FTP over SSL/TLS

[davedj]

Hoi,

Ik probeer een FTPES (FTP over SSL/TLS) verbinding op te zetten met FileZilla (V3.3.3) en mijn synology diskstation 209+ (DSM2.3) over het internet.
Ik heb alle relevanten poorten op  mijn d-link DIR655 router welke beschreven staan op http://www.synology.com/support/faq_sho ... 9&lang=nld (FTP, FTP over SSL and FTP over TLS) geforward.

Dus poort 20,21 en de poort range 55536-55663 zijn geforward naar mijn DS209+

FTPES werkt goed over LAN (lokaal) maar weigert te werken over het internet.
(Onbeveiligd) FTP werkt goed over het internet (en ook lokaal over LAN)

Wat doe ik verkeert?
Moet ik nog meer poorten forwarden?

Groet.
Dave

Hieonder de filezilla logging:

Status:   Resolving address of xxxxxx.xxxxx.org
Status:   Connecting to xx.xxx.xxx.60:21...
Status:   Connection established, waiting for welcome message...
Response:   220 DiskStation FTP server ready.
Command:   AUTH TLS
Response:   234 AUTH SSL command successful.
Status:   Initializing TLS...
Status:   Verifying certificate...
Command:   USER xxxx
Status:   TLS/SSL connection established.
Response:   331 Password required for xxxx.
Command:   PASS ******
Response:   230 User xxxx logged in.
Command:   SYST
Response:   215 UNIX Type: L8
Command:   FEAT
Response:   211- Extensions supported:
Response:    AUTH TLS
Response:    PBSZ
Response:    PROT
Response:    SIZE
Response:    MDTM
Response:    REST STREAM
Response:   211 End.
Command:   PBSZ 0
Response:   200 PBSZ command successful (PBSZ=0).
Command:   PROT P
Response:   200 Protection level set to Private.
Status:   Connected
Status:   Retrieving directory listing...
Command:   PWD
Response:   257 "/" is current directory.
Command:   TYPE I
Response:   200 Type set to I.
Command:   PASV
Response:   227 Entering Passive Mode (xx,xxx,xxx,60,216,250)
Command:   LIST
Error:   GnuTLS error -53: Error in the push function.
Error:   Connection timed out
Error:   Failed to retrieve directory listing

[Bob]

Yes, 22 (SSH)

[davedj]

Yes, 22 (SSH)

Helaas, poort 22 open gezet, en exact dezelfde fout als in bovenstaande logging.

Ik heb ook een FTP alternatief geprobeerd (FlashFXP). Deze lukt het ook niet om de directory contents op te halen.
Het lijkt er op dat de router (d-link DIR655) de poort range (55536-55663) niet goed interpreteert.

Ga proberen de poort range om te zetten naar apparte poorten. (Om te kijken of er een poort range probleem in de router zit)


FlashFXP logging:
WinSock 2.0 -- OpenSSL 0.9.8i 15 Sep 2008
[R] Connecting to xxxxxx.xxxxx.org -> DNS=xxxxxx.xxxxx.org IP=xx.xxx.xxx.60 PORT=21
[R] Connected to xxxxxx.xxxxx.org
[R] 220 DiskStation FTP server ready.
[R] AUTH TLS
[R] 234 AUTH SSL command successful.
[R] Connected. Negotiating TLSv1 session..
[R] TLSv1 negotiation successful...
[R] TLSv1 encrypted session using cipher AES256-SHA (256 bits)
[R] PBSZ 0
[R] 200 PBSZ command successful (PBSZ=0).
[R] USER xxxx
[R] 331 Password required for xxxx.
[R] PASS (hidden)
[R] 230 User xxxx logged in.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211- Extensions supported:
[R]  AUTH TLS
[R]  PBSZ
[R]  PROT
[R]  SIZE
[R]  MDTM
[R]  REST STREAM
[R] 211 End.
[R] PWD
[R] 257 "/" is current directory.
[R] TYPE A
[R] 200 Type set to A.
[R] PROT P
[R] 200 Protection level set to Private.
[R] PASV
[R] 227 Entering Passive Mode (xx,xxx,xxx,60,217,2)
[R] Opening data connection IP: xx.xxx.xxx.60 PORT: 55554
[R] Data Socket Error: Connection refused
[R] List Error
[R] PASV
[R] 227 Entering Passive Mode (xx,xxx,xxx,60,217,35)
[R] Opening data connection IP: xx.xxx.xxx.60 PORT: 55587
[R] Data Socket Error: Connection refused
[R] List Error
[R] PASV mode failed, trying PORT  mode.
[R] Listening on PORT: 1603, Waiting for connection.
[R] PORT 10,128,16,167,6,67
[R] 500 Illegal PORT range rejected.
[R] List Error
[R] 421 Timeout (300 seconds): closing control connection.
[R] Connection lost: xxxxxx.xxxxx.org

[Bob]

Vreemd inderdaad. Ik zou ook 22 even op een andere binnen laten komen (2222 ofzo) en doorsturen naar 22. Misschien dat je provider of de modem zelf deze geblokeerd heeft.

[davedj]

Vreemd inderdaad. Ik zou ook 22 even op een andere binnen laten komen (2222 ofzo) en doorsturen naar 22. Misschien dat je provider of de modem zelf deze geblokeerd heeft.

Ga ik zeker ook proberen.
Volgende week vakantie (dus niet thuis), maar de week erop ga ik weer verder met experimenteren.

In ieder geval bedankt tot zover voor de bijdrage.

[ramble]

Heb je deze al eens aan of uitgezet op je DS bij de instellingen over ftp "Report external IP in PASV mode" ?

Verder heb ik op de router alleen port 21 en de range 55536 t/m 55663 geforward (met TCP protocol) en dan werkt het hele SSL/TLS-gebeuren prima met filezilla. Ik gebruik dan wel de portable versie 2.2.19a van Filezilla maar ik zou niet weten waarom het met jou versie niet zou werken.

Ik hoop dat je het aan de gang krijgt en het dan nog even laat weten.
Succes, Cees  

[davedj]

Hallo Cees,

bedankt voor je info.

Ik heb "Report external IP in PASV mode" aan staan. In de logging is dat ook te zien. (Niet in de logging die ik hier heb geplaatst, daar heb ik het externe IP adres voor een groot deel vervangen door x-en)

De eerste regel in de logging laat zien dat het domeinnaam via DNS wordt vervangen door het externe IP adres. Dit adres wordt later ook gebruikt om Passive Mode te "Enteren" ([R] 227 Entering Passive Mode).

Ik ga vanavond de poort range 55536 t/m 55663 verkleinen naar 55663 (1 poort dus) in mijn DS209+. En verklein in mijn d-link router dan ook de range naar 1 poort. Dit om een port range forward probleem uit te sluiten in mijn router.

Als dit niet wil werken kan ik misschien nog de DS209+ achter DMZ zetten en de firewall van de DS209+ activeren (Die zat er geloff ik sinds DSM2.3 in).

Groet, Dave

[davedj]

Zo daar ben ik weer,

Gisteren de port range gereduceerd van 55536 - 55663 naar 55536 t/m 55540. De poorten afzonderlijk geforward in mijn d-link router (om een port range forward probleem uit te sluiten).

Helaas, het werkt nog steeds niet.

Resume,
poort 20 en 21 geforward naar mijn DS209+
poort  55536, 55537, 55538, 55539 en 55540 geforward naar mijn DS209+

Als laatste redmiddel ga ik de DS209+ achter DMZ zetten.

Wordt vervolgd.

[Björn]

poort 20 en 21 geforward naar mijn DS209+
poort 55536, 55537, 55538, 55539 en 55540 geforward naar mijn DS209+

Nou mis ik wel nog steeds poort 22..

[davedj]

Dag Bjorn,

Poort 22 forwarden heeft geen positief effect.
Op dit moment forward ik dus:

poort 20, 21, 22, 989, 990, 55536, 55537, 55538, 55539 en 55540 naar mijn DS209+

Ik heb synology gevraagd om de EZ-internet optie uit te bereiden met de d-link DIR-655 zodat ik via mijn diskstation automatisch mijn poorten van mijn router kan laten configureren.

Mijn laatste optie is nu de diskstation achter DMZ plaatsen, maar ik weet niet hoe veilig dit is.....
Maar als test zou ik dit wel een keer kunnen doen.

Groet, Dave

[davedj]

Wellicht is er nog een ander probleem;

Mijn router deelt de IP adressen uit (DHCP staat aan) in een range van 192.168.1.2 tot 192.168.1.10.
Mijn DS209+ heb ik een statisch IP adres gegeven die buiten deze range valt. (192.168.1.11)

Wellicht kan mijn router niets forwarden wat buiten de DHCP range valt..... (als DHCP aan staat)

Ook nog even naar kijken.

[cyrus1977]

Als ik dit zo lees haal je ip en poort door elkaar.

Geef je syno eens een vast ip adres (handmatig of bound dhcp) en stel in je modem portforwarding in. Op google zijn genoeg examples te vinden hoe je je d-link moet instellen..

Eventueel is een optie active ftp ?

[mupput]

Modem/routers zijn redelijk intelligente apparaten. Maar volgens mij kunnen ze geen dataverkeer routeren naar een ipadres dat buiten de ingestelde DHCP range ligt, dus je moet je range weer vergroten.
DMZ=Demilitarized Zone. Niet aan teraden voor langere tijd omdat je hier geen enkele vorm van beveiliging meer hebt.
Misschien dat je nog een screenshot kan plaatsen van jouw portforwarding pagina, dit geeft vaak meteen een goed beeld.Bij elke forward in je router moet je je interne firewall ook aanpassen.

Onderstaaande link beschrijft precies hoe je moet forwarden in jouw router.
http://portforward.com/english/routers/ ... efault.htm

succes,

[bartmans99]

Modem/routers zijn redelijk intelligente apparaten. Maar volgens mij kunnen ze geen dataverkeer routeren naar een ipadres dat buiten de ingestelde DHCP range ligt, dus je moet je range weer vergroten.

Dat maakt voor een router weinig uit. Een IP adres is bereikbaar of niet bereikbaar, ongeacht hoe het doelsysteem aan dat IP-adres is gekomen (dus DHCP of statisch).

Het is wel praktischer (vind ik) om een doelsysteem (bv. je PC waarop je wilt downloaden of FTPen) een vast IP te geven. Je hoeft dan alleen naar dat IP-adres te portforwarden en niet naar de hele reeks die mogelijkerwijs gebruikt zou kunnen worden door de DHCP server. Maar dat is meer kwestie van voorkeur.

Mijn PC's krijgen daarom een vast IP (via bound DHCP - dus gekoppeld aan MAC adres) en gastsystemen via DHCP.

[cyrus1977]

Modem/routers zijn redelijk intelligente apparaten. Maar volgens mij kunnen ze geen dataverkeer routeren naar een ipadres dat buiten de ingestelde DHCP range ligt, dus je moet je range weer vergroten.
DMZ=Demilitarized Zone. Niet aan teraden voor langere tijd omdat je hier geen enkele vorm van beveiliging meer hebt.
Misschien dat je nog een screenshot kan plaatsen van jouw portforwarding pagina, dit geeft vaak meteen een goed beeld.Bij elke forward in je router moet je je interne firewall ook aanpassen.

Onderstaaande link beschrijft precies hoe je moet forwarden in jouw router.
http://portforward.com/english/routers/ ... efault.htm

succes,

Onzin DHCP of manueel maakt niet uit zolang alles maar in het zelfde subnet zit. wat in dit geval zo lijkt te zjn.