Ich versuche, von einem PC, der über einen Switch (Netgear GS108PE) mit unserem (Virgin) DSL-Modem verbunden ist, auf meinen Remote-FTP-Server zuzugreifen. Der Switch ist mit einem Router (Asus RT-AC68U) verbunden, der wiederum mit dem Modem verbunden ist. Alle sind mit Cat5/6-Ethernet fest verdrahtet.
Für den Zugriff auf den FTP-Server verwende ich FileZilla. Dieses stellt eine Verbindung her, um den Handshake zu ermöglichen, und akzeptiert den Benutzernamen und das Kennwort. Beim Auflisten von Verzeichnissen (MLSD) schlägt der Vorgang jedoch fehl.
Das Problem ist: Ich kann problemlos von einem anderen PC, der direkt mit dem Router verbunden ist, auf die Verzeichnisliste zugreifen, aber nicht von dem PC, der über den Netgear-Switch verbunden ist. Alle sind im selben Netzwerk und alle verwenden DHCP vom Router. Ich habe alle Firewalls ausgeschaltet und versucht, den gesamten FTP-Verkehr sowohl an den PC als auch an den Switch weiterzuleiten (ich habe wirklich alles versucht, was mir eingefallen ist).
Ich habe den aktiven und passiven Modus, die Portweiterleitung, das Deaktivieren von Firewalls und alles andere, was ich finden konnte, ausprobiert, habe aber das Gefühl, dass mir möglicherweise etwas zur Art der Switch-/Router-Einrichtung entgeht.
Irgendwelche Ideen, was ich versuchen könnte? Ich habe den ganzen Tag damit verbracht und offensichtlich die meiste Zeit gegoogelt. Ich arbeite seit über 20 Jahren mit Heimnetzwerken, aber das hier macht mich ratlos.
Hier ist die Nachricht, die ich bekomme:
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Server does not support non-ASCII characters.
Status: Connected
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is your current location
Command: TYPE I
Response: 200 TYPE is now 8-bit binary
Command: PASV
Response: 227 Entering Passive Mode (xxx,xxx,xxx,xxx,xxx,xxx)
Command: MLSD
Error: Connection timed out
Error: Failed to retrieve directory listing
*Ich habe die IPs (die die korrekte externe IP-Adresse des betreffenden FTP-Servers darstellen) oben in XXX geändert.
Ich würde mich über jede Einsicht freuen, die Sie mir geben können.
Prost!
Antwort1
Ich schätze, dass Sie das Problem durch das Ausschalten von TLS gelöst haben.
Nun zum Grund, warum TLS einen Einfluss hat: Auf modernen Connection-Tracking-Firewalls (erforderlich zum Beispiel für Port Address Translation) gibt es sogenannte Tracking Helper, die Protokolle mit Deep Packet Inspection analysieren.
FTP mit seinen getrennten Kontroll- und Datenverbindungen ist für Firewalls problematisch: Es reicht nicht, nur ausgehende Verbindungen über Port 21 zuzulassen. Hier kommt der Helper ins Spiel: Er analysiert die Kontrollverbindung und lässt Verbindungen gemäß PASV(oder EPSV) Antwort zu. Bei einer verschlüsselten Kontrollverbindung ist eine Analyse unmöglich und Verbindungen kommen nicht durch.
All diese Dinge sind normalerweise nur bei „Unternehmens“-Firewalls relevant, da SOHO-Router standardmäßig alle ausgehenden Verbindungen zulassen.