coreknabe
Goto Top

Clienteinstellungen FTP over SSL

Moin,

wir möchten einen FTP-Server unter Windows Server 2008 mit IIS 7.5 betreiben. Da bekanntermaßen Username und Passwort prima mitlesbar sind, möchte ich eine FTP over SSL-Verbindung bereitstellen. Auf der Serverseite klappt das auch alles.
Es wird vorerst kein Zertifikat verwendet, die SSL-Verschlüsselungsrichtlinie greift nur bei der Anmeldung.

Test: Ich rufe die Seite mit Firefox auf. Anmeldedaten eingeflippert und ich bekomme folgerichtig eine Fehlermeldung: 534 Policy requires SSL. Super. Was weniger super klappt: Die Clientverbindung. Habe mir FireFTP installiert, um die Seite mit Firefox aufruden zu können. Allerdings kann ich einstellen, was ich will, bestenfalls bekomme ich keine Fehlermeldung, aber auch kein Login. Ansonsten: Verbindung verweigert... Mit Filezilla bekomme ich es auch nicht hin.

Meine Frage:
Welche Einstellungen müssen für FireFTP / Filezilla gesetzt sein?

Content-ID: 170488

Url: https://administrator.de/contentid/170488

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

Luckyguy
Luckyguy 27.07.2011 um 10:41:49 Uhr
Goto Top
du stellst bei filezilla bei serverart auf FTPS dann müsste es gehen
Coreknabe
Coreknabe 27.07.2011 um 10:48:51 Uhr
Goto Top
Danke für die Antwort. Wo mache ich das denn?

Ich kann als Protokoll nur FTP oder SFTP wählen. Da SFTP nicht FTP over SSL ist, bleibt also nur FTP. Nächster Punkt: Verschlüsselung. Hier bleibt mir nur, explizites oder implizites FTP über TLS zu wählen. Der Definition nach würde ich sagen, implizit ist die korrekte Wahl. Ist aber egal, in beiden Fällen erhalte ich:

IMPLIZIT
Status: Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Connection refused by server".
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

EXPLIZIT
Fehler: Kritischer Fehler
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Ebenso habe ich bei der Auswahl darunter erfolglos alle Möglichkeiten durchprobiert. Testweise mal die beiderseitig die lokale Firewall deaktiviert: Bringt auch nix.
Luckyguy
Luckyguy 27.07.2011 um 10:57:33 Uhr
Goto Top
also bei mir wenn ich in filezilla unter datei servermanger gehe und dann einen neuen server hinzufüge habe ich eine auswahl bei den Servertypen FTP SFTP FTPS und FTPES ich hab filezilla version 3.3.3 gibt glaub ich aber auch schon ne neuere. wäre interessant zu wissen welche du hast
Coreknabe
Coreknabe 27.07.2011 um 11:16:01 Uhr
Goto Top
Ist die aktuellste 3.5.0, das wird aber nur eine Sache der Begrifflichkeiten sein, weil explizites FTP über TLS auch FTPES heißt, FTPS bezeichnet in aller Regel implizites FTP. Letzteres sollte also korrekt sein. Interessant: Ich wähle die Option "Passwort abfragen". Die Abfrage kommt dann auch. Gebe ich hier bewusst ein falsches Passwort ein, wird trotzdem die Verbindung verweigert. Ergo: Es scheitert schon an der Aushandlung.
Coreknabe
Coreknabe 27.07.2011 um 11:54:43 Uhr
Goto Top
Habe einen FTP-Test (http://www.g6ftpserver.com/en/ftptest) gefunden und getestet:

  • About to connect() to IP-EXTERN port 21 (#0)
  • Trying IP-EXTERN... connected
  • Connected to IP-EXTERN (IP-EXTERN) port 21 (#0)
  • successfully set certificate verify locations:
  • CAfile: c:\www-bin\curl\curl-ca-bundle.crt
CApath: none
  • SSLv3, TLS handshake, Client hello (1):
} [data not shown]
  • SSLv3, TLS alert, Server hello (2):
} [data not shown]
  • error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
  • Closing connection

curl: (35) error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

Sagt mir persönlich jetzt aber auch nix und beim Googeln werde ich auch nicht fündig...
kingkong
kingkong 02.08.2011 um 00:15:45 Uhr
Goto Top
Ohne Verschlüsselung funktioniert alles, ja? Nicht dass es schon Probleme beim Verbindungsaufbau gibt (z.B. was passive mode und co. angeht)...

Was implizit und explizit angeht: Sofern Du des Englischen einigermaßen mächtig bist ist die englische Wikipedia Dein Freund (http://en.wikipedia.org/wiki/FTPS)
Ansonsten zusammengefasst:

Explizite Verschlüsselung bedeutet, dass sie extra angefordert werden muss durch eine Anfrage mit dem AUTH-Befehl. Solange dieser nicht abgesetzt wurde, bleibt die Verbindung unverschlüsselt. Dann kann der Server entscheiden, ob er fortsetzt oder abbricht.

Bei der impliziten Verschlüsselung dagegen muss von Anfang an die Kommunikation über SSL/TLS abgewickelt werden - unverschlüsselte Verbindungen werden grundsätzlich nicht akzeptiert.
Diese Variante läuft normalerweise auch nicht auf den Standardports (Daten auf 20, Steuerung auf 21) sondern auf 989 für Daten und 990 für die Steuerung. Entsprechend müssten dann auch diese in einer evtl. vorhandenen Firewall freigegeben sein.

EDIT: Was übrigens Deine "wrong version number"-Fehler angeht, so liegt das wohl daran, dass eine Seite SSL2 verwendet und die andere SSL3 (a.k.a. TLS). Hast Du zufällig den IIS so konfiguriert, dass der "abwärtskompatibel" ist, also es auf SSL2-Ebene versucht?
Coreknabe
Coreknabe 26.08.2011 um 09:55:08 Uhr
Goto Top
Moin und danke für die Antworten.

Habe jetzt einen anderen Weg gewählt, wir verwenden WebDAV, da sicherer und angenehmer face-wink

Allen ein schönes Wochenende!
kingkong
kingkong 26.08.2011 um 12:22:41 Uhr
Goto Top
Sicher (nicht unbedingt sicherer) nur dann, wenn ihr den http-Verkehr von WebDAV absichert, was keineswegs immer so ist...