1. nebi Member

    Probleem - verbinding (PASV) FTP

    Topic geplaatst op: 26-01-2012 om 17:52

    Wij hebben een Versio virtuele server gehuurd en daar staat een een FTP server op. Nu hebben wij deze FTP server exact zo ingericht als onze FTP server waar hij eerst stond (daar hadden wij nooit problemen gehad).

    De FTP server is een passieve FTP en als wij hem op kantoor inloggen gaat alles goed (ook via Filezilla - snel verbinden). Maar als onze klanten proberen het lukt dit niet (ook niet via Filezilla - snel verbinding).

    Het inloggen gaat goed alleen hij loopt vast op het commando: PASV
    Zie hier een gekopieerd voorbeeld uit Filezilla:

    Status: Adres oplossen van ftp.******.nl
    Antwoord: 220 (vsFTPd 2.2.2)
    Commando: USER ******
    Antwoord: 331 Please specify the password.
    Commando: PASS ********************************
    Antwoord: 230 Login successful.
    Commando: OPTS UTF8 ON
    Antwoord: 200 Always in UTF8 mode.
    Status: Verbonden
    Status: Mappenlijst ophalen...
    Commando: PWD
    Antwoord: 257 "/"
    Commando: TYPE I
    Antwoord: 200 Switching to Binary mode.
    Commando: PASV
    Fout: Verbinding verloren
    Fout: Ontvangen van mappenlijst is mislukt

    Als we de FTP een actieve FTP maken lukt alles en kunnen onze klanten op afstand inloggen via Filezilla. Maar helaas is dit niet goed genoeg en hebben we een passieve FTP nodig. Alle poorten (bij ons) staan open en er word geen check gedaan op het IP adres (bij hun).

    Wij hebben alles geprobeerd en we hebben geen idee meer wat het kan zijn...

    Het eigen wat wij nog kunnen bedenken is dat bij Versio iets geblokkeerd word ofzo. Maar dat lijkt ons sterk op een virtuele server.

    Mijn vraag is dan ook, hebben jullie enig idee wat het kan zijn?

    Alvast erg bedankt voor uw hulp.

  2. Reshad Bashir Versio medewerker
    Reactie geplaatst op: 26-01-2012 om 18:23

    Hoi nebi,

    Je kunt een firewall installeren en de benodigde firewall poorten voor passive FTP openzetten. Passive FTP heeft een range open poorten nodig.

    Vond u dit antwoord nuttig?

  3. zwerfkat Member
    Reactie geplaatst op: 27-01-2012 om 09:49

    @nebi:
    Je moet de poort range die staat vermeld bij de "passive mode settings" van je Filezilla server openzetten op de firewall van je VPS. Bijvoorbeeld range 5000-5100. Verder kan het zijn dat Filezilla je externe IP-adres niet kan achterhalen. Je moet dan het IP-adres van je VPS expliciet invullen bij de "passive mode" settings. Zie ook punt 2 van "FileZilla Server FAQ": http://wiki.filezilla-project.org/FAQ

    Vond u dit antwoord nuttig?

  4. nebi Member
    Reactie geplaatst op: 09-02-2012 om 15:46

    @Reshad Bashir en @zwerfkat, bedankt voor jullie.

    We hebben nog steeds geen idee wat het is. Ik heb een expert laten kijken en die had ook geen idee, aangezien alles goed ingesteld staan op onze vsftpd en server.

    Wat wel vreemd is dat als je de server zo instelt dat deze een ander IP adres opstuurt dan zijn eigen, dat de FTP client er dan wel op reageert. Als de server zijn eigen IP gebruikt doet de client er niks mee. Dit hebben we controlerd met behulp van Wireshark.

    Vond u dit antwoord nuttig?

  5. zwerfkat Member
    Reactie geplaatst op: 10-02-2012 om 10:32

    Met Wireshark moet het toch te achterhalen zijn waar het fout gaat? Krijgt de client een verkeerd antwoord van de server, of helemaal geen antwoord? In het laatste geval zal je op de server moeten kijken of Filezilla op de juiste wijze reageert en waar op de server dit uitgaande bericht wordt tegengehouden. Heb je al eens geprobeerd zonder firewall (flushing iptables)?

    Vond u dit antwoord nuttig?

  6. uwiypkzj Member
    Reactie geplaatst op: 11-02-2012 om 14:41

    Ik had een vergelijkbaar probleem nadat ik APF firewall geïnstalleerd had. Ik heb het kunnen oplossen door in de config van VSFTPD specifiek aan te geven dat ie gebruik moet maken van pasive ftp en ik heb in de VSFTPD config een port-range opgegeven van de te gebruiken poorten voor pasive ftp. Vervolgens heb ik in mijn firewall (op de server) deze range opengezet. Dat loste voor mij het probleem op.
    Helaas ligt mijn VPS er nu uit, anders had ik je de betreffende regels uit de config van vsftpd kunnen laten zien.

    Vond u dit antwoord nuttig?

  7. uwiypkzj Member
    Reactie geplaatst op: 11-02-2012 om 15:29

    VPS is gelukkig weer online.
    Dit heb ik aangepast waardoor ik weer passive ftp kon gebruiken:

    In vsftpd.conf:
    pasv_enable=YES
    pasv_min_port=35000
    pasv_max_port=36000

    In conf.apf
    IG_TCP_CPORTS="20,22,21,80,35000_36000"

    Vond u dit antwoord nuttig?

  8. RayHammer Member
    Reactie geplaatst op: 12-02-2012 om 09:24

    Het moet zijn 35000:36000 en geen 35000_36000. Zo is het bij CSF, meschien dat het bij APF wel zo is.

    Vond u dit antwoord nuttig?

  9. nebi Member
    Reactie geplaatst op: 13-02-2012 om 14:27

    @uwiypkzj Bedankt voor je tip..maar helaas.

    Wij weten het ook niet meer.. Ik zet nog alles een keer op een rij, misschien helpt dat:

    De server die het betreft draait op Ubuntu en maakte voorheen gebruik van vsftpd en nu van proftpd.

    De bedoeling is dat deze dienst passief draait.

    Wanneer we proberen te verbinden vanuit het VPN van ons kantoor, dan werkt alles.

    Proberen we echter vanaf een ander (extern) IP adres te verbinden, dan werkt de server niet.

    Vervolgens hebben we de firewall van de server gecontroleerd, maar deze laat al het verkeer door.

    wij hebben echt alles geprobeerd en wij komen nu tot de conclusie dat het probleem bij Versio moet liggen.

    Toen de server met een identieke configuratie ergens anders draaide, werkte deze namelijk wel.

    Hebben jullie een idee, andere hebben namelijk ook een PASV FTP dus het moet kunnen.

    Vond u dit antwoord nuttig?

  10. zwerfkat Member
    Reactie geplaatst op: 13-02-2012 om 15:36

    Het is mij, gezien jouw info, nog onduidelijk wat en waar het mis gaat. Het PASV commando gaat gewoon over poort 21, dus die moet toch binnenkomen bij de FTP-server. De FTP-server zal als antwoord een bericht over poort 21 retour sturen met vermelding van een poort nummer dat open staat voor data transport. Komt deze info binnen bij de client? Wat staat er in de FTP-server log file nadat het commando PASV is verstuurd?

    Vond u dit antwoord nuttig?

  11. nebi Member
    Reactie geplaatst op: 26-03-2012 om 09:28

    @Reshad Bashir, @zwerfkat en @uwiypkzj,

    Helaas wij zijn er niet achter gekomen wat het probleem was. Daarom hebben we besloten om het ergens anders onder te brengen en daar werkt het nu allemaal zonder problemen.

    Ik wil jullie allemaal bedanken voor de goede hulp die jullie ons gegeven hebben. Versio heeft echt een super forum dankzij jullie.

    Nogmaals bedankt en wij hebben nog 2 viruteule servers zonder FTP bij Versio, dus misschien dat we elkaar nog een keer weer tegen komen op de Versio forum.

    MVG,
    Nebi

    Vond u dit antwoord nuttig?

  12. RayHammer Member
    Reactie geplaatst op: 26-03-2012 om 11:31

    Mzz, zoiets moet toch gewoon werken. Vind het totaal niet nodig om daar voor naar een andere partij te gaan. Maar dat is u keuze natuurlijk.

    Vond u dit antwoord nuttig?

  13. RayHammer Member
    Reactie geplaatst op: 26-03-2012 om 11:33

    @nebi Maak eens een test ftp account aan waar geen website op staat, en zet de login van ftp hier. Zo graag eens willen proberen inloggen op je ftp om het voor mij duidelijker te maken. Vaak is kijken beter dan lezen.

    Vond u dit antwoord nuttig?

  14. RayHammer Member
    Reactie geplaatst op: 26-03-2012 om 11:36

    Ik zit nu toch te denken aan een firewall probleem.

    Vond u dit antwoord nuttig?

  15. RayHammer Member
    Reactie geplaatst op: 26-03-2012 om 11:38

    Als ik het goed begrijp gebruik je geen DirectAdmin? Dit omdat de FTP versie niet bij DirectAdmin hoort.

    Vond u dit antwoord nuttig?

  16. RayHammer Member
    Reactie geplaatst op: 26-03-2012 om 11:44

    Antwoord: 200 Switching to Binary mode

    Moet dat niet zijn:

    200 Type set to I

    Vond u dit antwoord nuttig?

  17. RayHammer Member
    Reactie geplaatst op: 26-03-2012 om 11:48

    Het lijkt erop dat die Filezilla FTP wil gebruiken. FTP is een
    idioot protocol dat niet meer thuishoort in de 21ste eeuw. Doch
    dat geheel terzijde.


    Je firewall of the NAT laat de data connectie niet door. Je moet
    een application level gateway instellen in je firewall/NAT die de
    FTP control connectie interpreteert en de nodige portmaps legt en
    eventueel gaten in de firewall boort.

    Vond u dit antwoord nuttig?