FritzBox 7270 verweigert FTPS Verbindung

[HansDampf00900]

Hi,

ich habe an meiner FritzBox eine USB-Festplatte angeschlossen und möchte diese aus dem Internet erreichbar machen. Eine Verbindung nur per FTP scheint mir etwas zu unsicher. Also wollte ich zumindest die eingebaute Funktion "Nur sichere FTP-Verbindungen zulassen (FTPS)" nutzen und somit etwas an Sicherheit gewinnen.
Die Verbindung über FTP ließ sich problemlos aufbauen.
Seitdem ich die FTPS Funktion in der FritzBox aktiviert habe, funktioniert das leider garnicht mehr. Probiert habe ich es mit Filezilla und SmartFTP.
Mit den Einstellungen "FTP - explizites TLS/SSL" und korektem Nutzername und Passwort.

Filezilla liefert folgenden Log:

Status: Auflösen der IP-Adresse für xxxxxxxxx
Status: Verbinde mit xxxxxxxxxxx...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 FRITZ!BoxFonWLAN7270v3(UI) FTP server ready.
Befehl: AUTH TLS
Antwort: 234 Authentication method accepted
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Befehl: USER ftpuser
Status: TLS/SSL-Verbindung hergestellt.
Antwort: 331 Password required for ftpuser.
Befehl: PASS *********************
Antwort: 230 User ftpuser logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8 Version: Linux 2.6.19.2
Befehl: FEAT
Antwort: 211- Extensions supported:
Antwort: UTF8
Antwort: MDTM
Antwort: SIZE
Antwort: AUTH TLS
Antwort: PBSZ
Antwort: PROT
Antwort: 211 end
Befehl: OPTS UTF8 ON
Antwort: 200 UTF8 ON
Befehl: PBSZ 0
Antwort: 200 ok
Befehl: PROT P
Antwort: 200 Data channel will be secured
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (92,194,50,87,14,113)
Befehl: LIST
Fehler: GnuTLS error -53: Error in the push function.
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Soweit ich dass beurteilen kann wird die Verbindung zuerst richtig hergestellt, aber dann geht etwas schief. Ich komm leider nciht weiter, deswegen frage ich mal hier nach.
Ich wäre sehr dankbar um etwas kompetente Hilfe.

Grüße
Leo

 

[LMS23]

Hallo,

das gleiche Problem hab ich auch (54.04.86 und 54.04.88 ). Ich hab grad wieder bei AVM eine Anfrage gestartet mit welchem FTP Tool man sich denn bitte an ihr FTPS anmelden kann.

Ich hab smartFTP, FileZilla und WinSCP Probiert. Ich bekomm auch immer nur eine Auth Fehlermeldung.

Intern klappts ohne Probleme (also 192.168.178.1) aber sobald ich aus dem Internet drauf zugreife (extern IP) wird die Verbindung immer verweigert.

Solange "nur" FTP funktioniert, lass ich die Funktion komplett aus, denn das ist mir nicht ganz geheuer.... :noidea:

Am liebsten wär mir eh SFTP...

Grüße

 

[HansDampf00900]

Ein Freund von mir hat es mit seinem MacBook probiert und konnte sogar ne kleine test Datei hochladen, aber dann wurde die Verbindung mit einer Fehlermeldung das Server-Zertifikat betreffend abgebrochen.
Bei ist die Verbindung, wie bei dir, intern problemlos möglich, aber die hat ja auch nichts mit dem ftp Server zu tun.
Falls von du von AVM was nützlichen erfährst wäre ich froh auch davon zu hören.

 

[LMS23]

Mit Intern mein ich schon nen FTP Server nur halt auf die Interne IP, sobald ich über einen anderen Rechner extern die externe IP eingebe und mich verbinden will kommt der AUTH Fehler

Bis jetzt hab ich von AVM noch nichts, aber ich denke das kommt im laufe der nächsten Woche

 

[PCMor]

Mit FileZilla 3.3.5.1 zeigt sich bei mir noch immer das selbe Fehlerbild wie bei HansDampf00900.

Witzigerweise funktioniert aber das Firefox-Add-on FireFTP vollkommen tadellos und fehlerfrei (mit AuthTLS)

Reicht mir erstmal...

 

[RalfFriedl]

Soweit ich dass beurteilen kann wird die Verbindung zuerst richtig hergestellt, aber dann geht etwas schief.

Die FTP-Verbindung wird aufgebaut, aber die Daten-Verbindung nicht. Vermutlich ist eine Pause zwischen dem Befehl LIST und der Fehlermeldung.
Muß man die Daten-Ports extra freigeben, oder macht das die Firmware automatisch, wenn man den AVM FTP einsetzt?

dass die Authentifizierung am Server lediglich mit dem allgemein bekannten Benutzername "ftpuser" und deinem Passwort erfolgt! FTPES schützt also nicht vor unbefugtem Eindringen in deinen Server!

Natürlich schützt eine Verschlüsselung nicht vor einem schlechten Paßwort.
Das Gleiche könnte man auch über SSH oder sftp sagen.

 

[LMS23]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Also ich hab jetzt mal eine "schwammige" Antwort von AVM erhalten:

...
Folgende FTP-Clients konnten wir erfolgreich mit der FRITZ!Box testen:

WICHTIG:
Die FTP-Clients funktionieren mit der zum jeweiligen Testzeitpunkt
verfügbaren aktuellen Version.

- FireFTP
- CoreFTP (FTPS only, kein mixed mode)
- FTP Voyager
- TotalCommander
- SmartFTP
...

Ich finde es schon komisch wieso FileZilla oder auch WinSCP nicht funktionieren

[Beitrag 2:]

Wer ssh/sftp mit Benutzername+PW zulässt, ist selber schuld.

Naja, ich hab jetzt nicht sooo wichtige Daten auf der FB das sich ein Angriff lohnen würde. Aber FTPS (oder SFTP) wäre auf jedenfall schon mal viel besser als normales FTP soviel ist sicher...

 

[HansDampf00900]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Hm, komisch. Mit SmartFTP hab ich auch schon probiert und kein Erfolg gehabt.
Mir ist aufgefallen, dass sich einige FTp-Clients über das serverseitige Zertifikat beschweren. Die akzeptieren das nicht, weil es seit 1970 abgelaufen ist oder so
ich weiß nicht ob das zu dem Fehler beiträgt oder nebensächlich ist.

 

[PCMor]

Noch einer, der unter Windows funzt (AuthSSL): WS_FTP.

Nur zur Info...

 

[Golgorod]

Hallo,

eigentlich ist die Antwort darauf relativ eifach warum Filezilla nicht funktioniert. Und ehrlich gesagt bin ich langsam auch froh darüber, denn endlich wird in Bezug auf Sicherheit (auf Client-Seite) etwas getan.
Nur leider dauert es ewig bis alle "großen" FTP-Server dies berücksichtigen. Dementsprechend wird es dauern bis AVM reagiert.
Der entsprechende Beitrag findet sich im Filezilla-Forum:
spoofed FIN TCP packets - Server's Fault

Wer mehr wissen möchte:
Cisco-Security

Also AVM-Anschreiben. Die müssen was tun!

 

[RalfFriedl]

Hat das etwas mit dem Problem in diesem Thread zu tun?

 

[blondi3480]

Hallo,

ich quäle mich seit Tagen herum eine FTPS Verbindung zur Fritzbox 7240 aufzubauen. Ich komme einfach nicht weiter. Wenn ich mich mit dem Total Commander über FTP mit SSL/TLS verbinden will kommt immer folgende Meldung:

...
200 Data channel will be secured
Connect ok!
PWD
257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A.
PASV
425 Can't open passive connection. No such file or directory.
PORT 192,168,178,36,249,250
500 Illegal PORT Command


Ich hab alles so eingestellt wie es weiter oben beschrieben ist. Aber sobald ich mich auf die externe IP der Box mit SSL verbinden will streikt er. Wenn ich mit auf die interne IP verbinde funktioniert das FTPS allerdings.

Hat jemand eine Idee was ich falsch mache?

 

[RalfFriedl]

Normalerweise sollte der Server auf das PORT-Kommando damit reagieren, daß er eine IP-Adresse und Port zurück meldet. Hast Du eine Konfiguration, die verhindert, daß er die öffentliche IP-Adresse nutzen darf, oder ist kein Port mehr frei?

 

[blondi3480]

Hallo,

Normalerweise sollte der Server auf das PORT-Kommando damit reagieren, daß er eine IP-Adresse und Port zurück meldet.

also so wie ich das sehe kommt das PORT Kommando nur, weil er beim PASV Kommando eine Fehlermeldung bekommt. Eigentlich sollte die Verbindung im passiven Modus laufen. So wird es jedenfalls von AVM gefordert. Das PORT Kommando kommt also nur weil er nicht in den passiven Modus wechseln kann und dann alternativ den aktiven Versucht.

Die Frage ist: Warum kann er nicht in den passiven Modus wechseln? Da läuft doch eigentlich alles über Port 21 - oder?
(Übrigens sollte die Fritzbox die Portfreigaben automatisch setzen, falls notwendig. Der Benutzer selbst darf gar keine Port Freigaben auf die Box selbst anlegen.)

 

[RalfFriedl]

Ich wollte schreiben, daß der FTP-Server auf das PASV-Kommando damit reagieren sollte, daß er selbst einen Port angibt. Beim PORT-Kommando wird der Port als Parameter für das Kommando angegeben.
Ob aktiv oder passiv, die Daten-Kommunikation läuft bei FTP nie über Port 21, sondern immer über eine getrennte Datenverbindung. Die einzige Frage ist, in welche Richtung diese aufgebaut wird, vom Server zum Client oder vom Client zum Server.

 

[blondi3480]

Ich wollte schreiben, daß der FTP-Server auf das PASV-Kommando damit reagieren sollte, daß er selbst einen Port angibt.

Damit stellt sich jetzt die Frage warum mir die Fritzbox bei einer verschlüsselten Verbindung von außen keinen Port mitteilt.

 

[Golgorod]

@RalfFriedl

Natürlich hat es das. Das ist halt der Grund warum SSL nicht funktioniert mit Filezilla. Und füher oder spater wird es auch alle anderen Clients betreffen, wenn da ein Update kommt.
Ist doch eigentlich alles selbsterklärend.

 

[sf3978]

... Das ist halt der Grund warum SSL nicht funktioniert mit Filezilla.
...

Bei mir funktioniert SSL mit Filezilla.

 

[Barri]

Ich hab immer noch das Problem mit "Verzeichnisinhalt konnte nicht empfangen werden"

Kannst du mal bitte deine Einstellungen in FileZilla hier Posten ?

Danke

 

[sf3978]

...
Wie sf3978 mit FileZilla per FTPS auf die 7270 kommt, interessiert mich auch brennend!

Mein Beitrag #20 ist lediglich eine Antwort auf die Behauptung aus Beitrag #19, dass SSL mit Filezilla nicht funktionieren soll, was ja nicht stimmt. Wie ich mit Filezilla und FTPES (nicht mit FTPS!) auf die Boxen (7170 und 7240) komme, siehe Beitrag #5 von Peter_Lehmann.
Als Beweis, dass SSL mit Filezilla von intern und extern funktioniert, hier ein Verbindungs-Log von Filezilla:

Status:	Auflösen der IP-Adresse für xxxxxxx.ath.cx
Status:	Verbinde mit ##.yyy.yyy.###:#####...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220-"Hack attempt detected. Your ID has been logged and your account may be subject to a ban."
Antwort:	220 
Befehl:	[COLOR="Red"]AUTH TLS[/COLOR]
Antwort:	234 Proceed with negotiation.
Status:	[COLOR="Red"]Initialisiere TLS...[/COLOR]
Status:	[COLOR="Red"]Überprüfe Zertifikat...[/COLOR]
Befehl:	USER xxxx
Status:	[COLOR="Red"][B]TLS/SSL-Verbindung hergestellt.[/B][/COLOR]
Antwort:	331 Please specify the password.
Befehl:	PASS ********
Antwort:	230 Login successful.
Befehl:	SYST
Antwort:	215 UNIX Type: L8
Befehl:	FEAT
Antwort:	211-Features:
Antwort:	 AUTH SSL
Antwort:	 AUTH TLS
Antwort:	 EPRT
Antwort:	 EPSV
Antwort:	 MDTM
Antwort:	 PASV
Antwort:	 PBSZ
Antwort:	 PROT
Antwort:	 REST STREAM
Antwort:	 SIZE
Antwort:	 TVFS
Antwort:	 UTF8
Antwort:	211 End
Befehl:	OPTS UTF8 ON
Antwort:	200 Always in UTF8 mode.
Befehl:	PBSZ 0
Antwort:	200 PBSZ set to 0.
Befehl:	PROT P
Antwort:	200 PROT now Private.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	CWD /var/media/ftp
Antwort:	250 Directory successfully changed.
Befehl:	PWD
Antwort:	257 "/var/media/ftp"
Befehl:	TYPE I
Antwort:	200 Switching to Binary mode.
Befehl:	PASV
Antwort:	227 Entering Passive Mode (169,254,2,1,186,13).
Status:	Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
Befehl:	LIST
Antwort:	150 Here comes the directory listing.
Antwort:	226 Directory send OK.
Befehl:	PASV
Antwort:	227 Entering Passive Mode (169,254,2,1,186,13).
Status:	Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
Befehl:	LIST -a
Antwort:	150 Here comes the directory listing.
Antwort:	226 Directory send OK.
Status:	Anzeigen des Verzeichnisinhalts abgeschlossen