FTPS connect to FTP server behind Astaro

you need to either have it tls all the way through or non encrypted all the way through.  The astaro doesn't encrypt or decrypt things on the fly for ftp which is what you are trying to do in this instance.

I don't expect that the Astaro encrypt or decrypt things.

Perhaps I don't understand what's going on when the FTP client initializes TLS. Why can't the client initialize TLS and why I don't see anything in the live log?

are you using tls on the ftp server?  from what i see there youa re not..therefore it isn't going to work.  Also ftps is usually port 22 not port 21.

Sorry, but you talking about SFTP (FTP over SSH), I talking about FTPS (in my case explicit FTPS in passive mode) and this is using port 21.

A local FTPS connect is successful on port 21!

Are you seeing anything in the Firewall log?  The Intrusion Prevent log?

Cheers - Bob

In the firewall I see that it let through the connection to port 21. 
Nothing in the intrusion protection log.

I've disabled the intrusion protection and tried it again - same result.

Passive FTPS connect to my FTP server behind an Astaro firewall hangs on TLS initialization. A passive FTP connect succeeds. 

I've configured two NAT rules for FTP control and FTP data (port range) with automatic firewall rules. I think the general setup is OK because a normal FTP connect succeeds.

Server: vsftpd on Debian
Client: FileZilla

What do I wrong?

I would use ftp over ssh on port 22.  only one port is needed either way..[:)]

That's right, but as far as I know each user needs shell access and that's not what I want.

Perhaps I don't understand what's going on when the FTP client initializes TLS.

First the client connects to the FTP server on port TCP 21 and it requests SSL with the AUTH TLS command. Then, assuming your server responded with 234 Using authentication type TLS, the client, over TCP port 21(same TCP connection) will try to initiate a SSL connection to the server.

If everything is OK on your server, depending on what cert you use on it, you may receive a cert warning. Once this SSL session is established, you will have an issue with the server's PASV command as you need to inform it(configure it) about your Astaro's public IP address. The server must use this public IP address in the PASV command otherwise the client will fail to open the data connection since the conntrack ftp helper will not be able to do the needed modification inside TLS.

I've used in the past Filezilla servers with explicit TLS FTP behind Astaro; did not recall to have to disable the conntrack ftp helper on Astaro.

In your case, either the FTPS server is misconfigured or something on Astaro blocks the SSL connection.

You can try to take a Wireshark trace on your client and see what happens. By the way, if you select one of the packets destined to TCP port 21 and right click it and click the "decode as" option, and for this transport tab / TCP destination port 21 / select SSL as protocol, you should be able to see at least your client's SSL hello.

sounds like you need port 21 and other ports as well.  HIt the firwall logs to see what ports you are trying to use.