FTPS connect to FTP server behind Astaro

Now I'm a little bit confused. 

Yesterday I've tested it with my notebook and an UMTS stick, but in this combination I was not able to capture the network traffic with Wireshark. So this morning I've connected an old AVM Fritz!Box between the Astaro and my cable modem. Now I was able to connect my notebook to the internet with ethernet and capture the network traffic. I've reconfigured my vsftpd to use the new external IP of the Astaro. And now the first try with FileZilla was successful!

So I've reset all - removed the AVM Fritz!Box so that the Astaro is connected to the cable modem directly and reconfigured my vsftpd (same configuration as yesterday). Then I tried it again from my notebook with UMTS stick - connection hangs on TLS initialization!

So it is not a problem of the Astaro! 
But I don't know where the problem could be.

I know for this forum the thread is solved, but if anyone has a idea where the problem could be - I will be grateful for any information.

Thanks!

If I understand correctly you use mobile Internet to access your FTPS server ?
In this case perhaps FTP traffic is "filtered" by the mobile provider and a FTP command is expected instead of a SSL session.
Can you try with a "regular" Internet connection ?

That's correct - normally I use mobile internet with my notebook if i'm not at home.

As I written in my last post, with a "regular" internet connection it works. 
It is NOT a problem with Astaro!

With mobile internet I see that the FTP connect on port 21 is successful (Astaro firewall log).
But if the client tries to initialize TLS in this connection - it hangs.

I don't know if the mobile provider inspects the TCP connection and blocks the encryption, but I think it must be something like this. But why should the provider allow FTP and then block the encryption?

Not sure if they do it on purpose; might have a gateway that is FTP aware(a sort of a FTP proxy) and implements/allows only certain FTP commands.

back in the days, if I remember correctly, the conntrack ftp helper used to break FTPS too.

who is your isp?  if they have a transparent proxy going for http and ftp that break ftps as well...

So I'm from Germany and in this case my ISP is Fonic. 
I've already sent an email to it with this question and now I'm waiting for an answer.

The idea:
If the ISP has an FTP proxy (or something else) that prevents TLS, so I should prevent that this proxy captures the FTP connection.

The solution:
I configured a NAT rule which forwards all connections to my external address on port 221 to my internal FTP server on port 21. Then I configured the FTP client to port 221 - and it works !!!

Remark:
It seems that the last version of FileZilla (version 3.5.3) has a bug so that the TLS handshake fails. With older versions it works!

Thank you for your help!

Hey guys,

I have a similar issue here.
Pure FTPd 1.0.22 server behind ASG 8.203 with passive mode and TLS.
I tried the different ways discussed here, but the client (Filezilla 3.5.3) still hangs at 

227 Entering Passive Mode ((Public IP),119,21)

MLSD

The Astaro has a NAT rule for incoming FTP Traffic to forward to the internal FTP server and the Pure FTP is configured to force the Public-IP on PASV replies.

Unencrypted FTP without TLS works perfectly.
TLS FTP works perfectly internally (without NAT) even though I have to allow a high port range for the FTP data connection. Is the ftp helper module working properly in that case?

Any help would be appreciated.

Thx,
Marco

As I wrote in my last post, I had also a problem with FileZilla version 3.5.3 - after going back to version 3.5.1, everything works fine!