504 TLS/SSL protection required

[isamuc]

Guten Mittag,
eine weitere Dauerbaustelle ist bei mir der FTP Zugang.
Via Browser ftp://xxxxx.synology.me/ eingegeben erscheint zwar das Anmeldefenster.
Wenn ich aber Benutzer und PW eingebe erscheint dies immer wieder leer..
Auch nicht mit admin oder einem Benutzer - immer wieder das Anmeldefenster geleert.

Via FTP (Filezilla) erscheint diese Meldung:
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 xxxx FTP server ready.
Befehl: USER xxxxx
Antwort: 504 TLS/SSL protection required.
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Ich weiss nicht was ich noch einstellen soll!
Spiele schon in der DS unter FTP alles durch, aber keine Änderung..
Im Router sind 3 Ports für FTP geöffnet:
21
aktiv
passiv

Hat jemand einen Tipp?
Ich danke Euch schon mal

 

[jahlives]

probier mal ftpes://xxx.synology.me

 

[tops4u]

NAT und Secure FTP ist aber nicht lustig!

 

[isamuc]

ftpes führt dazu, dass eine google Seite mit Fehler

Was heißt bitte das: NAT und Secure FTP ist aber nicht lustig! ??
Geht das auch näher und für nicht Profis ;-)

 

[jahlives]

ftpes führt dazu, dass eine google Seite mit Fehler

Was heißt bitte das: NAT und Secure FTP ist aber nicht lustig! ??
Geht das auch näher und für nicht Profis ;-)

probiers mit Filezilla und nicht im Browser. Gibt eine wesentlich besseres Logs
Zur Aussage NAT+FTPES wäre ich auch gerne auf eine Erklärung gespannt

 

[isamuc]

Der oberer Text (Log) ist aus dem Filezilla - wie geschrieben.
ich sagte ja auch es geht weder noch ;-)

Gibt es noch ein anderes Filezilla?
Und was muss ich dort einstellen - da gibt es ja auch aktiv, passiv und so weiter..

Ich vermute, dass es am Filezilla liegt, weil ich per Browser ja zumindest bis zum Anmeldefenster komme!

Benutze 3.7.4.1 Tim Kosse, filezilla-project.org

 

[tops4u]

Standard FTP verwendet ein passives (PASV) Protokoll. Über die primäre Verbindung wird ausgemacht was gemacht werden soll, der Server schickt die Daten dann über neue Streams zum Client. Bei unverschlüsseltem Verkehr kann ein Router diese Vorgänge über einen ALG (Application Layer Gateway) mitlesen und entsprechende Ports und FW Regeln umgehen damit der vom FTP Server imitierte Transfer stattfinden kann.

Ist der Verkehr jedoch verschlüsselt, dann klappt das nicht mehr, eingehende Streams können nicht mehr zum Empfänger geroutet werden, da die entsprechenden Ports (NAT) fehlen und Firewall Regeln das verhindern können. Eine Abhilfe kann ein Aktiver Transfer sein, was aber auch nicht in allen Fällen klappt...

PS: Was ist FTPES? Es gibt SFTP oder FTPS...

 

[jahlives]

@tops4u
wieso sollten eignehende Streams nicht mehr routbar sein?? Die für das Routing nötigen Infos stehen ALLE in der Headern eines Paketes und die Header werden ja genau nicht verschlüsselt. Ich betreibe alle meine FTP Server Passiv und mit explizitem SSL und das ist auch mit NAT überhaupt kein Problem
Aha und ftpes gibt es also nicht?? --> http://en.wikipedia.org/wiki/FTPS#Explicit

 

[isamuc]

Sorry, ich versteh nur Bahnhof ;-(

FTP; SDTP und DTPS funzt alles nicht im Browser.

Bei Filezilla gebe ich doch nur xxxx.synology.me ein, oder? Passwort, Port Benutzer...

 

[tops4u]

@tops4u
wieso sollten eignehende Streams nicht mehr routbar sein?? Die für das Routing nötigen Infos stehen ALLE in der Headern eines Paketes und die Header werden ja genau nicht verschlüsselt.

Ja das ist schon klar. Aber wenn Dein Client zu einem Server eine Control Connection aufbaut auf ZielPort 21. Dann machen beide darüber aus, dass der Client eine Datei anfordert und das über Passiv Transfer gemacht werden soll, dann initiiert eben der Server eine neue Verbindung zum Client über einen neuen Source/Target Port was in der Regel bei NAT/FW halt auf einem geschlossenen Port einschlägt und somit nicht funktioniert. Der Punkt bei ALG ist, dass der Router das FTP Protokoll versteht und den Transfer zulässt.

Das Problem ist z.B. hier beschrieben : http://www.enterprisedt.com/products/edtftpjssl/doc/manual/html/howtoftpthroughafilewall.html

Ich habe bei meiner Firewall auch den Ausgehenden Verkehr eingeschränkt, da ich wissen will auf welche Zielports meine Rechner sich verbinden wollen. Ich bilde mir ein dadurch etwas höhere Sicherheit zu haben falls sich mal bösartige SW einschleicht sind zumindest 95% der möglichen Ports nicht erreichbar und die Versuche werden von der FW aufgezeichnet.

Wenn es darum geht einen FTP Server auf der Syno zu stellen und von Aussen darauf zuzugreifen sieht das etwas anders aus, was ich oben wohl etwas überlesen habe und ging davon aus, dass man von der Syno auf einen FTP Server gehen will. Ich wollte hier keine Verwirrung stiften!

 

[TheGardner]

FTP; SDTP und DTPS funzt alles nicht im Browser.

Bei Filezilla gebe ich doch nur xxxx.synology.me ein, oder? Passwort, Port Benutzer...

Juud, dann meld ich mich mal zu Wort hier! So wie Du das machen willst, geht es zwar, aber für einen Unwissenden gleich auf die mittlere bis höchste Stufe zu schalten läuft automatisch wahrscheinlich gegen die Wand!
Normalerweise solltest Du erstmal ne stinknormale Verbindung über Port 21 (ohne TLS/SSH aber gern passiv) schalten und das Ganze NUR mit Filezilla testen! Funzt das, kannst Du auf TLS umschalten und und wieder mit Filezilla testen! Geht das dann auch, sollte der Weg über den Browser auch funktionieren!

Vorerst müssten aber folgende Einstellungen am Router getätigt werden:

- Port 21 muss auf Port 21 der DS durchgeschaltet werden (Portweiterleitung)
- passive Ports 55536 - 55551 müssen ebenfalls auf die Ports 55536 - 55551 an der DS durchgeschaltet werden (Portweiterleitung)

Ist das geschehen, dann müssen folgende Einstellungen an der DS unter Systemsteuerung - FTP eingestellt werden:





sind diese Einstellungen getätigt, dann müssten noch die passiven Ports und der Port 21 an der Firewall der DS freigeschalten werden! Ist das passiert und es funktioniert, dann kannst Du auch gern den Haken (im ersten Bild) für den TLS Verkehr einschalten! Vorher würde ich das aber nicht machen!

Bei Filezilla müsstest Du auch noch Einstellungen vornehmen, damit es klappt (passive Verbindung; Server = xxxxxx.synology.me; Port 21; User & Passwort)

 

[isamuc]

WOW, das nenn ich mal ne Idioten Sichere Anleitung ;-)

Herzlichen Dank an TheGardener!!

hat soweit alles geklappt (auch per Browser) bis ich auf TLS geschalten habe und den ersten Punkt "FTP Dienst" wieder abgeklickt habe.
Dann wieder der gleiche Fehler:
220 xxxxxxFTP server ready.
Befehl: USER xxxxxx
Antwort: 504 TLS/SSL protection required.
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Aber so ganz ungesichert? Ist wohl nicht so gut, oder?
Das muss doch irgendwie gehen ;-(

 

[jahlives]

kann es sein, dass du dich im selben Subnetz befindest wie der FTP Server selber und willst über deinen dynDNS Namen zugreifen?

 

[isamuc]

sorry, aber ich nix Profi.. ;-)

Subnetz? dynDNS?

Ich versuche mal zu deuten: Ich bin momentan zu Hause wo auch die DS steht. Probiere es also vom gleichen Netzwerk..
Heute vom Büro aus ging es nicht - konnte mich aber immerhin schon auf DS einloggen und in der DSM Änderungen vornehmen.
und ja, ich habe mich im Filezilla angemeldet mit xxxxx.synology.me

Falsch? ;-(

 

[TheGardner]

FTP Dienst und FTP SSL/TLS sind bei mir beide aktiviert!
Ohne gehts nicht - es sei denn Du machst nur FTP Dienst!

Also SSL/TLS zuschalten, aber FTP nicht abschalten!

Und aus dem gleichen Subnetz über DNS anmelden geht! Du gehst nur praktisch erstmal vor die Tür (raus ins Netz zu xxxxx.synology.me) und kommst dann wieder über DNS (xxxx.synology.me) herein!
Einfacher wäre anstelle xxxx.synology.me die interne IP (192.168.....) zu probieren. Aber ersteres ist in Deinem Fall gut, weil Du praktisch über xxxx.synology.me gleich testest, obs von Arbeit auch funzt!

 

[isamuc]

ah, ich verstehe langsam..

aber ist es nicht sehr unsicher, das FTP anzulassen?
Das habe ich so bisher gelesen bzw. bei idomixx wurde es auch so beschrieben ;-)

Danke Auf jeden Fall schon mal und Gute N8

 

[TheGardner]

Wenn man von unsicher spricht, meint man dabei dass die Verbindung von dritten abgehört werden kann. D.h. man kann dann den User und das Passwort in Klarschrift beim abhören der Leitung sehen! Das kann man bei TLS aber nicht, da dabei die Leitung verschlüsselt wird.
D.h. Du musst FTP immer in Verbindung mit TLS einschalten! Weil sonst das FTP gar nicht funktionieren kann. Sagst Du Deinen Kunden allerdings nur die Verbindungsdaten für TLS durch, dann werden die gar nicht auf die Idee kommen den normalen FTP zu nutzen! Damit bist Du dann sicher!
Die Verbindung läuft aber unter TLS wie folgt ab:

- ein Client meldet sich immer über FTP beim Server (...nicht an, sondern er meldet sich nur mit einer Verbindung an Port 21 - also ein "Hallo ich bin da")
- dann sagt der Server "Hallo, was willste?"
- und der Client meint "Ne TLS Verbindung!"
- dann sagt der Server "Okay, geht klar! Bitte umschalten auf TLS!"
- Client schaltet auf TLS um
- Server meint: "Parole?"
- Client sagt: "Username ist xxxxx!"
- Server fragt: "Und Passwort?"
- Client meint: "Passwort ist xxxxxx"
- Server: "Okay, kannst passieren!"

Und der Client kann dann auf dem Server rumwerkeln! Allerdings ist das dann wieder Unverschlüsselt! Man nennt dieses TLS/SSH auch FTP/SSL (Auth SSL), d.h. nur die Anmeldung (User/Pass) ist verschlüsselt! Will man das komplette Arbeiten via FTP verschlüsseln, dann muss man SFTP/SSH verwenden! Dann würde die NSA nicht mal sehen, was da so an Dateien hin- und hergeladen werden!

 

[isamuc]

sehr schön erklärt für so einen Anfäger

Besten Dank!

Ich frage mich nur warum dann bei Idomix das FTP/SSL und SFTP angesprochen wird - der erste Punkt wird dann wieder deaktiviert..
Mir war das so, als sein das die "non-plus-ultra" Einstellung und Erklärung..!?

 

[ottosykora]

>Allerdings ist das dann wieder Unverschlüsselt! Man nennt dieses TLS/SSH auch FTP/SSL (Auth SSL), d.h. nur die Anmeldung (User/Pass) ist verschlüsselt! Will man das komplette Arbeiten via FTP verschlüsseln, dann muss man SFTP/SSH verwenden! <

hmm, da bin ich also nicht ganz einverstanden.
Es kommt darauf an was der Client verlangt. Und wenn der Server auch den Traffic verschlüsseln kann und der Client fordert es an dann wird es auch verschlüsselt übermittelt. Es gibt jedoch eben die Option es nicht zu verschlüsseln wenn es einer der Parts nicht richtig beherrscht. Clients wie Filezilla können es und der Server in der DS auch.
Explizit wird auch die Verbindung über die normalen Ports 21/pass verschlüsselt fortsetzen wenn beide Parts dazu inder Lage sind.

 

[isamuc]

Hallo ottosykora,
könntest Du mir das mit Client?? und so alles nochmal für einen totalen Anfänger erklären? ;-)
Was muss ich wo einstellen, damit das "sicher" oder halt verschlüsselt ist?
Wenn das beide können - DS und Filezilla

Danke Dir!!