mit Schlüssel mit dem Befehl
 "openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem" erstellt werden[/COLOR].
Zum Vergrößern anklicken....


So habe nun mit openssl mit diesem Code eine Datei erstellen lassen: vsftpd.pem

Okay, diese Datei lade ich dann in vsftp hoch. Okay.

Grundfragen:
1. Dieses Zertifikat schützt nun meinen Datentransfer.

----Braucht nun der Client, der auf meinen Server zugreifen möchte, nun nicht auch dieses Zertifikat oder einen Schlüssel?
----------Habe noch keine Ahnung von diesem Prinzip. Denke aber es ist so wie das Schlüssel-Schlossprinzip.
Ist das so korrekt?

Oder bin ich falsch?

Beste Grüße
und DANKE
 
gigigaga schrieb:
----Braucht nun der Client, der auf meinen Server zugreifen möchte, nun nicht auch dieses Zertifikat oder einen Schlüssel?
Zum Vergrößern anklicken....
Der Client wird für "FTP über explizites TLS/SSL" konfiguriert und entscheidet beim Verbindungsaufbau, ob er das Zertifikat des Servers akzeptiert. Wenn ja, dann wird die TLS/SSL-Verbindung hergestellt:
Code: 
Status:    Auflösen der IP-Adresse für ####.###.net
Status:    Verbinde mit xx.xxx.xx.x6:yyyyy...
Status:    Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:    220-"Your ID has been logged."
Antwort:    220 
Befehl:    [COLOR=red]AUTH TLS[/COLOR]
Antwort:    234 Proceed with negotiation.
Status:    [COLOR=red]Initialisiere TLS...[/COLOR]
Status:    [COLOR=red]Überprüfe Zertifikat...[/COLOR]
Befehl:    USER y<y<y<y
Status:    [COLOR=red]TLS/SSL-Verbindung hergestellt.[/COLOR]
Antwort:    331 Please specify the password.
Befehl:    PASS ********
Antwort:    230 Login successf****
Befehl:    SYST
Antwort:    215 UNIX Type: L8
...
...
 
sf3978 schrieb:
Ich meinte damit, innerhalb der default-Werte bzw. innerhalb der konfigurierten Werte und dass ein Client, keine FTP-Verbindungserhaltungsbefehle senden muss.
Zum Vergrößern anklicken....
Okay, dann habe ich dich nur Missverstanden. Damit wären dann alle meine Fragen geklärt. Ein großes Danke für die Beantwortung! :)


gigigaga schrieb:
Okay, diese Datei lade ich dann in vsftp hoch. Okay.
Zum Vergrößern anklicken....
Nochmal die kurze Bemerkung, da ich da länger Probleme damit hatte. Du musst die *.pem Datei nicht in die FritzBox hochladen, sondern den Inhalt der Datei in der Weboberfläche von Freetz (VSFTPD -> Cert+Key) in das Textfeld einfügen.
 
Skaren schrieb:
Nochmal die kurze Bemerkung, da ich da länger Probleme damit hatte. Du musst die *.pem Datei nicht in die FritzBox hochladen, sondern den Inhalt der Datei in der Weboberfläche von Freetz (VSFTPD -> Cert+Key) in das Textfeld einfügen.
Zum Vergrößern anklicken....
Ja, das ist der einfachere Weg und damit ist die Datei, in die FritzBox geladen:;)
Code: 
root@fritz:/var/mod/root# find / -iname 'vsftpd.pem'
[COLOR=red]/var/tmp/flash/vsftpd.pem[/COLOR]

EDIT:

klick
 
Zuletzt bearbeitet:
Ihr seid ihr richtig SUPER!!!

Danke euch sehr, sobald die Box da ist und das Image drauf ist, werde ich mich hier bestimmt nochmal melden ;-)

Greetz
 
Skaren schrieb:
Nochmal die kurze Bemerkung, da ich da länger Probleme damit hatte. Du musst die *.pem Datei nicht in die FritzBox hochladen, sondern den Inhalt der Datei in der Weboberfläche von Freetz (VSFTPD -> Cert+Key) in das Textfeld einfügen.
Zum Vergrößern anklicken....


mmmh. Ich finde in der Freetz-Weboberfläche nur unter Einstelleungen die vsftp.pem
wenn ich da drauf drück, dann kommt eine Fehlermeldung.

ungültige Datei
Zum Vergrößern anklicken....

Ich kann lediglich in dem Fenster:

Konfiguration für Experten
Zum Vergrößern anklicken....

noch was reinschreiben....


Grüße
 
gigigaga schrieb:
mmmh. Ich finde in der Freetz-Weboberfläche nur unter Einstelleungen die vsftp.pem
Zum Vergrößern anklicken....
Mit welchen Optionen (make menuconfig) hast Du dein vsftpd kompiliert?
Das Untermenu "Cert+Key" gibt es bei dir nicht, im Freetz-WEB-IF?
 
Zuletzt bearbeitet:
Ich habe im make menuconfig mit ssl Support ausgewählt.

Das Untermenü ist bei mir nicht vorhanden....
 
Versuch jetzt mal mit der IP-Adresse deiner Box:
Code: 
http://192.168.xxx.xxx:81/cgi-bin/file/vsftpd/crt
 
gigigaga schrieb:
mmmhhh?
Zum Vergrößern anklicken....
Poste mal die Ausgabe von:
Code: 
[COLOR=red]strings -f /usr/sbin/vsftpd | grep SSL[/COLOR]
aus deiner Box, oder wenn Du ldd auf deiner Box hast, die Ausgabe von:
Code: 
ldd /usr/sbin/vsftpd
 
Oje, ich sehs schon....

/var/mod/root # strings -f /usr/sbin/vsftpd | grep SSL
/usr/sbin/vsftpd: SSL connection failed
/usr/sbin/vsftpd: AUTH SSL
/usr/sbin/vsftpd: SSL: ssl_enable is set but SSL support not compiled in
/usr/sbin/vsftpd: SSL handler
Zum Vergrößern anklicken....


Irgendwie wurde der SSl Support wohl nicht mit reingepackt....oder???

Grüße und DANKE
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 491 (Mitglieder: 30, Gäste: 461)

Neueste Beiträge

Statistik des Forums

Themen
244,858
Beiträge
2,219,638
Mitglieder
371,571
Neuestes Mitglied
FritzFunk
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück