Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 24220 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTPS connect to FTP server behind Astaro

ralix
Passive FTPS connect to my FTP server behind an Astaro firewall hangs on TLS initialization. A passive FTP connect succeeds. 

I've configured two NAT rules for FTP control and FTP data (port range) with automatic firewall rules. I think the general setup is OK because a normal FTP connect succeeds.

Server: vsftpd on Debian
Client: FileZilla

What do I wrong?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to ralix
    Perhaps I don't understand what's going on when the FTP client initializes TLS.


    First the client connects to the FTP server on port TCP 21 and it requests SSL with the AUTH TLS command. Then, assuming your server responded with 234 Using authentication type TLS, the client, over TCP port 21(same TCP connection) will try to initiate a SSL connection to the server.

    If everything is OK on your server, depending on what cert you use on it, you may receive a cert warning. Once this SSL session is established, you will have an issue with the server's PASV command as you need to inform it(configure it) about your Astaro's public IP address. The server must use this public IP address in the PASV command otherwise the client will fail to open the data connection since the conntrack ftp helper will not be able to do the needed modification inside TLS.

    I've used in the past Filezilla servers with explicit TLS FTP behind Astaro; did not recall to have to disable the conntrack ftp helper on Astaro.

    In your case, either the FTPS server is misconfigured or something on Astaro blocks the SSL connection.

    You can try to take a Wireshark trace on your client and see what happens. By the way, if you select one of the packets destined to TCP port 21 and right click it and click the "decode as" option, and for this transport tab / TCP destination port 21 / select SSL as protocol, you should be able to see at least your client's SSL hello.
  • 0 in reply to adriand
    Now I'm a little bit confused. 

    Yesterday I've tested it with my notebook and an UMTS stick, but in this combination I was not able to capture the network traffic with Wireshark. So this morning I've connected an old AVM Fritz!Box between the Astaro and my cable modem. Now I was able to connect my notebook to the internet with ethernet and capture the network traffic. I've reconfigured my vsftpd to use the new external IP of the Astaro. And now the first try with FileZilla was successful!

    So I've reset all - removed the AVM Fritz!Box so that the Astaro is connected to the cable modem directly and reconfigured my vsftpd (same configuration as yesterday). Then I tried it again from my notebook with UMTS stick - connection hangs on TLS initialization!

    So it is not a problem of the Astaro! 
    But I don't know where the problem could be.

    I know for this forum the thread is solved, but if anyone has a idea where the problem could be - I will be grateful for any information.

    Thanks!