proFTPD + SSL = kein passive mode?

[xenolf]

ich habe heute meinen proFTPD-Server mit SSL/TLS ausgestattet, das funktioniert auch soweit. Das einzige Problem ist das der Server, wenn ich per SSL verbinde nicht mehr in den Passivmodus kommt sondern ein Timeout erzeugt.

Wenn ich die SSL/TLS Zeilen in der config auskommentiere funktioniert alles bestens.

Woran kann das liegen?

 

[XioniX]

Welche proftpd Version und welcher Client?
Was sagen die Log-files?

 

[xenolf]

ProFTPD läuft mit der Version 1.3.1.
Ich verwende Filezilla

messages mit SSL an:

Mar 10 17:36:27 xxx proftpd[28658]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xx.xxx]) - Passive data transfer failed, possibly due to network issues
Mar 10 17:36:27 xxx proftpd[28658]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]) - Check your PassivePorts and MasqueradeAddress settings,
Mar 10 17:36:27 xxx proftpd[28658]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]) - and any router, NAT, and firewall rules in the network path.
Mar 10 17:36:27 xxx proftpd[28658]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]) - FTP no transfer timeout, disconnected
Mar 10 17:36:27 xxx proftpd[28658]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]) - FTP session closed.

messages ohne SSL:

Mar 10 18:12:43 xxx proftpd[28959]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]) - FTP session opened.
Mar 10 18:12:43 xxx proftpd[28959]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]) - USER xxx: Login successful.
Mar 10 18:12:43 xxx proftpd[28959]: xxx.com (xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]) - Preparing to chroot to directory '/srv/www/vhosts/xxx.com'

und das sind die SSL einstellungen:

<IfModule mod_tls.c>
        TLSEngine on
        TLSLog /var/log/proftpd/tls.log
        TLSProtocol SSLv23
        TLSRequired on

        TLSRSACertificateFile /etc/ssl/certs/proftpd.cert.pem
        TLSRSACertificateKeyFile /etc/ssl/certs/proftpd.key.pem
</IfModule>

 

[XioniX]

Bricht der Client mit folgender Message ab?

Fehler:	Transferverbindung unterbrochen: ECONNABORTED - Connection aborted

Wenn ja, dann ist deine proftpd Vserion zu alt bzw deine Filezilla Version zu neu ;-)

Mehr dazu:
Probleme bei TLS ... ECONNABORTED
FileZilla Forums • View topic - ECONNABORTED: It's the server's fault!

 

[xenolf]

Nein, der client bricht mit folgendem Error ab:

Fehler:	Transferkanal konnte nicht geöffnet werden. Grund: Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht ordnungsgemäß reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat.
Fehler:	Dateiliste konnte nicht empfangen werden

Es ist einfach komisch das es ohne SSL wunderbar funktioniert und mit dann auf einmal nichtmehr...

 

[LinuxAdmin]

Lass mich raten: Du verwendest einen DSL-Router mit NAT. Dann schau Dir mal folgenden Abschnitt an: FTP and NAT devices. Das funktioniert in der Praxis recht gut. Allerdings hat der Router keine Chance, die Daten anzupassen sobald diese verschlüsselt sind. Es kann also nicht funktionieren. Verwende zum Übertragen lieber ein Protokoll, das von Anfang an für verschlüsselte Übertragung gedacht war: SCP/SSH.

 

[xenolf]

Nein, kein Router. Es ist lediglich ein Firewall-Server vor den Server geschalten. Oder läuft das auf das selbe hinaus?