Nach Update auf DSM 2.3 keine Verbindung im aktiven Modus mehr möglich

[Der Graue]

Gestern habe ich auf meine DS 110j die neue FW draufgebügelt und bin eigentlich sehr zufrieden (Entgegen vorheriger Aussagen geht sogar die Verschlüsselung der gemeinsamen Orrdner bei dieser DS).
Heute habe ich leider festgestellt, dass ich mit meinem TotalCommander nicht mehr im aktiven Modus bei einer SSL/TLS-Verbindung auf den FTP-Server der DS komme. An den Einstellungen der DS, sowie der Firewall des Routers habe ich nichts geändert.
Kann das mal jemand probieren, damit ich weiß, ob ich den Fehler bei mir suchen muss, oder ob da ein Bug vorhanden ist?

TotalCommander birngt immer: 'Port'-Kommando fehlgeschlagen!, und zeigt im Log folgendes an:

Connect to: (10.03.2010 10:12:31)
hostname=xxxxxxx.me
username=admin
startdir=/
starost.xxxxxxx.me=xxx.xxx.xxx.xxx
220 DiskStation FTP server ready.
AUTH TLS
234 AUTH SSL command successful.
Cert subject: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=FTP Team/CN=synology.com/emailAddress=product@synology.com
Cert issuer: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=Certificate Authority/CN=Synology Inc. CA/emailAddress=product@synology.com
USER admin
331 Password required for admin.
PASS ***********
230 User admin logged in.
SYST
215 UNIX Type: L8
FEAT
211- Extensions supported:
AUTH TLS
PBSZ
PROT
SIZE
MDTM
REST STREAM
UTF8
211 End.
PBSZ 0
200 PBSZ command successful (PBSZ=0).
PROT P
200 Protection level set to Private.
CWD /
250 CWD command successful.
Connect ok!
PWD
257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A.
PORT XXX,XXX,XXX,XXX,199,203
500 Illegal PORT range rejected.
PASV
227 Entering Passive Mode (192,168,178,30,217,14)
Server reports local IP -> Redirect to: xxx.xxx.xxx.xxx
PORT XXX,XXX,XXX,XXX,199,206
500 Illegal PORT range rejected.

Nehme ich im DSM den Haken bei "Nur SSL/TLS-Verbindung erlauben" raus und verbinde mich dann mit TotalCommander ohne die Einstellung SSL/TLS, dann geht's auch im aktiven Modus


Gruß vom Grauen

 

[Der Graue]

Leider hebe ich es nicht hinbekommen
Da ich scheinbar der Einzige mit dem Problem bin und sich niemand weiter gemeldet hat, habe ich nun wieder zurück zur DSM 2.2 0959 gewechselt. Danke an die Ersteller des Wiki!

Was soll ich sagen, nun geht auch wieder die aktive Verbindung via SSL/TLS, da muss wohl die neue FW einen Bug haben, denn an meinen Routereinstellungen habe ich nichts geändert.

Im Log von TotalCommander steht nu folgendes:

Connect to: (12.03.2010 00:39:59)
hostname=xxxxxxx.me
username=admin
startdir=/
xxxxxxx.me=xxx.xxx.xxx.xxx
220 DiskStation FTP server ready.
AUTH TLS
234 AUTH SSL command successful.
Cert subject: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=FTP Team/CN=synology.com/emailAddress=product@synology.com
Cert issuer: /C=TW/ST=Taiwan/L=Taipei/O=Synology Inc./OU=Certificate Authority/CN=Synology Inc. CA/emailAddress=product@synology.com
USER admin
331 Password required for admin.
PASS ***********
230 User admin logged in.
SYST
215 UNIX Type: L8
FEAT
211- Extensions supported:
AUTH TLS
PBSZ
PROT
SIZE
MDTM
REST STREAM
211 End.
PBSZ 0
200 PBSZ command successful (PBSZ=0).
PROT P
200 Protection level set to Private.
CWD /
250 CWD command successful.
Connect ok!
PWD
257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A.
PORT xxx,xxx,xxx,xxx,209,133
200 PORT command successful.
LIST
150 Opening BINARY mode SSL data connection for 'file list'.
Herunterladen
Warte auf Antwort des Servers...
226 Transfer complete.

Schade, da muss ich wohl vorerst auf die Verschlüsselung von Verzeichnissen und die bessere FileStation verzichten


Gruß vom Grauen

 

[Trolli]

Wäre gut, wenn Du dein Problem auch dem Support von Synology nochmal meldest. Nur wenn die Bescheid wissen, können solche Fehler beseitigt werden.

 

[Der Graue]

Da habe ich auch schon dran gedacht, doch weil ich immer wieder gelesen habe, man sollte mit denen Englisch kommunizieren habe ich es dann lieber gelassen. Wenn ich auf Englisch schreibe, dann verstehen die mich sowieso nicht
Macht es denn Sinn das Problem auf Deutsch an den Support zu schicken?
Wenn ja, dann mache ich es natürlich.

 

[Trolli]

Besser auf Deutsch als gar nicht. Aber sie scheinen schon manchmal Schwierigkeiten mit der Übersetzung zu haben...

 

[Der Graue]

Ok, dann versuche ich das einfach mal...

 

[RealWotan]

Ich kann die Fehlerbeschreibung bestätigen, also auch Totalcmd in Zusammenhang der DSM 2.3. Gibt es schon ein Feedback vom Support?

Grüße

 

[Der Graue]

Ja, heute Früh kam eine Antwort. Doch leider haben sie mein Problem wohl nicht richtig verstanden, denn sie fragen welche Ports ich für den passive mode im Router freigegeben habe. Das Problem ist doch aber active mode über SSL/TLS, dazu habe ich bei der "alten" FW nur Port 20 und 21 freigegeben, obwohl es auch schon gereicht hat, wenn ich nur 21 freigegeben hatte.
Nun, sie fragten noch nach meiner IP, um die Geschichte selbst testen zu können. Ich werde heute Abend nochmal die neue FW aufspielen und ein Testpasswort für den DSM anlegen. Dann maile ich mal die ganzen Sachen zurück und sie können sich heut Nacht austoben auf meiner DS.

@RealWotan
Hast Du schon mal mit 'nem anderen Programm versucht zu verbinden, oder auch nur mit TotalCommander? Wobei ich eigentlich nicht noch ein extra Programm haben will, denn der TC ist schon ein ziemlich geniales Tool.

 

[RealWotan]

ich habe es auch über achtive und passive-Mode versucht mit gleichem Ergebnis. Auch ich habe nur Port 21 geforwardet. ich wüsste auch nicht, wo ich im router etwas für passive-ports einstellen könnte, aber so gut kenne ich mich da auch nicht aus.

er scheint sich ja auch verbinden zu können, nur das directory-list scheint nicht zu fuinktionieren.

ich bekomme den gleichen fehler mit winscp.

 

[Der Graue]

Der passive mode funktioniert mit der neuen Fw noch, doch dazu musst Du zusätzlich noch die Ports 55536-55663 im Router freigeben, wenn Du im DSM auch den Standardportbereich gelassen hast.

ich wüsste auch nicht, wo ich im router etwas für passive-ports einstellen könnte

Ich kenn ja Deinen Router nicht, doch das stellt man genau da ein, wo Du auch Port 21 freigegeben hast. Normal kann man doch weitere Freigaben hinzufügen.

 

[RealWotan]

ahhh ok, vielen dank. ich weiß ja nun nicht,ob ich aktiven oder passiven modus bevorzugen sollte oder nehmen muss. in der fa bin ich sicher auch hinter einem router und kann nicht einfach erreicht werden, dann, so verstehe ich es, muss man sowieso den passiven modus aktivieren?

noch eine nachfrage, beim port 21 hatte ich ja die portweiterleitung eingerichtet und zusätzlich die firewall dafür aufgemacht. muss ich beides auch für die ports 55536-55663 (habs auf standard gelassen) einrichten?

 

[Der Graue]

An der Firewall der DS habe ich bisher garnichts gemacht, sondern nur die Ports im Router freigegeben, das hat gereicht.

Übrigens, der Support hat sich bei mir gemeldet, nachdem sie heute Nacht mal auf meiner DS waren.
Da hieß es dann:

Könnten Sie die Ports 989-990 TCP und Port 20 auf Ihrem Router öffnen und nachsehen, ob es einen Unterschied gibt bei der Verbindung?
Nach einem Test mit folgenden Open Port Check Tool denke ich, Port 20 ist nicht aktiviert.
http://www.yougetsignal.com/tools/open-ports

Das habe ich dann mal getestet, leider ohne Erfolg.
Dann habe ich selbst mal das Tool bemüht und siehe da, mir wird auch angezeigt port 20 geschlossen - ist aber definitiv weitergeleitet auf die DS
Dann habe ich in meiner FritzBox einfach mal den Port 20 auf Port 23 der DS weitergeleitet und nochmal getestet. Nun zeigt mir das Ding an Port 20 offen.

Also ich schließe daraus, dass der Fehler bei der DS liegt und nicht beim Router, zumal es ja mit DSM 2.2 ohne Probleme funktioniert - da muß ich nicht einmal den Port 20 öffnen.

Wenn nun garnichts weiter geht, werde ich wohl beim passive mode über SSL/TLS bleiben, das funktioniert ja immerhin. Jetzt wieder zurüch zur alten FW hab ich auch keine Lust.

 

[Trolli]

...und was passiert, wenn Du den Port 20 mal temporär auf Deinen PC umleitest? Wird der Port dann auch als geschlossen erkannt? (Firewall für den Test deaktivieren)

 

[Der Graue]

Habe das gerade mal getestet, da wird der Port auch als geschlossen erkannt.
Liegt das aber nicht daran, dass auf dem PC ja keine Software installiert ist, die eine Anfrage auf diesem Port beantwortet? Irgendwie verstehe ich das Ganze nicht so richtig.
Wie gesagt, wenn ich 21 auf 23 der DS leite, dann kommt "port open", da auf der DS ja SSH statt Telnet aktivert ist.

Das seltsame ist ja, dass ich bei der alten FW (DSM 2.2) nur Port 21 offen hatte, und es trotzdem funktioniert hat.
Ich erkläre mir das so, dass der Client auf 21 "anklopft" und 'ne aktive Verbindung will. Der Server dann auf Port 20 "raustelefoniert", was der FritzBox ja dann schnuppe ist, da sie ja nur von draußen nach drinnen blockiert. Weiß nicht, wie ich das anders ausdrücken soll
Nach den ersten Fehlversuchen mit DSM 2.3 habe ich ja nach Anleitung aus dem Wiki wieder die 2.2 draufgezogen und schon ging es wieder
Nun habe ich aber keine Lust nochmals einen Downgrade zu machen, da ich danach alle Daten wieder neu aufspielen musste.

Übrigens der Support hat sich heute auch wieder gemeldet:

Thanks for your message.

We suspect passive mode range configured at Router did not open which might refers to Illegal port range as we observed in reaching your FTP server.

Could you kindly enable this port range and keep me posted if the configuration makes any difference or not?

Bis jetzt habe ich immer einigermaßen verstanden, was sie von mir wollten, doch diesmal steige ich da nicht wirklich hinter. Könnte mir da mal jemand unter die Arme greifen? Mein Englisch ist doch schon sehr eingerostet, zumal ich nur 1 Jahr hatte

 

[Matthieu]

Man möchte dir mitteilen, dass die Portangaben im Router eventuell falsch sind. Du sollst sie mal bitte überprüfen.

MfG Matthieu

 

[Der Graue]

@Matthieu
Danke!
Ich hatte dem Support ja sogar einen Screenshot meiner FritzBox mitgeschickt, damit sie sehen, welche Ports im Router freigegeben sind.

Aber egal, im Moment habe ich keine Zeit weiter zu testen und nutze erst mal den passive mode. Vielleicht komme ich ja demnächst noch mal dazu, der Sache weiter nachzugehen.
Wenn die neue FW nicht die Verschlüsselung eingebaut hätte, würde ich ja einfach wider zur 2.2 zurück gehen, aber was soll's.


Gruß vom Grauen