FTP over SSL/TLS

[davedj]

Hier een screenshot van mijn instellingen in mijn router zoals die op dit moment zijn en dus niet werken.
[ Gespecificeerde bijlage is niet beschikbaar ]forward_screenshot.JPG[/attachment:3u2y0cvg]

Mijn Diskstation krijgt nu een vast IP adres 192.168.1.2 (via bound DHCP) uit de DHCP range (192.168.1.2 - 192.168.1.9)

Het testen van de verbinding (FTP over SSL/TLS) doe ik op mijn werk. Dus ik maak/wijzig de avond ervoor thuis de instellingen in mijn router en 'smorgens check ik of die werken op mijn werk. Zou het kunnen zijn dat op het werk bepaalde poorten naar buiten dicht worden gezet? Standaard FTP (dus zonder SSL/TLS) werkt wel vanuit mijn werk.

De logging in een van de eerste berichten gaat eigenlijk best ver goed. Het is zelfs gelukt om een SSL/TLS verbinding op te zetten. Maar het ophalen van de mappen gaat dan weer fout. (Deze loggin heb ik gemaakt op m'n werk)

[cyrus1977]

voor hetgeen jij wilt moet je volgens mij alles >1023 open zetten omdat je ftp client in die range een willekeurige port pakt.

Test dat maar eens.

Kwam overigens dit nog tegen: http://serverfault.com/questions/17957/ ... p-over-ssl (sluit wel aan bij wat ik al zei)

[Anonymous]

Hallo cyrus1977,

De ftp client op de synology  is zo ingesteld dat ie een gelimiteerd aantal poorten voor data gebruikt, te weten poort 55536 t/m 55663.

Dit zou het FTPS probleem zoals beschreven staat op http://en.wikipedia.org/wiki/FTPS#Firew ... tibilities moeten oplossen.

Uiteraard kan ik de poorten >1023 eens open zetten. (Maar dan kan ik 'm bijna net zo goed achter DMZ zetten...)

Bedankt voor je advies.

[davedj]

Die "gast" hierboven dat was ik. (Vergeten in te loggen)

[cyrus1977]

Hallo cyrus1977,

De ftp client op de synology  is zo ingesteld dat ie een gelimiteerd aantal poorten voor data gebruikt, te weten poort 55536 t/m 55663.

Dit zou het FTPS probleem zoals beschreven staat op http://en.wikipedia.org/wiki/FTPS#Firew ... tibilities moeten oplossen.

Uiteraard kan ik de poorten >1023 eens open zetten. (Maar dan kan ik 'm bijna net zo goed achter DMZ zetten...)

Bedankt voor je advies.

Probeer het in elk geval even dan weet je in ieder geval dat je in de goeie hoek zoekt.

[davedj]

Ik heb alle poorten >1023 geforward naar mijn Diskstation en helaas, het gaat weer fout.
Ik denk dat het ligt aan de firewall hier op mijn werk. Ik ga het op een andere plek (dus niet op mijn werk) eens proberen of ik deze verbinding succesvol kan gebruiken.

Groet en "to be continued"

[cyrus1977]

Eh ja dat had ik even gemist... die firewall van je werk had je toch niet eerder beschreven ?

Ik wil eea wel testen voor je als je me een account geeft..

[davedj]

Ik had al iemand opdracht gegeven die het op een andere plek (niet op mijn werk maar op zijn werk) dit wilde proberen. Maar hij komt er ook niet op. Het blijft steken bij het ophalen van de mappenlijst. Hij krijgt dan uiteindelijk een timeout.

Hij gaat dit vanavond thuis proberen. Hij heeft daar internet van UPC. (ik van onsbrabantnet).

De verbinding lijkt goed opgezet te worden tot op het allerlaatste moment de mappenlijst opgevraagd wordt.
Misschien dat ik toch nog een optie in mijn router over het hoofd zie. (ik ga de manual nog maar eens een keer bestuderen)

Wordt vervolgd.

[Björn]

De mappenlijst niet kunnen ophalen wijst op het niet juist forwarden van de passive port range. Staat er in je NAS en in de router nu wel echt dezelfde range? Nergens een typo? TCP én UDP geforward (weet niet of dat echt nodig is maar toch)

[davedj]

Hoi Bjorn,

Oorspronkelijk had ik de default range die de Synology gebruikt ge-copy-paste uit the UI van de synology zelf. (Dus als er een typo zit in de user interface..., zie screenshot in een van de eerdere berichten)

Op aanraden van cyrus1977 forward ik op dit moment alle poorten >1023  (dus 1024-65535), zo beetje alle poort dus. Lijkt me stug (maar het kan natuurlijk) dat er buiten om poort 20,21,22 en 989,990 nog andere poorten <1024 geforward moeten worden.

Via google ben ik ook op d-link fora gekomen waar mensen ook problemen hebben met het forwarden van FTP over SSL/TLS. Een oplossing ben ik daar nog niet tegengekomen.

Ik dubbel check nog een keer de instellingen. (zal de poorten ook onder UDP plaatsen)

Groet, Dave

[davedj]

Ik heb nog even wat zitten googlen, het zou ook nog kunnen zijn dat de MTU size niet in orde is. Ik heb jumbo frames van 9000 ingesteld op mijn synology diskstation (en op al mijn netwerkkaarten op mijn LAN). Ik zal deze weer eens naar standaard zetten. Alhoewel dit geen problemen gaf bij standaard FTP. (dus zonder SSL/TLS).

Ik had dit hier gevonden: http://www.allaboutjake.com/network/linksys/ftp/

[Anonymous]

D-Link:

je moet in tabblad, advanced, port forwarding

het volgende invullen:
naam: bv. sftp
tcp: 55536-55663
ip:  ip adres synology

vinkje aanzetten en opslaan. Verder niets invullen. (UDP veld dus leeg laten)

je moet in tabblad, advanced, virtual server

port 20 naar 20 en 21 naar 21 forwarden.

synology:

Menu:
bestanden delen, ftp

Poortbereik van passieve FTP: Standaard poortbereik gebruiken (55536-55663)

Externe IP in PASV modus rapporteren: JA

UTF-8 bestandsnaam ondersteuning inschakelen: NEE

FTP bestandsoverdracht logboek inschakelen: JA

succes

[davedj]

Ik heb nog even wat zitten googlen, het zou ook nog kunnen zijn dat de MTU size niet in orde is. Ik heb jumbo frames van 9000 ingesteld op mijn synology diskstation (en op al mijn netwerkkaarten op mijn LAN). Ik zal deze weer eens naar standaard zetten. Alhoewel dit geen problemen gaf bij standaard FTP. (dus zonder SSL/TLS).

Ik had dit hier gevonden: http://www.allaboutjake.com/network/linksys/ftp/

MTU size op standaard (1500) gezet in mijn DS209+, nog steeds gaat het fout bij het ontvangen van de mappen lijst.

...
...
Command:   PBSZ 0
Response:   200 PBSZ command successful (PBSZ=0).
Command:   PROT P
Response:   200 Protection level set to Private.
Status:   Connected
Status:   Retrieving directory listing...
Command:   PWD
Response:   257 "/" is current directory.
Command:   TYPE I
Response:   200 Type set to I.
Command:   PASV
Response:   227 Entering Passive Mode (Ex,ter,nal,IP,217,105)  --> 217*256+105= poort 55657
Command:   LIST
Error:   GnuTLS error -53: Error in the push function.
Error:   Connection timed out
Error:   Failed to retrieve directory listing

[davedj]

Dag Olive,

Ik had oorspronkelijk poort 20 en 21 in de virtual server tab staan (dat werkte), echter in de port forward tab werkt ook.

De instellingen die je beschrijft voor de d-link router en de synology diskstation zijn op dit moment (op poort 20 en 21 na, want die staan in de port forward tab) de instellingen die ik gebruik.

Toch bedankt voor je info.

[cyrus1977]

hou je er wel rekening mee dat je switch ook jumbo frames moet ondersteunen..