8
Clienteinstellungen FTP over SSL
Moin,
wir möchten einen FTP-Server unter Windows Server 2008 mit IIS 7.5 betreiben. Da bekanntermaßen Username und Passwort prima mitlesbar sind, möchte ich eine FTP over SSL-Verbindung bereitstellen. Auf der Serverseite klappt das auch alles.
Es wird vorerst kein Zertifikat verwendet, die SSL-Verschlüsselungsrichtlinie greift nur bei der Anmeldung.
Test: Ich rufe die Seite mit Firefox auf. Anmeldedaten eingeflippert und ich bekomme folgerichtig eine Fehlermeldung: 534 Policy requires SSL. Super. Was weniger super klappt: Die Clientverbindung. Habe mir FireFTP installiert, um die Seite mit Firefox aufruden zu können. Allerdings kann ich einstellen, was ich will, bestenfalls bekomme ich keine Fehlermeldung, aber auch kein Login. Ansonsten: Verbindung verweigert... Mit Filezilla bekomme ich es auch nicht hin.
Meine Frage:
Welche Einstellungen müssen für FireFTP / Filezilla gesetzt sein?
wir möchten einen FTP-Server unter Windows Server 2008 mit IIS 7.5 betreiben. Da bekanntermaßen Username und Passwort prima mitlesbar sind, möchte ich eine FTP over SSL-Verbindung bereitstellen. Auf der Serverseite klappt das auch alles.
Es wird vorerst kein Zertifikat verwendet, die SSL-Verschlüsselungsrichtlinie greift nur bei der Anmeldung.
Test: Ich rufe die Seite mit Firefox auf. Anmeldedaten eingeflippert und ich bekomme folgerichtig eine Fehlermeldung: 534 Policy requires SSL. Super. Was weniger super klappt: Die Clientverbindung. Habe mir FireFTP installiert, um die Seite mit Firefox aufruden zu können. Allerdings kann ich einstellen, was ich will, bestenfalls bekomme ich keine Fehlermeldung, aber auch kein Login. Ansonsten: Verbindung verweigert... Mit Filezilla bekomme ich es auch nicht hin.
Meine Frage:
Welche Einstellungen müssen für FireFTP / Filezilla gesetzt sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 170488
Url: https://administrator.de/contentid/170488
Printed on: April 16, 2024 at 22:04 o'clock
8 Comments
Latest comment
du stellst bei filezilla bei serverart auf FTPS dann müsste es gehen
Danke für die Antwort. Wo mache ich das denn?
Ich kann als Protokoll nur FTP oder SFTP wählen. Da SFTP nicht FTP over SSL ist, bleibt also nur FTP. Nächster Punkt: Verschlüsselung. Hier bleibt mir nur, explizites oder implizites FTP über TLS zu wählen. Der Definition nach würde ich sagen, implizit ist die korrekte Wahl. Ist aber egal, in beiden Fällen erhalte ich:
IMPLIZIT
Status: Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Connection refused by server".
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
EXPLIZIT
Fehler: Kritischer Fehler
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Ebenso habe ich bei der Auswahl darunter erfolglos alle Möglichkeiten durchprobiert. Testweise mal die beiderseitig die lokale Firewall deaktiviert: Bringt auch nix.
Ich kann als Protokoll nur FTP oder SFTP wählen. Da SFTP nicht FTP over SSL ist, bleibt also nur FTP. Nächster Punkt: Verschlüsselung. Hier bleibt mir nur, explizites oder implizites FTP über TLS zu wählen. Der Definition nach würde ich sagen, implizit ist die korrekte Wahl. Ist aber egal, in beiden Fällen erhalte ich:
IMPLIZIT
Status: Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Connection refused by server".
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
EXPLIZIT
Fehler: Kritischer Fehler
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Ebenso habe ich bei der Auswahl darunter erfolglos alle Möglichkeiten durchprobiert. Testweise mal die beiderseitig die lokale Firewall deaktiviert: Bringt auch nix.
also bei mir wenn ich in filezilla unter datei servermanger gehe und dann einen neuen server hinzufüge habe ich eine auswahl bei den Servertypen FTP SFTP FTPS und FTPES ich hab filezilla version 3.3.3 gibt glaub ich aber auch schon ne neuere. wäre interessant zu wissen welche du hast
Ist die aktuellste 3.5.0, das wird aber nur eine Sache der Begrifflichkeiten sein, weil explizites FTP über TLS auch FTPES heißt, FTPS bezeichnet in aller Regel implizites FTP. Letzteres sollte also korrekt sein. Interessant: Ich wähle die Option "Passwort abfragen". Die Abfrage kommt dann auch. Gebe ich hier bewusst ein falsches Passwort ein, wird trotzdem die Verbindung verweigert. Ergo: Es scheitert schon an der Aushandlung.
Habe einen FTP-Test (http://www.g6ftpserver.com/en/ftptest) gefunden und getestet:
curl: (35) error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
Sagt mir persönlich jetzt aber auch nix und beim Googeln werde ich auch nicht fündig...
- About to connect() to IP-EXTERN port 21 (#0)
- Trying IP-EXTERN... connected
- Connected to IP-EXTERN (IP-EXTERN) port 21 (#0)
- successfully set certificate verify locations:
- CAfile: c:\www-bin\curl\curl-ca-bundle.crt
- SSLv3, TLS handshake, Client hello (1):
- SSLv3, TLS alert, Server hello (2):
- error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
- Closing connection
curl: (35) error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
Sagt mir persönlich jetzt aber auch nix und beim Googeln werde ich auch nicht fündig...
Ohne Verschlüsselung funktioniert alles, ja? Nicht dass es schon Probleme beim Verbindungsaufbau gibt (z.B. was passive mode und co. angeht)...
Was implizit und explizit angeht: Sofern Du des Englischen einigermaßen mächtig bist ist die englische Wikipedia Dein Freund (http://en.wikipedia.org/wiki/FTPS)
Ansonsten zusammengefasst:
Explizite Verschlüsselung bedeutet, dass sie extra angefordert werden muss durch eine Anfrage mit dem AUTH-Befehl. Solange dieser nicht abgesetzt wurde, bleibt die Verbindung unverschlüsselt. Dann kann der Server entscheiden, ob er fortsetzt oder abbricht.
Bei der impliziten Verschlüsselung dagegen muss von Anfang an die Kommunikation über SSL/TLS abgewickelt werden - unverschlüsselte Verbindungen werden grundsätzlich nicht akzeptiert.
Diese Variante läuft normalerweise auch nicht auf den Standardports (Daten auf 20, Steuerung auf 21) sondern auf 989 für Daten und 990 für die Steuerung. Entsprechend müssten dann auch diese in einer evtl. vorhandenen Firewall freigegeben sein.
EDIT: Was übrigens Deine "wrong version number"-Fehler angeht, so liegt das wohl daran, dass eine Seite SSL2 verwendet und die andere SSL3 (a.k.a. TLS). Hast Du zufällig den IIS so konfiguriert, dass der "abwärtskompatibel" ist, also es auf SSL2-Ebene versucht?
Was implizit und explizit angeht: Sofern Du des Englischen einigermaßen mächtig bist ist die englische Wikipedia Dein Freund (http://en.wikipedia.org/wiki/FTPS)
Ansonsten zusammengefasst:
Explizite Verschlüsselung bedeutet, dass sie extra angefordert werden muss durch eine Anfrage mit dem AUTH-Befehl. Solange dieser nicht abgesetzt wurde, bleibt die Verbindung unverschlüsselt. Dann kann der Server entscheiden, ob er fortsetzt oder abbricht.
Bei der impliziten Verschlüsselung dagegen muss von Anfang an die Kommunikation über SSL/TLS abgewickelt werden - unverschlüsselte Verbindungen werden grundsätzlich nicht akzeptiert.
Diese Variante läuft normalerweise auch nicht auf den Standardports (Daten auf 20, Steuerung auf 21) sondern auf 989 für Daten und 990 für die Steuerung. Entsprechend müssten dann auch diese in einer evtl. vorhandenen Firewall freigegeben sein.
EDIT: Was übrigens Deine "wrong version number"-Fehler angeht, so liegt das wohl daran, dass eine Seite SSL2 verwendet und die andere SSL3 (a.k.a. TLS). Hast Du zufällig den IIS so konfiguriert, dass der "abwärtskompatibel" ist, also es auf SSL2-Ebene versucht?
Moin und danke für die Antworten.
Habe jetzt einen anderen Weg gewählt, wir verwenden WebDAV, da sicherer und angenehmer
Allen ein schönes Wochenende!
Habe jetzt einen anderen Weg gewählt, wir verwenden WebDAV, da sicherer und angenehmer
Allen ein schönes Wochenende!
Sicher (nicht unbedingt sicherer) nur dann, wenn ihr den http-Verkehr von WebDAV absichert, was keineswegs immer so ist...
