Proftp Verbindung funktioniert verschlüsselt, aber nicht unverschlüsselt.

    Hallo zusammen,


    ich stehe vor einem mMn etwas merkwürdigen Problem.
    Ich bin mit meinem vServer jetzt auf KVM migriert mit einem minimalen Debian Wheezy und habe mich entschieden, zu Lernzwecken alle Services mal selber einzurichten.


    Beim Testen von proftpd ist mir jetzt aufgefallen, Ich kann mich über explizit verschlüsseltes TLS authentifizieren, aber keine unverschlüsselte Verbindung aufbauen.
    Leider hab ich eine Webcam zu Hause stehen, die kein verschlüsseltes FTP beherrscht und deshalb nicht mehr funktioniert...
    Normalerweise habe ich bei allen anderen Service eher immer das Problem, dass Verschlüsselung nicht auf Anhiebt klappt, aber unverschlüsselt geht... Naja man muss ja auch mal die andere Seite erfahren :)


    Zum Fehler:


    Hier meine proftpd.conf gestripped um Kommentare:


    Und die tls.conf:

    Code
    <IfModule mod_tls.c>
TLSEngine                           	on
TLSLog                              	/var/log/proftpd/tls.log
TLSDSACertificateFile               	/etc/ssl/myCert.pem
TLSCACertificatePath                	/etc/ssl/certs
TLSRequired                          	off
TLSRenegotiate                      	required off
</IfModule>


    Das Logfile (Mit DebugLevel 10 in proftd.conf gesetzt):


    tls.log bleibt leer zu der Verbindungsuhrzeit (Wird also wie erwartet nicht genutzt)


    ich bin mit dem Problem bei meinem Latein am Ende. Habe mal mit der alten proftpd.conf verglichen, als mein vServer noch nicht auf KVM war und die
    sind ziemlich identisch bis auf paar kleine Parameter, aber wenn ich die anpasse, klappts auch immernoch nicht.
    An ner Firewall auf meinem PC kanns auch nicht liegen, da ich vor dem vServer migrieren ja noch verbinden konnte und jetzt auch noch zu allen möglichen anderen public FTP Servern verbinden kann.
    kA ob das an diesen ipTables oder so liegen kan, damit hab ich mich noch nie auseinander gesetzt, aber ich denke mal, der Standard FTP Port dürfte nicht per default aufm vServer geblockt sein, oder?
    Außerdem scheint er verbinden zu können, aber dann keine Antwort mehr zu kriegen.
    Hier meine FileZilla Ausgabe:


    Code
    Status:	Auflösen der IP-Adresse für myHost.de
Status:	Verbinde mit serverIP...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 ProFTPD 1.3.4a Server (vTheo) [::ffff:serverIP]
Befehl:	USER webcam //Hier bleibts jetzt 20sek oder so stocken
Fehler:	Zeitüberschreitung der Verbindung
Fehler:	Herstellen der Verbindung zum Server fehlgeschlagen
Status:	Nächsten Versuch abwarten...



    Wäre sehr dankbar, falls jemand von euch noch Ansätze hat, was da falsch läuft.


    Beste Grüße
    Theo

    Bei solchen Problemen mit ProFTPD hilft meistens der Debug-Modus: ProFTPD mini-HOWTO - Debugging


    Einfach einmal schauen mit welchen Argumenten der Server gestartet wird (ps aux | grep proftp), ihn stoppen und dann händisch mit diesen Parametern + den Debug Argumenten starten. So sieht man meistens sehr schnell, was schief läuft. Die relevanten Debug-Zeilen kannst du dann einfach hier rein kopieren.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Hi Christian,


    danke für die Antwort.
    Leider hilft das nicht weiter, da die Ausgaben schon im Debug Modus gepostet sind.
    Trotz Debug Modus komme ich dem Problem nicht auf die Schliche.


    Beste Grüße
    Theo

    Oh, das hatte ich ganz überlesen. Sorry!


    Zu deiner Konfiguration: Handelt es sich bei deinem Zertifikat/Schlüsselpaar wirklich um DSA, beides in deiner PEM-Datei? Oder doch um RSA? Notfalls einmal zum Test neu generieren mit RSA und die entsprechend anderen Konfigurationsoptionen nutzen. Ansonsten fällt mir da gerade auch nicht viel dazu ein.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Hi Christian,


    ja ist wirklich ein DSA Zertifikat, beides in einer PEM Datei.
    Hatte vor 1 Jahr als ich das Zertifikat beantragt hab gelesen, dass DSA sicherer ist als RSA, dafür aber was langsamer, also hab ich DSA genommen. Wusste da noch nicht, dass die meisten Configs RSA präferieren und man dann im postfix sogar die Parameter für die Pfadangabe zum Zertifikat umbenennen muss :) Hat mich einige Zeit gekostet das rauszufinden.


    Jedenfalls ist die Verschlüsselung ja auch nicht das Problem, das läuft ja mit dem Zertifikat alles einwandfrei.
    Mein Problem ist, dass es nicht funktioniert, wenn ich ohne Zertifikat und unverschlüsselt gehe...


    Beste Grüße
    Theo

    Zitat von TheoN

    Mein Problem ist, dass es nicht funktioniert, wenn ich ohne Zertifikat und unverschlüsselt gehe...


    Ok, zu meiner Dummheit, den Beitrag zwei mal nicht ganz zu lesen bzw. das Problem zu verwechseln, sage ich jetzt mal nichts mehr. Deshalb sollte ich nach Mitternacht nichts mehr schreiben… :sleeping:


    Ich könnte mir nur vorstellen, dass die ganze IPv6-Implementierung irgendwo Probleme macht (sofern aktiviert), denn diese unterscheidet sich zwischen Linux-VServer und KVM teils massiv. Und da ProFTPD auch für alle IPv4-Verbindungen bereits intern die oben sichtbare ::ffff:x Notation verwendet, ist da alles möglich. Zum Test könntest du einmal ein UseIPv6 off in deine Konfiguration rein setzen. Wobei das an der internen Verarbeitung wahrscheinlich wenig ändert.


    Ansonsten hätte ich bei solchen Problemen auch auf den aktivierten/deaktivierten passiven Modus getippt. Aber das sollte eigentlich erst später auftreten und nicht gleich bei der Authentifizierung.


    Ich werde im Laufe des Tages, wenn ich Zeit habe, deine Konfiguration mal in einer VM testen. Vielleicht finde ich da die Ursache, sofern ich sie überhaupt reproduzieren kann.
    Update: Ich habe mir das jetzt kurz in einer VM angesehen. Reproduzieren konnte ich das geschilderte Verhalten allerdings nicht. Ich werde das später nochmals testen.


    Und poste trotzdem bitte einmal die Ausgabe von iptables -n --list und ip6tables -n --list :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    IPv6 auszustellen bringt nichts, Problem bleibt das gleiche.


    Hier zu den iptables:





    Hab von dieser iptables Materie überhaupt keine Ahnung aber sieht mir schwer danach aus, als würde mein vServer jegliche Verbindung akzeptieren?
    Wahrscheinlich sollte ich mich damit mal ein wenig aueinander setzen, so dass ich kein offenes System in den weiten des WWW bin.

    Manchmal hilft auch einfach ignorieren und sich nicht weiter um ein Problem kümmern :)


    Gerade hab ich mal wieder ein


    Code
    aptitude update && aptitude upgrade


    gemacht, und siehe da: proftp Paket in einer neuen Version.
    Also ab installiert und gleich mal getestet, ob durch ein Wunder jetzt alles wieder geht und ja, jetzt kann ich mich auch ohne TLS und unverschlüsselt verbinden. Problem gelöst :)


    Falls jemand auf das Thema stossen sollte.


    Code
    aptitude show proftpd-basic
Package: proftpd-basic
State: installed
Automatically installed: no
Version: 1.3.4a-5+deb7u1


    Ist die neue Version.


    Beste Grüße
    Theo