Sicherheit bei FTP

[scoubie]

Sftp

Hallo Leute,

habe jetzt von meinem Internet-Anbieter die Portweiterleitung einrichten lassen, klappt wunderbar.

Den Zugriff via FileZilla oder WinSCP habe ich nicht hinbekommen, aber dafür mit dem TotalCommander. Was sehr gut ist, denn jetzt kann ich die anderen überflüssign Programme wieder löschen.

Nun aber zu den Problemen:

1.)
Die Verbindungsherstellung von außen dauert zwar etwas lange, funktioniert aber wunderbar.
Wenn ich aber dann in ein Unterverzeichnis wechsle, muß ich die Quelle manchmal neu einlesen, damit er mit die Unterordner anzeigt. Manchmal klappts gleich beim ersten Mal, manchmal zeigt er aber auch keine Unterverzeichnisse an.

2.)
Beim Download mancher Dateien bekomme ich dann die Meldung "Zugriff verweigert". Allerdings kann ich manche Dateien aus dem selben Verezichnis sehr wohl downloaden.



Übrigens funktioniert FTP mit TotalCommander sehr gut, habe den Zugriff bei einem Kunden eingerichtet und dieser funktioniert sehr schnell. Liegt es eventuell an der Verschlüsselung (sftp), dass es bei meinem Server so lange dauert? Der Server hängt an einer Standleitung SDSL mit 4MBit, der Rechner an einem anderen Standort, von dem ich den Zugriff teste, ebenfalls.


Vielen Dank für Eure Hilfe!


mfG

Scoubie

 

[scoubie]

Hallo zusammen!

Niemand eine Idee, woran es liegen könnte?


mfG

Scoubie

 

[Trolli]

Bei der Meldung "Zugriff verweigert" würde ich Dir raten mal die Dateiberechtigungen nochmal genau anzusehen.

Ansonsten kenne ich den TotalCommander nicht. Dass man die Verzeichnisse mehrmals einlesen muss damit es funktioniert, hab ich aber noch nie erlebt. Die Verschlüsselung erfolgt bei der Disk Station übrigens über FTPES. SFTP (FTP über SSH) beherrscht die Station nicht.

Trolli

 

[scoubie]

Servus Trolli,

danke für Deine Antwort.

Wie ich bereits im Beitrag weiter oben geschrieben habe, hat der Zugriff via FileZilla bzw. WinSCP überhaupt nicht funktioniert. Mit dem TotalCommander klappt zumindest der Zugriff.

Das eigenartige ist, dass ich manche Dateien eben kopieren kann und andere nicht. Der User mit dem ich zugreife hat übrigens Administratorreche (bzw. root).

Im Anhang mal die Eintsellmöglichkeiten für FTP beim TotalCommander, vielleicht ist ja hier was falsch eingestellt.


mfG

Scoubie

 

[Trolli]

Wie gesagt kenne ich den TotalCommander nicht. Ich kann allerdings an diesen Einstellungen nichts Falsches erkennen.

Was klappt denn bei der Verwendung von FileZilla nicht? Dabei könnte ich Dir vielleicht helfen - FileZilla gibt eigentlich auch immer sehr schön aus, was denn genau schiefgegangen ist...

Trolli

 

[scoubie]

Servus Trolli,

beim FileZilla kann ich nicht mal eine Verbindung herstellen. Werde es aber demnächst noch mal versuchen und dann ein Posting dazu machen.

Ich vermute, es liegt am Router. Wenn ich nämlich einen internen Zugriff mache, dann hab ich gar keine Schwierigkeiten.

Vielleicht sollte ich ein Häkchen bei "Passiven Modus für Transfers verwenden" setzen....


mfG

Scoubie


P.S.: Falls Du ein Wondows-User bist, solltest Du den TotalCommander mal testen. Danach schmeißt Du den Explorer weg .

 

[jahlives]

Eine Firewall macht nichts anderes als Ports blocken oder freigeben.
Wenn du also diesen FPT Ports am Router öffnest, was willst du denn dahinter mit einer Firewall? Die Ports wieder schliessen

Sorry HP, aber eine Firewall hat schon noch so zwei oder drei zusätzliche Aufgaben, als nur Port schliessen und öffnen Klar ein stupider dummer Router hat nicht viel mehr als eine Porttabelle.

Aber echte Firewalls können auch in den Datenstream hineinschauen und basierend auf Regeln dazu die Verbindung kappen oder eben nicht. Es kann durchaus Sinn machen den Port am Router zu öffnen und dann eine Applikationsfirewall hinterher schalten.
Eine wirklich gute FW hat sicherlich auch eine IDS und ggf ein IPS (Intrusion Detection und Intrusion Prevention).
Z.b. ist es einem Router egal wenn du auf Port 80 eine Verbindung mit dem SSH Protokoll herstellen willst. Eine echte Firewall wird sich aber daran wohl stören und den Zugriff verweigern (wenn sie entsprechend konfiguriert ist)

 

[scoubie]

Hallo Leute,

jetzt mal ein Auszug aus dem LOG-File:

----------
Connect to: (06.04.2009 15:02:23)
hostname=xxx.xxx.xxx.xxx:21
username=scoubie
startdir=
220 DiskStation_SV FTP server ready.
AUTH TLS
234 AUTH SSL command successful.
Cert subject: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=FTP Team/CN=synology.com/emailAddress=product@synology.com
Cert issuer: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=Certificate Authority/CN=Synology Inc. CA/emailAddress=product@synology.com
USER scoubie
331 Password required for scoubie.
PASS ***********
230 User scoubie logged in.
SYST
215 UNIX Type: L8
FEAT
211- Extensions supported:
 AUTH TLS
 PBSZ
 PROT
 SIZE
 MDTM
 REST STREAM
211 End.
PBSZ 0
200 PBSZ command successful (PBSZ=0).
PROT P
200 Protection level set to Private.
Connect ok!
PWD
257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A.
PORT 192,168,0,111,5,56
200 PORT command successful.
LIST
425 Can't build data connection: No route to host.
PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,217,100)
QUIT
221 Goodbye. You uploaded 0 bytes and downloaded 0 bytes.

Jetzt komme ich gar nicht mehr drauf .

Ist das eventuell das Problem:

425 Can't build data connection: No route to host.

Vielen Dank für Eure Hilfe!

mfG

Scoubie

 

[Trolli]

Ist das innerhalb eines Lokalen Netzwerks oder über Internet?
Sitzt Du hinter einem Proxy-Server?
Benutzt Du eine Firewall auf dem Client-Rechner?

 

[scoubie]

Servus Trolli,

ich bin gerade bei einem anderen Standort und veruche die Verbindung übers Internet aufzubauen.

Proxy Server gibt es keinen.

Firewall ist keine auf dem Rechner installiert.


Der Router ist mit NAT abgesichert. (An beiden Standorten). Am Standort an dem sich der Synology-Server befindet, sind die Ports 21, 22, und die passiven vom Router an die interne IP Adresse das Servers weitergeleitet.

Hab jetzt mal mit FileZilla eine Verbindung aufbauen können, allerdings bekomme ich die Verzeichnisse nicht angezeigt. Dann bricht er ab. Zuvor hatte nicht auf FPTPES eingestellt, deshalb hats vermutlich nicht geklappt.

Hier noch ein Auszug aus dem LOG-File:

 144 0 Status: Verbinde mit xxx.xxx.xxx.xxx:21...
 144 0 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
 144 0 Antwort: 220 DiskStation_SV FTP server ready.
 144 0 Befehl: AUTH TLS
 144 0 Antwort: 234 AUTH SSL command successful.
 144 0 Status: Initialisiere TLS...
 144 0 Status: Überprüfe Zertifikat...
 144 0 Befehl: USER scoubie
 144 0 Status: TLS/SSL-Verbindung hergestellt.
 144 0 Antwort: 331 Password required for scoubie.
 144 0 Befehl: PASS ******
 144 0 Antwort: 230 User scoubie logged in.
 144 0 Befehl: SYST
 144 0 Antwort: 215 UNIX Type: L8
 144 0 Befehl: FEAT
 144 0 Antwort: 211- Extensions supported:
 144 0 Antwort:  AUTH TLS
 144 0 Antwort:  PBSZ
 144 0 Antwort:  PROT
 144 0 Antwort:  SIZE
 144 0 Antwort:  MDTM
 144 0 Antwort:  REST STREAM
 144 0 Antwort: 211 End.
 144 0 Befehl: PBSZ 0
 144 0 Antwort: 200 PBSZ command successful (PBSZ=0).
 144 0 Befehl: PROT P
 144 0 Antwort: 200 Protection level set to Private.
 144 0 Status: Verbunden
 144 0 Status: Empfange Verzeichnisinhalt...
 144 0 Befehl: PWD
 144 0 Antwort: 257 "/" is current directory.
 144 0 Befehl: TYPE I
 144 0 Antwort: 200 Type set to I.
 144 0 Befehl: PASV
 144 0 Antwort: 227 Entering Passive Mode (xxx,xxx,xxx,xxx,217,71)
 144 0 Befehl: LIST
 144 0 Fehler: Zeitüberschreitung der Verbindung
 144 0 Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Irgendwie scheint hier das selbe (gleiche?) Porblem zu bestehen:

http://www.synology-forum.de/showpost.html?p=40767&postcount=5


mfG

Scoubie

 

[Trolli]

Die FileZilla-Verbindung benutzt passiv FTP. Wenn Du, wie Du sagst, die passiven Ports bereits weitergeleitet hast, musst Du wahrscheinlich im Disk Station Manager bei "FTP" noch die Option "externe IP im pasv Modus verwenden" aktivieren.

Beim ersten Log (TotalCommander?) wurde aktiv FTP verwendet. Bemerkenswert ist dabei, dass der Server versucht, zu Deiner internen IP zu verbinden (PORT 192,168,0,111,5,56) -> Verbindung zu 192.168.0.111, Port 1336.

Die Adresse, die der Client sendet, müsste man im FTP-Client einstellen können, z.B. bei FileZilla unter Einstellungen -> Verbindung -> FTP -> aktiver Modus -> Betriebssystem nach der externen IP fragen.

Trolli

 

[scoubie]

Servus Trolli,

also am TotalCommander liegts definitiv nicht. Denn auch beim FileZilla gibts die selben Probleme:

Die Verbindungsherstellung geht sehr rasch, aber bis dann die Verzeichnisse angezeigt werden, dauert es lange. Wenn ich dann auf "server" klicke, passiert lange nichts, dann kommt die Meldung:

Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Klicke ich dann nochmals auf "server" liest Filezilla zuerst das Verzeichnis ein, etwas später aber nicht mehr. Fehlermeldung siehe oben.

Stelle ich die Vebrindung via TotalCommander her, sehe ich in etwa der gleichen Zeit die Verzeichnisse. Dann klicke ich wieder auf "server", er wechselt ins Verzeichnis und zeigt aber nichts an. Dann "Strg+R" (Quelle neu einlesen) und er zeigt die Unterordner & Dateien an.


Demnach kann TotalCommander auch ftpes, denn sonst würde ich ja nicht auf den Server kommen. Es muß also an etwas anderem liegen als an dem Programm.



mfg

Scoubie

 

[Trolli]

Natürlich liegt es nicht am Programm. Hab ich auch nicht behauptet. Ich sagte lediglich, dass ich selbst den TotalCommander nicht kenne und Dir deshalb bei der Konfiguration nur begrenzt helfen kann.

Die möglichen Fehlerursachen habe ja in Beitrag #31 schon aufgezeigt.

Trolli

 

[scoubie]

Servus Trolli,

bitte nicht falsch verstehen, das war kein Vorwurf! Ich bin Dir sehr dankbar für Deine schnelle Hilfe! Wollte damit nur sagen, dass es vom Programm unabhängig ist.

Das Problem ist halt, dass es mit FileZilla auch nicht funktioniert und ich schön langsam aber sicher nicht mehr weiß, was ich noch einstellen muß.

Mittlerweile denke ich ja, dass es an meinem Router hängen muß, denn intern klappt alles wunderbar.

Vielleicht kommt die Lösung ja demnächst.


mfG

Scoubie

 

[Trolli]

Wie gesagt glaube ich, dass die Probleme bei Dir durch falsche IPs verursacht werden. Beim TotalCommander scheinst Du mit aktiv FTP zu arbeiten. Dabei wird vom Client eine falsche IP (die interne IP) an den Server gemeldet. Das sollte man irgendwo im TotalCommander anders einstellen können, so dass dieses Problem dann nicht mehr auftritt.

Bei FileZilla hattest Du passiv FTP verwendet, allerdings schlug auch hier die Verbindung fehl. Ob es hier auch an der IP liegt, kann ich leider nicht genau sagen, da Du die entsprechenden Zeilen im Log editiert hast. Ich hatte vorgeschlagen, mal die Option "externe IP im pasv Modus berichten" zu probieren.

Trolli

 

[scoubie]

Servus Trolli,

Wie gesagt glaube ich, dass die Probleme bei Dir durch falsche IPs verursacht werden. Beim TotalCommander scheinst Du mit aktiv FTP zu arbeiten. Dabei wird vom Client eine falsche IP (die interne IP) an den Server gemeldet. Das sollte man irgendwo im TotalCommander anders einstellen können, so dass dieses Problem dann nicht mehr auftritt.

Ich werde mal versuchen, ob man das ändern kann. Ich komme von extern auf die DiskStation, jedoch muß ich die Verzeichnisse immer händisch neu einlesen siehe Post 32

Bei FileZilla hattest Du passiv FTP verwendet, allerdings schlug auch hier die Verbindung fehl. Ob es hier auch an der IP liegt, kann ich leider nicht genau sagen, da Du die entsprechenden Zeilen im Log editiert hast.

Hier habe ich nur die externe IP geändert, diese muß meiner Meinung nach nicht hier im Forum stehen.

Ich hatte vorgeschlagen, mal die Option "externe IP im pasv Modus berichten" zu probieren.

Trolli

Diese Option ist bereits eingestellt, das habe ich aus den Anleitungen das Forums rausgelesen und alles so eingestellt wie vorgegeben. Das eigenartige ist ja, das bei beiden Programmen der gleiche Fehler auftritt:

Einmal komme ich auf die DiskStation, dann wieder nicht. Siehe oben.


mfG

Scoubie

 

[jahlives]

Mal ne ganz dumme Frage: Eine Personal Firewall hast du nicht am Start, die ev irgendwas blocken würde?

 

[Trolli]

Wie ist denn der Bereich der passiven Ports im Disk Station Manager konfiguriert? Hast Du alle dort festgelegten Ports im Router weitergeleitet?

Trolli

 

[scoubie]

Hallo Leute,

vorab mal vielen Dank für Eure Bemühungen!

Mal ne ganz dumme Frage: Eine Personal Firewall hast du nicht am Start, die ev irgendwas blocken würde?

Nein, ist keine da. Wäre diese vorhanden würde ich ja gar nicht durchkommen und nicht nur zeitenweise. Ich bin wirklich ratlos.

Konfiguration siehe Post 30

Wie ist denn der Bereich der passiven Ports im Disk Station Manager konfiguriert? Hast Du alle dort festgelegten Ports im Router weitergeleitet?

Trolli

Folgende Ports habe ich vom Router an die interne IP der DiskStation weiterleiten lassen:

Port-Nummer | TCP/UDP | interne IP-Adresse
20 | TCP | 192.168.0.222 |
21 | TCP | 192.168.0.222 |
55536 | TCP | 192.168.0.222 |
55537 | TCP | 192.168.0.222 |
. . . . . . . . .
. . . . . . . . .
55566 | TCP | 192.168.0.222 |

Das kann ich leider nur meinen InternetAnbieter machen lassen.

Und zu guter Letzt noch die Einstellungen auf der DiskStation:

 

[Trolli]

Dann ist das Problem damit klar. Du musst natürlich den Bereich im Disk Station Manager genauso einstellen wie die Portweiterleitung. Ansonsten ist es halt Zufall, ob Du einen Port erwischst, der auch im Router (oder halt vom Provider) weitergeleitet wird...

Trolli