FTPES Verbindung scheitert

[qbic]

Hallo zusammen,

seit langem habe ich mal ein Problem mit meiner etwas in die Jahre gekommenen Diskstation.
Folgendes Problem:
Seit einiger Zeit kann ich mich nicht mehr per FTPES auf die Diskstation verbinden.
Filezilla sagt dazu folgendes:
18:30:17 Status: Auflösen der IP-Adresse für XXX
18:30:17 Status: Verbinde mit XXX.XXX.XXX.XXX:21...
18:30:17 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
18:30:17 Antwort: 220 DS FTP server ready.
18:30:17 Befehl: AUTH TLS
18:30:17 Antwort: 234 AUTH SSL command successful.
18:30:17 Status: Initialisiere TLS...
18:30:17 Status: Überprüfe Zertifikat...
18:30:17 Status: TLS-Verbindung hergestellt.
18:30:17 Befehl: USER abcde
18:30:17 Antwort: 331 Password required for abcde.
18:30:17 Befehl: PASS ***********
18:30:37 Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
18:30:37 Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Ich kenne von Benutzern Sätze wie "Aber ich habe doch garnichts gemacht". Ich selber bin Entwickler und weiß was einzurichten ist, irgendwie geht es aber nicht mehr. Es ging Jahrelang und auf einmal...BLOCKED
Es ist als ob der Benutzer zurückgewiesen wird obwohl er definitiv freigegeben ist.

Ich schreibe mal auf was ich bereits ausprobiert habe.
- Portfreigabe für 21
- Portfreigabe für PASSIVE MODE (55536 - 55567)
- Fritzbox DNS Rebind Schutz ausnahmen auf alle Domains hinzugefügt
- Fritzbox diverse Filter Testweise deaktiviert -> Problem besteht weiter
- Connect via IP versucht -> geht nicht
- SFTP ausprobiert -> geht ist aber des Clients der Benutzt wird nicht möglich weil keine SFTP Unterstützung vorhanden
- Unverschlüsselte Verbindung -> gleiches Problem
- IP Blockaden komplett gelöscht
- DS Firewall "alles erlaubt" (war vorher gestellt auf "nur zugriffe aus Deutschland/Österreich)
- FileZilla explizit gestellt auf "PASSIVE MODE"
- Filezilla Active Mode -> geht
- Filezilla zugriff über interne IP -> geht
-> DS Externe IP im PASV Modus berichten -> aktiviert und es wird auch die korrekte IP angezeigt.
- DS: Benutzer und Gruppen durchgeschaut ob FTP Dienst verwendet werden darf. -> war schon aktiviert

Das Interessante ist:
Die DS zeigt im Protokoll-Center sogar an, dass sich der Benutzer eingeloggt hat und dann beim TImeout mit 0Byte gesendet und empfangen wieder abgemeldet hat!

Ich weiß aktuell wirlich nicht mehr weiter, vielleicht hat einer von euch noch eine Idee dazu.

 

[TheGardner]

Sieht für mich erstmal so aus, als ob die Passiven Ports nicht genau stimmen! Also wir reden hier über 55536 - 55567, d.h. diese Port-Range müsste ja dann einmal in der DiskStation so eingerichtet (aktiviert) worden sein, dann auch dort in den Ausnahmen der Firewall? und auch "genau" so in den Weiterleitungen des Routers!?

Ist das korrekt?

 

[qbic]

Hier mal die Konfig der passiven Ports, sieht für mich richtig aus, zumal daran ja auch nichts geändert wurde.

DS



Fritzbox

 

[TheGardner]

Sieht auch für mich gut aus! Allerdings nimmst Du in den Firewalleinstellungen scheinbar "eigene" Einträge vor! Wieso nimmst Du dort nicht die von Synology vorgesehenen Services-Einträge?

Irgendwie scheint mir das alles auf irgendeine Misskonfiguration der Passiven Ports hinzuweisen! Man kann sich mit dem Server verbinden - schickt Username - bekommt OK zurück - Schickt Passwort - bekommt OK zurück und dann bei der Verzeichnisauflistung kommt nichts mehr beim Client an! Der Server sieht den User und steht in Warteposition, aber da der Client nichts angezeigt bekommt, kommt vom Client natürlich kein OK zurück!
Schlussendlich quittiert der Server die Stille mit einem Quit und schmeisst den User wieder raus.

Diese fehlenden Verzeichnisauflistungen zum Client hin, werden über die passiven Ports abgewickelt. D.h. wenn der 55536 bis 55567 zur Verfügung hat, dann nimmt er die auch, aber scheinbar sagt schon die eigenen (Diskstation) Firewall sowas wie "Ja Port stimmt, aber der Service ist falsch [TCP]" und schmeisst deshalb das Datenpaket weg. Beim Client kommt deshalb nichts an und der wartet und wartet...
Schließlich sagt sich der Server dann "Tja, Pech gehabt - ich hab Dir die Verzeichnisübersicht gesendet - wenn Du nicht antwortest, dann iss Feierabend!"

Probiere mal bei den Einstellungen der Firewall (auf der Diskstation) beim Erstellen der Regeln explizit die Anwendung "FTP-Dateiserver" auszuwählen! Da ist dann alles drinen, was der Server an Ports benötigt (also 20, 21 und 55536-55567).
Vielleicht klappts dann!

 

[qbic]

Gibts doch nicht, schon das zweite Mal das meine Antwort nicht angekommen ist.
ich mach ne Kurzfassung diesen mal draus.

Firewall ist vor jahren mal benutzt wurden, seitdem hängen die EInträge da drin weil sie niemandem Weh tun.
FTP Dateiserver als dienst zu benutzen hilft genau so wenig.
Grund: "Wenn keine Regel zutrifft: Zugriff erlauben"
Die EInträge in der Firewall brauche ich eigentlich nicht und hab ich nur zu Testzwecken dort reingenommen.

Das blöde ist, dass ich nicht genau sagen kann seit wann es nicht mehr funktioniert.
Der Client, der kein SFTP kann, legt nur sporadisch Daten bei mir ab. Meist muss ich eigentlich dazu nötigen mal wieder ein Backup abzulegen. Kunden halt ;-)
Es könnte sich in diesem Fall also um einen Zeitraum zwischen 4 Wochen und 6 Monaten handeln.

Hab mir aber ehh schon eine neue DS218 bestellt, weil ich so oder so mal etwas umstrukturieren möchte und die DS1010+ auch schon etwas in die Jahre gekommen ist. 8 Jahre lang laufen die Platten und die DS 24/7, das einzige was ich mal austauschen musste waren die Lüfter und eine Platte.
Da ich nicht mehr so viel Platz brauche und die Platten seitdem so schön groß geworden sind, reicht mittlerweile ne DS218 aus.
Eventuell ist es wirklich ein Software fehler, das werde ich aber erst erfahren, wenn ich die Daten zur neuen DS migriert habe und die alte DS mal resettet hab.

 

[qbic]

Leider ist die DS218 zwar mittlerweile angekommen, beim Auspacken kam mir aber die CMOS Batterie samt Halterung entgegen.
DS wurde prompt wieder zurückgeschickt und nun warte ich auf einen Austausch. Dauert also noch bis ich was neues sagen kann.

Irgendwie startet das Jahr nicht so gut, Heizung schrott, Strom-Sicherung durchgebrannt und dann kriegt man auch noch ne kaputte Diskstation geliefert.
Ich sehs positiv, kann nur besser werden ;-)

 

[TheGardner]

Also das einzigste, was ich Dir noch anbieten kann, ist am Ende mal per Fernzugriff (über Deinen Rechner) auf die neue 218 zuzugreifen und das Ganze mal einzustellen, wie Du es haben willst!
Musst Dich nur nochmal melden, wenns auch mit der 218 dann Probleme geben sollte.

 

[qbic]

Ich weis mittlerweile was genau das Problem überhaupt verursacht.
Die neue DS ist da aber das Problem besteht weiterhin.

Folgendes Problem kann ich identifizieren:
Fritzbox Freigaben werden nicht realisiert obwohl sie vorhanden und aktiv sind.
Rausgefunden habe ich es, indem ich einen Port-Scann auf den freigegebenen Port bereich für den FTP gemacht habe.
Alle eingetragenden Ports, wirklich alle sind offen. Nur die FTP Range kann von außen nicht angsprochen werden.
Ich habe bereits Testweise mal versucht den bereich zu ändern, komme aber nicht weiter.

Entweder ich übersehe etwas ganz banales in der Fritzbox, die Fritzbox macht etwas falsch oder diverse Ports werden vom Provider sogar geblockt weil für Privatanwender nicht zugelassen.

 

[qbic]

OK so klar ist es dann doch wieder nicht.
Das Problem könnte wirklich noch sein, dass die DS den Port aus irgendwelchen Gründen einfach nicht durchlässt.
Aktuell habe ich es noch probiert indem ich die Komplette Installation einfach aktualisiert hab (HDD aus alter DS raus und in die neue rein -> Migrate)
Sollte die DS den Port wegen Fehlkonfiguration wirklich nicht durchlassen, dann wird jeder Portscan notdgedrungen abgewiesen werden.

Ich glaube ich gehe wirklich den Weg und mache einen Reset aller Daten und beginne ganz von vorn.
Werde erstmal eine alternative Platte reinhängen und die DS damit starten und dann erstmal nur den FTP Testen, wenn es dann geht, dann liegt es an der Konfiguration.
Wenn es nicht geht, dann muss ich wenigstens nicht alles neu machen und kann den Fehler in Ruhe weiter suchen.

Heieiei

 

[qbic]

So, DS wurde resettet und auf einer neuen Platte alles installiert.
Geht nicht. Ich werde noch wahnsinnig.
@TheGardner, eventuell komme ich doch irgendwann nochmal auf dein Angebot zurück, da würde ich mich dann einfach nochmal melden sofern dein Angebot noch immer steht.

 

[qbic]

Thema bitte schließen, FTPES nicht mehr notwendig. Läuft jetzt ausschließlich über SFTP.
Danke trotzdem nochmal an TheGardner für die Hilfe =D

 

[TheGardner]

Komisch! Wenns über SFTP läuft, müsste es anders eigentlich auch gehen! Habe den Verdacht, dass das Clientprogramm ggf. Schuld sein könnte!
Na gut, Haken dran!