none
FTP over SSL RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Servus zusammen!

    Mein Netz:

    FritzBox --> Switch --> WinServer 2012 R2 (WinS1)

    Ich habe mir einen FTP-Server eingerichtet (Port 50000) der auch einwandfrei funktioniert allerdings nur ohne SSL-Zertifikat.

    Meine Vorgehensweise und mein Problem :

    Ich möchte den FTP explizit über SSL laufen lassen.

    Ich habe mir im IIS unter WinS1 ein selbstsigniertes SSL-Zertifikat erstellt und und unter den SSL-Einstellungen das Zertifikat ausgewählt und die Richtlinie auf SSL-Verbindung erforderlich gesetzt. Dann habe ich im WinS1 unter FTP-Firewallunterstützung den Datenkanal-Portbereich bestimmt (50001-50100) und die Externe IP der Firewall eingetragen was für mich bedeutet, dass das die Firewall der FritzBox (192.168.178.1) ist. Die Ports habe ich anschließend auch in der FritzBox als TCP freigegeben.

    Wenn ich jetzt auf eine FTP-Site gehe und unter FTP-Firewallunterstützung nachsehe, sind die Einträge vom WinS1 übernommen worden. Gehe ich auf der gewünschten FTP-Site auf die SSL-Einstellungen, muss ich auch das Zertifikat wählen und meine Richtlinie auf SSL-Verbindung erforderlich stellen.

    Die Firewall habe ich auch komplett deaktiviert.

    Wenn ich mich jetzt via Browser verbinden möchte, komme ich bis zur Anmeldung und dann kommt folgender Fehler:

    534 Policy requires SSL

    Wenn ich mit mit FileZilla verbinden möchte, kommen folgende Fehlermedlungen:

    Status:    Verbindung hergestellt, warte auf Willkommensnachricht...
    Status:    Initialisiere TLS...
    Status:    Überprüfe Zertifikat...
    Status:    TLS-Verbindung hergestellt.
    Status:    Angemeldet
    Status:    Empfange Verzeichnisinhalt...
    Befehl:    PWD
    Antwort:    257 "/" is current directory.
    Befehl:    TYPE I
    Antwort:    200 Type set to I.
    Befehl:    PASV
    Antwort:    227 Entering Passive Mode (192,168,178,1,195,108).
    Befehl:    LIST
    Antwort:    150 Opening BINARY mode data connection.

    Was mache ich falsch bzw habe ich etwas vergessen?

    Danke schon mal an die Rückmeldungen :)


    • Bearbeitet don08 Samstag, 19. November 2016 20:26
    Samstag, 19. November 2016 20:23
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Danke nochmal an die Rückmeldungen!

    Das Problem war einfach zu lösen ... nach 2 Wochen rummsuchen ^^...

    Wenn man auf die FTP-Site Bindungen geht muss man zusätzlich noch einen https port angeben bzw mehrere da diese ja über die Datenkanäle (passive Portranges) laufen sollen. Was mich verwirrt hatte war die ganze Zeit das ich einen FTP Server betreibe mit port 21 und falls ich einen FTPS nutzen möchte zusätlich noch den HTTPS port benötige... Ich dachte das SSL Zertifikat würde irgendwie in das FTP Protokol mit eingebunden dabei ist es ja quasie FTP over HTTPs.

    Mittwoch, 30. November 2016 08:45
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 19.11.2016 um 21:23 schrieb don08:
    > Ich habe mir einen FTP-Server eingerichtet (Port 50000) der auch
    > einwandfrei funktioniert allerdings nur ohne SSL-Zertifikat.
     
    Lassen wir die extern Firewall mal aussen vor, erst mal muss alles
    intern klappen.
     
    1. Damit du keine SSL Zertifikatsfehler bekommst, müssen in deinem
    Zertifikat alle Namen stehen, über die du den Server ansprichst.
     
    zB. DeinInternerNetBIOSName, DeineInterneIP, deinExternerDynDNSName, etc
     
    Dann FTPS im IIS einrichten:
    FTP over SSL <ssl>
     
    Dann die internen Port auf die 50000 legen, wenn es sein soll.
    Dann in der Fritzbox eine Portweiterleitung von 50000 auf deinen
    internen IIS definieren.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Sonntag, 20. November 2016 08:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mark! Danke für die Rückmeldung!

    Ich habe mit

    #makecert -r -pe -n "CN=WinS1" -e 12/02/2023 -ss my -sr localmachine -sky signature

    das Zertifikat erfolgreich erstellt allerdings frage ich mich wie ich dieses jetzt einsetze bzw wo ich das Zertifikat finde?

    Die Portweiterleitungen von der FritzBox zum WinS1 über Port 50000 funktionieren sonst würde ich nicht ohne SSL drauf zugreifen können.

    Benötige ich lediglich den Port 50000 oder muss ich mehrere Passive-Ports für den Datenkanal verwenden?

    Grüße

    Sonntag, 20. November 2016 12:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mark! Danke für die Rückmeldung!

    Ich habe mit

    #makecert -r -pe -n "CN=WinS1" -e 12/02/2023 -ss my -sr localmachine -sky signature

    das Zertifikat erfolgreich erstellt allerdings frage ich mich wie ich dieses jetzt einsetze bzw wo ich das Zertifikat finde?

    Die Portweiterleitungen von der FritzBox zum WinS1 über Port 50000 funktionieren sonst würde ich nicht ohne SSL drauf zugreifen können.

    Benötige ich lediglich den Port 50000 oder muss ich mehrere Passive-Ports für den Datenkanal verwenden?

    Grüße

    #MMC Snap-In Zertifikate und da haben wirs! :D

    Jetzt habe ich mich mit FileZilla verbunden und das Zertifikat erschien auch... dennoch komme ich nicht drauf :

    Status:    Angemeldet
    Status:    Empfange Verzeichnisinhalt...
    Befehl:    PWD
    Antwort:    257 "/" is current directory.
    Befehl:    TYPE I
    Antwort:    200 Type set to I.
    Befehl:    PASV
    Antwort:    227 Entering Passive Mode (192,168,178,1,195,82).
    Befehl:    LIST
    Antwort:    150 Opening BINARY mode data connection.


    • Bearbeitet don08 Sonntag, 20. November 2016 12:49
    Sonntag, 20. November 2016 12:43
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 20.11.2016 schrieb don08:

    #MMC Snap-In Zertifikate und da haben wirs! :D

    Jetzt habe ich mich mit FileZilla verbunden und das Zertifikat erschien auch... dennoch komme ich nicht drauf :

    Status:    Angemeldet
    Status:    Empfange Verzeichnisinhalt...
    Befehl:    PWD
    Antwort:    257 "/" is current directory.
    Befehl:    TYPE I
    Antwort:    200 Type set to I.
    Befehl:    PASV
    Antwort:    227 Entering Passive Mode (192,168,178,1,195,82).
    Befehl:    LIST
    Antwort:    150 Opening BINARY mode data connection.

    Du kannst mal WinSCP probieren um dich zum Server zu connecten, und
    SFTP verwendet den Port 22 out of the Box.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Sonntag, 20. November 2016 15:18
    |
  • Question
    Anmelden
    1
    Anmelden

    Danke nochmal an die Rückmeldungen!

    Das Problem war einfach zu lösen ... nach 2 Wochen rummsuchen ^^...

    Wenn man auf die FTP-Site Bindungen geht muss man zusätzlich noch einen https port angeben bzw mehrere da diese ja über die Datenkanäle (passive Portranges) laufen sollen. Was mich verwirrt hatte war die ganze Zeit das ich einen FTP Server betreibe mit port 21 und falls ich einen FTPS nutzen möchte zusätlich noch den HTTPS port benötige... Ich dachte das SSL Zertifikat würde irgendwie in das FTP Protokol mit eingebunden dabei ist es ja quasie FTP over HTTPs.

    Mittwoch, 30. November 2016 08:45
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 30.11.2016 schrieb don08:

    Wenn man auf die FTP-Site Bindungen geht muss man zusätzlich noch einen https port angeben bzw mehrere da diese ja über die Datenkanäle (passive Portranges) laufen sollen. Was mich verwirrt hatte war die ganze Zeit das ich einen FTP Server betreibe mit port 21 und falls ich einen FTPS nutzen möchte zusätlich noch den HTTPS port benötige... Ich dachte das SSL Zertifikat würde irgendwie in das FTP Protokol mit eingebunden dabei ist es ja quasie FTP over HTTPs.

    SFTP = Port 22. Trotzdem Danke für die Rückmeldung. ;)

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 30. November 2016 18:20
    |