[Frage] FTP-Problemb seit update auf aktueller Labor bei 7490

[gismotro]

Hallo Freunde,

ich habe seit einem Update auf die 113.06.25-30097 bei meiner 7490 keinen FTP-Zugriff mehr auf den FTP-Server meiner NAS.
Es geht nur noch ein FTP-Zugriff auf den Stick der an der Fritzbox 7490 steckt.

Das PW wird noch abgegliechen, aber das Auslesen der Verzeichnisse klappt nicht mehr.

1.) Kann das sonst noch einer bestätigen ?
2.) Hat schon einer eine Lösung ?

 

[IgorGlock]

Hallo!

Kann dieses Phänomen auch bestätigen.

Folgende Zustände:
FTP Server ist über interne IP ist voll funktionsfähig
FTP Server ist über interne und externe IPv6 ist voll funktionsfähig
FTP Server scheitert bei einer externen IPv4 Verbindung

Bei mir Zuhause hat der Router "192.168.1.1" IP, nicht wundern.

Anbei der Log von FileZilla bei erfolgreichen internen Verbindung:
Status: Connecting to 192.168.1.1:21...
Status: Connection established, waiting for welcome message...
Response: 220 FRITZ!Box7490 FTP server ready.
Command: USER XXXXXXXX
Response: 331 Password required for XXXXXXXX.
Command: PASS ******
Response: 230 User XXXXXXXX logged in.
Command: SYST
Response: 215 UNIX Type: L8 Version: Linux 2.6.32.61
Command: FEAT
Response: 211- Extensions supported:
Response: UTF8
Response: MDTM
Response: SIZE
Response: AUTH TLS
Response: PBSZ
Response: PROT
Response: 211 end
Command: OPTS UTF8 ON
Response: 200 UTF8 ON
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (192,168,1,1,152,138)
Command: LIST
Response: 150 Opening BINARY mode data connection for '/bin/ls -lgA'.
Response: 226 Transfer complete.
Status: Directory listing successful

Anbei der Log von FileZilla bei fehlerhaften externen Verbindung:
Status: Connecting to EX.TE.RN.IP:21...
Status: Connection established, waiting for welcome message...
Response: 220 FRITZ!Box7490 FTP server ready.
Command: USER XXXXXXXX
Response: 331 Password required for XXXXXXXX.
Command: PASS ******
Response: 230 User XXXXXXXX logged in.
Command: SYST
Response: 215 UNIX Type: L8 Version: Linux 2.6.32.61
Command: FEAT
Response: 211- Extensions supported:
Response: UTF8
Response: MDTM
Response: SIZE
Response: AUTH TLS
Response: PBSZ
Response: PROT
Response: 211 end
Command: OPTS UTF8 ON
Response: 200 UTF8 ON
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: PASV
Response: 227 Entering Passive Mode (192,168,1,1,200,44)
Status: Server sent passive reply with unroutable address. Using server address instead.
Command: LIST
...timeout

Das "Fettgeschriebene" sollte die Ursache wohl für das Problem sein.

 

[sf3978]

Anbei der Log von FileZilla bei fehlerhaften externen Verbindung:
Status: Connecting to EX.TE.RN.IP:21...

"externe Verbindung" heißt hier, Verbindung von einem fremden Internetanschluss, der eine andere externe IPv4-Adresse hat als dein Internetanschluss?

 

[IgorGlock]

Ja. Kann jederzeit aus dem Mobilfunknetz z.B. testen.

Meine externe IP habe ich mit EX.TE.RN.IP provisorisch unkenntlich gemacht.

 

[gismotro]

Kann das ggf. an einem fehlenden Eintrag im DNS-Rebind-Schutz liegen ?

DNS-Rebind-Schutz

FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie eine Liste von Domainnamen angeben, für die der DNS-Rebind-Schutz nicht gelten soll.
Domainnamen-Ausnahmen:

Ort: Heimnetz => Netzwerk => dort ganz unten.

Ich habe einen DynDns bei No-IP (Mustername.no-ip.org). Was muß ich wenn dort eintragen ?

FAQ von AVM zum Thema : http://avm.de/nc/service/fritzbox/f...floesung-privater-IP-Adressen-nicht-moeglich/

 

[IgorGlock]

Daran liegt's nicht...

Nach gestrigen Update wurde es auch nicht besser. Ich nutze eine externe IPv4, komme weiterhin nicht auf den Fritz-eigenen FTP Server.

 

[HabNeFritzbox]

DNS Rebind nur wenn externer Hostname interne IP ausgibt, also i.d.R. bei IPv6. Bei IPv4 wird normal externe IP angegeben.

 

[sf3978]

Ich nutze eine externe IPv4, komme weiterhin nicht auf den Fritz-eigenen FTP Server.

Hast Du bis jetzt nur mit dem Filezilla-FTP-Client probiert oder auch mit einem anderen FTP-Client?

EDIT:

Evtl. ist der FTP-Server der FB jetzt so konfiguriert, dass dieser als Antwort auf den PASV-Befehl, auch bei Zugriff von extern nicht die externe IP-Adresse des Servers, sondern die interne IP-Adresse des Servers anzeigt/mitteilt und der Filezilla-Client damit evtl. ein Problem hat.

 

[IgorGlock]

Habe mit sämtlichen anderen FTP-Clients probiert.

Von einem Smartphone im Mobilfunk kommt's auch zum "routing auf die lokale IP der FritzBox".

Könnte davon kommen, dass die FritzBox bei mir statt 192.168.178.1 die 192.168.1.1 hat. - ändern möchte ich es aber nicht!

 

[PeterPawn]

Der Labor-"ftpd" hat doch offensichtlich das Problem, daß er mit der internen Adresse auf den PASV-Befehl reagiert, auch wenn die Verbindung von extern erfolgte. Diese Antwort enthält ja eine Ansage des Servers, auf welcher Adresse und auf welchem Port der Client seine Datenverbindung aufbauen soll und da steht ja ganz offensichtlich auch bei externem Zugriff die lokale IPv4-Adresse drin, womit der externe Client schlicht nichts anfangen kann.

Da dann auch das ALG für FTP nicht erkennen kann, daß dort eine zusätzliche temporäre Portfreigabe notwendig ist (die vom Client eingehende Datenverbindung muß ja aus dem WAN auch an den ftpd weitergeleitet werden), kann das auch mit einem FTP-Client, der anstelle der IP-Adresse in der PASV-Response einfach die Server-Adresse verwendet (wie es FileZilla ja versucht zu lösen), nur dann funktionieren, wenn irgendjemand (entweder das ALG oder der ftpd selbst) diese zusätzliche eingehende Verbindung ermöglicht. Solange das nicht erfolgt - was offenbar ein neues Problem in der Labor-Version ist - wird jeder Versuch des Clients scheitern, eine Datenverbindung aufzubauen.

Es gab bisher eine etwas eigentümliche Konstruktion im Code des ftpd, um das "Quell-Interface" einer FTP-Verbindung zu ermitteln. Offenbar versucht AVM nun, diesen Code-Teil sinnvollerweise zu ändern (er könnte für Angriffe auf den FTP-Server mißbraucht werden, wenn es gelingt, externe Verbindungen als intern auszugeben und von innen per Einstellung keine Authentifizierung notwendig ist bzw. dann ein Konto ohne externe Berechtigungen verwendet werden kann) und dabei klappt dann die korrekte Einordnung der Verbindung nicht.

Oder das ALG in der FRITZ!Box (keine Ahnung, wo das stecken könnte bzw. ob es überhaupt dort eingreifen würde) vergißt es einfach, die PASV-Response zu untersuchen und daraus die richtigen Schlüsse zu ziehen. Wenn das ALG die Antwort so ändern würde, daß da wieder die externe IP-Adresse steht und dann auch noch eine passende temporäre Portfreigabe eingerichtet wird, dann klappte das sogar für FTP-Server im LAN hinter der FRITZ!Box ... solange da nicht die Control-Verbindung schon verschlüsselt wird. Auch das könnte eine "Falle" in diesem Konstrukt werden ... denn wenn der FTP-Server der FRITZ!Box die Control-Verbindung verschlüsselt, dann "sieht" der restliche Code die PASV-Response ja nicht mehr im Klartext und kann sie weder richtig behandeln noch irgendwie ändern. Mir ist im Moment gerade auch absolut nicht klar, wie AVM diese Klippe umschifft ... das interessiert mich jetzt doch.

Die internen Ursachen können also vielfältig sein, über die tatsächlichen Abläufe und Zusammenhänge zwischen ftpd und Firewall/ALG ist meines Wissens zu wenig bekannt (man kann nur in den bisherigen OSS-Quellen sehen, daß da keine "Steuerung" von Portfreigaben durch den ftpd erfolgte, also müßte das eigentlich alles per ALG gelaufen sein). Man könnte das zwar durch einige Tests versuchen zu ermitteln ... but who cares?

Es ist einfach falsch, wenn in der PASV-Response (die beim Client ankommt) die interne Adresse steht und schon der Versuch einiger FTP-Clients, in so einem Fall die Adresse zu ignorieren und stattdessen die Server-Adresse zu verwenden, ist eigentlich ein Protokoll-Verstoß und nur ein schlechter Workaround.

AVM wird sich kaum auf solche Spezialitäten eines FTP-Clients verlassen wollen ... sie werden es sicherlich noch gebacken kriegen. Vielleicht liegt es auch an einer spezielleren Kombination aus "Router-Mode" und "Verbindung über LAN1"? Ich kann mir eigentlich nicht vorstellen, daß es tatsächlich immer auftritt und damit praktisch ungetestet wäre - schon gar nicht über mehrere Labor-Versionen.

Mit DNS-Rebind hat das aber alles nichts zu tun ... innerhalb des FTP-Protokolls werden keine DNS-Namen mehr verwendet, da geht es nur noch um IP-Adressen. Der Rebind-Schutz soll ja nur verhindern, daß externe DNS-Antworten auf interne IP-Adressen verweisen, was für Angriffe genutzt werden kann und bei bestimmten Konstellationen (eigene DNS-Server, VPN, usw.) trotzdem notwendig sein kann.

 

[gismotro]

Also ich bin wieder zurück auf die letzte Originale Version.

Bei der Labor geht kein FTP mehr (schon seit mehereren Versionen) Getestet habe ich das auf meiner DSL-Box (7490)

 

[IgorGlock]

Tipp: mit IPv6 klappt alles einwandfrei, sofern der Provider (bei mir Telekom - IP-Anschluss) es freigibt.

 

[Ldwg2002]

Bei der Labor geht kein FTP mehr (schon seit mehereren Versionen) Getestet habe ich das auf meiner DSL-Box (7490)

FTP wird mit 7490/07.59 (heute noch) für das NAS (intern) unterstützt. Geht der ftpd auch?

Heimnetz > USB / Speicher > Geräteübersicht | Heimnetzfreigabe
|X|Zugriff über ein Netzlaufwerk (SMB) aktiv |X|Unterstützung für SMBv1 aktivieren
|X|Zugriff über FTP aktiv

Nutzt man die GUI des FritzNAS und lädt Dateien hoch bleibt der Zeitstempel erhalten, wie es ein dumb user erwartet. Überträgt man mit einem FTP-Client Dateien im LAN auf die FB wird der timestamp immer auf die Übertragungszeit gesetzt, hier an einer 7490/07.59.

Wie bekommt man den FTP-Server eines FritzOS dazu den timestamp zu überschreiben bzw. um den timestamp der Ursprungsdatei zu setzen?​

Der Fehler scheint unabhängig vom FTP-Client zu sein. In LFTP helfen diese Optionen nicht weiter: set ftp:use-mdtm-overloaded true; set ftp:use-mdtm true; siehe man lftp. Offensichtlich werden die Erweiterungen MFCT, MFF, MFMT (=MFxx) für last modification time, creation time genutzt und vom ftpd der FritzBox benötigt, um den timestamp der ftp-Kopie auf den der Originaldatei zu setzen. MFxx haben es 2008 nicht in einen offiziellen RFC geschafft, siehe wikipedia, sind aber als draft dokumentiert. Auch Filezilla scheitert bei der FritzBox mit der Option "Änderungszeitpunkt der übertragenen Datei beibehalten", im Menu Transfer/Übertragung. Ebenso scheitert WinSCP mit dem timestamp auf einer FritzBox. "FTP geht nicht auf der FritzBox."
Alle Clients scheitern beim timestamp mit ftp/21 nur auf einer FritzBox, überall sonst läuft es wie gewünscht.

Die meisten FTPd unterstützen das vom Betriebssystem bekannte und als Standard erwartete Verhalten:
Eine Kopie be-/erhält den Zeitstempel der Originaldatei.

Zwei Beispiele ... ein beliebiger FTP-Server und eine FritzBox 7490/07.59:

lftp [email protected]:~/bakftp> quote help
214-The following commands are recognized (* =>is unimplemented):
CWD     XCWD    CDUP    XCUP    SMNT*   QUIT    PORT    PASV
EPRT    EPSV    ALLO    RNFR    RNTO    DELE    MDTM    RMD
XRMD    MKD     XMKD    PWD     XPWD    SIZE    SYST    HELP
NOOP    FEAT    OPTS    HOST    CLNT    AUTH    CCC*    CONF*
ENC*    MIC*    PBSZ    PROT    TYPE    STRU    MODE    RETR
STOR    STOU    APPE    REST    ABOR    RANG    USER    PASS
ACCT*   REIN*   LIST    NLST    STAT    SITE    MLSD    MLST
214 Direct comments to [email protected]


lftp [email protected]:/bakftp> quote help       # 7490/07.59
214- The following commands are recognized (* =>is unimplemented).
  USER    PASV    MLFL*   ALLO    XCWD    NOOP    XPWD    EPRT
  PASS    TYPE    MAIL*   REST    LIST    MKD     CDUP    FEAT
  ACCT*   STRU    MSND*   RNFR    NLST    XMKD    XCUP    OPTS
  SMNT*   MODE    MSOM*   RNTO    SITE    RMD     STOU    AUTH
  REIN*   RETR    MSAM*   ABOR    SYST    XRMD    SIZE    PBSZ
  QUIT    STOR    MRSQ*   DELE    STAT    RRMD    MDTM    PROT
  PORT    APPE    MRCP*   CWD     HELP    PWD     EPSV
214 Direct comments to [email protected].

Warum das Alles? (K)ein einfaches mirror-lftp/FTP-Backup im LAN ohne SSL!? z.B.

lftp ftp:[email protected] -e "set ftp:ssl-allow false; cd /bakftp/home; mput *; quit; "

über die tatsächlichen Abläufe und Zusammenhänge zwischen ftpd und Firewall/ALG ist meines Wissens zu wenig bekannt

Heißt das, es

geht kein FTP

auf einer FritzBox / FritzOS ?

"Geht nicht" im Sinne von, es funktioniert nicht wie es ein dumb user (ich) von jedem FTPd erwartet, auch wenn MFCT, MFF, MFMT (=MFxx) nicht explizit "quote help" unterstützt werden. Siehe CODE oben ... einserver.imweb.de macht was ich dumb erwarte, eine FritzBox nicht. Über die Sinnhaftigkeit von ftp im web muss niemand diskutieren. Es geht um's LAN.

Man könnte das zwar durch einige Tests versuchen zu ermitteln ... but who cares?

Me, not MeToo! FTP geht nicht auf einer FritzBox / FritzOS, nicht wie ich es erwarte.

Entsteht der Fehler (unerwartes Verhalten) in FritzOS aufgrund einer
fehlenden Flag beim Starten / Konfigurieren / Kompilieren des FTPd?
Support MFCT, MFF, MFMT (=MFxx) YES / No? standard/default is No!

 

[PeterPawn]

Der Quelltext für den ftpd ist in jedem OpenSource-Paket von AVM enthalten - wer ein anderes Verhalten "erwartet", kann sich also problemlos seine eigene Version mit den notwendigen serverseitigen Erweiterungen programmieren und installieren.

Basis war eine frühe(re) Referenz-Implementierung und zu diesem Zeitpunkt gab es vermutlich nicht mal das (oder doch den?) Draft für solche Erweiterungen. Solche (Server-)Kommandos gibt es im FTP-Protokoll nicht und AVM "verspricht" nichts anderes (bzw. nichts weitergehendes) als diesen Umfang. Schon die Tatsache, daß man da noch IPv6-Unterstützung eingebaut hat, als es ernst wurde mit diesem Protokoll, hat sicherlich so manchen überrascht - ebenso wie die nachträglich implementierte TLS-Verschlüsselung für den Data-Channel.

Wenn das jemandem nicht passt, muß er halt auf andere Protokolle (oder gar Geräte anderer Hersteller) zurückgreifen - FTP ist bei weitem nicht das einzige (und auch nicht das beste) Protokoll für das Übertragen von Dateien … und es ist auch KEIN Protokoll, das explizit für ein dateiweises Backup entwickelt wurde.

Einfach die zu sichernden Dateien zuvor lokal kopieren und in EIN großes File packen - schon hat darin jede Datei ihre eigenen Attribute (Flags + Zugriffszeiten + Eigentümer). Wer einen FTP-Server als "Workaround" für andere Unzulänglichkeiten verwendet, sollte sich ZUVOR mit den damit verbundenen Einschränkungen vertraut machen und nach besseren Lösungen suchen, anstatt auf den FTP-Server einzuprügeln:

einserver.imweb.de macht was ich dumb erwarte

DAS wage ich einfach mal zu bezweifeln - längst nicht jeder FTP-Server läßt zu, daß beim Upload von Dateien irgendwelche zusätzlichen Attribute gesetzt werden können. Abgesehen davon: Unter der Adresse einserver.imweb.de erreicht man (zumindest von hier aus) auch keinen FTP-Server, ich kann diese Behauptung also gar nicht verifizieren - vielleicht fehlt ja aber auch nur der Servername (im DNS)?

vidar:~ $ dig einserver.imweb.de
; <<>> DiG 9.20.2 <<>> einserver.imweb.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 15166
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: ed65b854a65aa2b10100000067890f56229e3757c9c2ef91 (good)
;; QUESTION SECTION:
;einserver.imweb.de.            IN      A
;; AUTHORITY SECTION:
imweb.de.               3600    IN      SOA     ns1.wecltd.de. guardian.wecltd.eu. 2024072303 3600 900 604800 3600
;; Query time: 59 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Thu Jan 16 14:53:26 CET 2025
;; MSG SIZE  rcvd: 140
vidar:~ $

 

[Ldwg2002]

Der Quelltext für den ftpd ist in jedem OpenSource-Paket von AVM enthalten - wer ein anderes Verhalten "erwartet", kann sich also problemlos seine eigene Version mit den notwendigen serverseitigen Erweiterungen programmieren und installieren.

Danke für deine klärende Antwort. Ich werde FTP an der FritzBox nutzen wie es ist, auch zukünftig. Bisher ist mir das Manko Erweiterungen MFCT, MFF, MFMT (=MFxx) bzgl. Zeitstempel bei der Dateiübertragung nicht aufgefallen. Es werden nur gescannte Dokumente per FTP direkt auf dem Fritz!NAS abgelegt und abgeholt, die Dateien entstehen also tatsächlich immer neu.

Was habe ich provozierend formuiert? Einprügeln ist nicht der beabsichtigte Tenor meines Beitrags. Wenn meine Erwartung so sehr von der Allgemeinheit bzw. vom AVM-Standard abweicht, dann ist das so und ich kann mich damit sehr gut arrangieren. Das Arrangement hast du als Hinweis genannt, genau so schwebt es mir vor, ggfs. mit Verschlüsselung. Es gibt immer eine elegante Lösung (als work around).

Haben andere user zuvor aufgegeben oder sich schneller arrangiert? Deshalb bin ich hier aktiv aufgeschlagen. Der eindeutige Hinweis fehlte mir, nirgends liest man es so deutlich wie du es erklärt hast. Das verwundert allerdings, der MFxx-Draft wurde 2008-07-28 (Latest revision 2008-07-29) eingereicht.

Fazit: Es ist das gewünschte Verhalten des NAS auf der FritzBox, dass jede über den ftpd von einem FTP-Client ankommende Datei das Datum der Übertragung als Zeitstempel erhält und nicht über o.g. Erweiterungen MFCT, MFF, MFMT (=MFxx) der ftpd die tatsächlichen Attribute setzen kann/darf, wenn es der Client aushandeln möchte.

Das wird seine Berechtigung haben, dann sei es so. Das Verhalten des Fritz!NAS auf der GUI steht dazu im Widerspruch, dann sei es ebenso. Wie sich das Fritz!NAS mit SMB1,2,3 standardkonform verhält habe ich nicht getestet, das würde dem Patt sicher keinen Ausschlag verleihen. who cares?

nicht jeder FTP-Server läßt zu, daß beim Upload von Dateien irgendwelche zusätzlichen Attribute gesetzt werden können.

einserver.imweb.de ist natürlich nicht wörtlich existent. Das Verhalten bestimmt natürlich der Betreiber des Servers. Ohne einen Account wirst du auch mit korrektem DNS-Namen nichts verifizieren können. Echte credentials soll man in Foren vermeiden. Entschuldige bitte die Irreleitung, ich hatte nicht erwartet, dass d/eine Verifikation so weit gehen würde. Es ist nicht jeder FTP-Server, sondern ein bezahlter Provider. Es sind nicht irgenwelche Attribute, sondern genau zwei last modification time, creation time . Möchtest du per PM einen Account zum Testen?

P.S. off-topic Ebenfalls mit früher Software, ein uraltes NAS (Intel SS4000-E um 2006, baugleich als MaxData SN40) litt unter den gleichen Symptomen, erhielt bereits um 2009/2010 kein Firmware-Update mehr. Die elegante Lösung damals, Elektronikschrott. Wie verhalten sich neuere Modelle von AVM? Ich habe nur altes Zeugs im Einsatz. Von rsync z.B. habe ich schon mal gehört, nicht im Zusammenhang mit der FritzBox im Auslieferungszustand. Danke nochmal. Was meine FritzBox kann, macht sie perfekt. Das gilt für alle, egal wie alt. Was sie nicht kann, vermisse ich nicht, insb. wenn es ein (abgelaufener) Draft-RFC für ein Standardprotokoll ist, der sich mit MDTM in RFC 3659 überlagert.