PROBLEMA CONFIGURAZIONE FTP TLS QNAP 219

[topiski]

Ciao a tutti, ho un problemino di configurazione per il servizio FTP con SSL/TLS esplicito sul mio qnap 219
Ho settato il qnap per tale modalità SSL/TLS sulla porta 21, lasciano le porte passive di default.
Sul router pirellone Tiscali ho fatto il forward della 21 verso l'ip del qnap.
Ho configurato filezilla client per usare la modalità FTPES- FTP sul SSL/TLS esplicito, tipo accesso normale e username e psw.
Il client sembra collegarsi, ma và in timeout quando fà il list delle cartelle. Ecco il log dettagliato di filezilla:

sposta: 220 NASFTPD Turbo station 2.x 1.3.1rc2 Server (ProFTPD) [192.168.1.150]
Comando: AUTH TLS
Risposta: 234 AUTH TLS successful
Stato: Inizializzazione TLS in corso...
Stato: Verifica del certificato in corso...
Comando: USER riccardo
Stato: Connessione TLS/SSL stabilita.
Risposta: 331 Password required for riccardo
Comando: PASS ********
Risposta: 230 User riccardo logged in
Comando: SYST
Risposta: 215 UNIX Type: L8
Comando: FEAT
Risposta: 211-Features:
Risposta: MDTM
Risposta: UTF8
Risposta: AUTH TLS
Risposta: PBSZ
Risposta: PROT
Risposta: REST STREAM
Risposta: SIZE
Risposta: 211 End
Comando: OPTS UTF8 ON
Risposta: 200 UTF8 set to on
Comando: PBSZ 0
Risposta: 200 PBSZ 0 successful
Comando: PROT P
Risposta: 200 Protection set to Private
Stato: Connesso
Stato: Lettura elenco cartelle...
Comando: PWD
Risposta: 257 "/" is the current directory
Comando: TYPE I
Risposta: 200 Type set to I
Comando: PASV
Risposta: 227 Entering Passive Mode (192,168,1,150,218,208).
Stato: Il server ha inviato una risposta passiva contenente un indirizzo non raggiungibile. Sarà usato l'indirizzo del server.
Comando: LIST
Errore: Tempo scaduto per la connessione
Errore: Non è stato possibile leggere il contenuto della cartella

Qualcuno può aiutarmi a capire dove stà il problema?
Grazie

[edo]

Ciao topiski, benvenuto sul forum.
Penso sia un problema di certificato,
Il protocollo SSL/TSL necessita di un certificato da condividere tra server e client.
Prova ad aprire le porte 20 e 21 e 989 e 990.

[topiski]

Ok grazie, provo ad aprire le porte da te indicate.
Penso che a questo punto sia un problema di porte, in quanto se mi connetto in FTPS in locale anche senza certificato si connette senza problemi.
Ti farò sapere, grazie

[luciano]

Devi decisamente aprire anche le altre porte sul tuo router, altrimenti non funzionera' mai.

[topiski]

Ciao ragazzi,
allora ho provato ad aprire le porte 20,21,989,990 ma il problema non si risolve.
Ho visto che il client ftp si collega, scambia user e pwd, fa si blocca quando deve fare il list del contenuto della directory.
Vi posto nuovamente il log FTP:

[11:45:10] SmartFTP v3.0.1027.8
[11:45:11] Resolving host name "*******.gotdns.com"
[11:45:11] Connecting to **.**.**.** Port: 21
[11:45:11] Connected to ******.gotdns.com.
[11:45:11] 220 NASFTPD Turbo station 2.x 1.3.1rc2 Server (ProFTPD) [192.168.1.150]
[11:45:11] AUTH TLS
[11:45:11] 234 AUTH TLS successful
[11:45:11] Connected. Exchanging encryption keys...
[11:45:12] Session Cipher: 128 bit AES
[11:45:12] TLS encrypted session established.
[11:45:12] Command channel protection set to Private.
[11:45:12] PBSZ 0
[11:45:12] 200 PBSZ 0 successful
[11:45:12] USER riccardo
[11:45:12] 331 Password required for riccardo
[11:45:12] PASS (hidden)
[11:45:12] 230 User riccardo logged in
[11:45:12] SYST
[11:45:12] 215 UNIX Type: L8
[11:45:12] Detected Server Type: UNIX
[11:45:12] RTT: 70.831 ms
[11:45:12] FEAT
[11:45:12] 211-Features:
[11:45:12] MDTM
[11:45:12] UTF8
[11:45:12] AUTH TLS
[11:45:12] PBSZ
[11:45:12] PROT
[11:45:12] REST STREAM
[11:45:12] SIZE
[11:45:12] 211 End
[11:45:12] OPTS UTF8 ON
[11:45:13] 200 UTF8 set to on
[11:45:13] PWD
[11:45:13] 257 "/" is the current directory
[11:45:13] TYPE A
[11:45:13] 200 Type set to A
[11:45:13] PROT P
[11:45:13] 200 Protection set to Private
[11:45:13] PORT 192,168,10,16,197,54
[11:45:13] 200 PORT command successful
[11:45:13] LIST -aL

Qualche suggerimento???
Grazie

[edo]

Prova a mettere l' MTU del router a 1492, sempre che tu abbia aperto correttamente le porte del router.

[topiski]

Aggiornamento....
Per caso ho provato a collegarmi ad internet tramite una chiave usb tim, e con questa connessione magicamente mi collego al qnap in tls.
Se però mi collego tramite lan o wifi di vari clienti, non accedo.
A questo punto mi viene da pensare che sia un problema di NAT o simile dei vari router dei clienti che non permettono le porte passive....
Cosa ne pensate?

[edo]

Forse non ho capito:
Parli di aprire porte sul router e di conseguenza io immagino ad un collegamento da remoto,
poi parli di wifi e di vari client sulla LAN e a quel punto ti perdo.
Se sei sulla tua LAN non devi aprire porte sul Router ma verificare eventuali Firewall.

[topiski]

Mi sono spiegato male...
Quando con il mio portatile sono in giro da clienti (sono un sistemista windows server), mi collego ad internet con le loro connessioni. Ho verificato e da tutti i clienti NON riesco ad accedere in FTPS sia con SmartFTP che con Filezilla, e riscontro l'errore nel post precedente.
Oggi mi sono collegato per prova ad internet con una chievetta usb tim ( quindi con IP pubblico assegnato da Tim direttamente alla connessione remota) in questa modalità riesco a collegarmi in FTPS.
Da notare che se imposto sul qnap la modalità FTP classica funziona tutto alla perfezione anche dai clienti.
Cosa può essere?

[luciano]

Se ho capito bene, fin dall'inizio tu hai detto di aver lasciato le porte passive di default, giusto?! Ergo hai aperto QUELLE porte sul tuo e sui vari router dei clienti da cui ti vuoi connettere (dalla 55536 alla 56559)?

[miram]

Ho anch'io lo stesso problema e solo con la wifi... se mi connetto con cavo tutto ok... Chiaramente da fuori sede. Connettendomi in ftp, webdav sia http che https tutto ok! Avete suggerimenti? Grazie.

[luciano]

Miriam questo thread è abbastanza vecchio e non ho + ricevuto aggiornamenti da topiski, ci puoi riassumere meglio il tuo problema?

[miram]

Certo... (sono M I R A M !!)
Allora, credo che il problema sia causato non dal firewall di casa mia ma da quello dei clienti. A casa ho una rete basata su un router DSL 2640B, con le dovute porte aperte (prese dalla pagina del qnap, attivando momentaneamente l'uPnP). Infatti se provo a collegarmi con delle connessioni adsl o chiavette esterne tutto funziona perfettamente. Il problema sorge se provo ad utilizzare una connessione wifi fatta da un altro router.
Al lavoro per esempio mi connetto tramite un firewall IPCOP e non vi è modo di far funzionare l'FTP con SSL, funziona solo l'FTP "non sicuro".... Quando sono fuori per il weekend uso un router portatile DIR457 ed anche in quel caso non mi connetto. Le connessioni fatte invece dalla pagina amministrativa del QNAP funzionano sia in http che in https. Non so se sono stato chiaro! E' un po' complesso da spiegare anche perchè NON ho capito a cosa sia dovuto. Ho anche provveduto a crearmi il corretto certificato SSL (http://miramlp.blogspot.it/2012/05/cert ... -qnap.html)...
Se si potesse risolvere ne sarei molto contento in quanto non ho trovato il modo di modificare separatamente le password dell'FTP per i vari utenti e mi da fastidio l'invio dei dati in chiaro! Infatti sul vecchio NAS io avevo due password distinte per il samba e per l'FTP remoto, cosa che mi permetteva di cambiarle con cadenza mensile ed essere più sicuro!
Grazie @luciano per l'interessamento!

[miram]

Trovo incredibile che nessuno trovi una soluzione dovuta al fatto che le connessioni con doppio router non funzionino in FTPES!!! Il problema è chiaramente dovuto ad un errore di inoltro dell'indirizzo WAN del QNAP ed alla mancata scelta corretta delle porte di risposta PASSV.... Qualcuno ha risolto???

[miram]

Ciao a tutti, ecco la mia soluzione, provata ora e funzionante...
Si deve impostare nella pagina del servizio FTP l'intervallo di porte per il PASSV e, seppure non ci sia un indirizzo fisso nel mio caso, anche la spunta di rispondere con l'indirizzo esterno alle richieste lasciando lo spazio vuoto. In questo modo non ci sono più problemi per l'elencazione delle cartelle e compare il caro ed amato lucchettino con WINSCP. Mi raccomando di aprire le porte 21, e l'intervallo 55536->56559 sul vostro router od utilizzare la funzione uPNP (sconsigliata)... Spero di aver fatto cosa gradita! Buon lavoro...

[luciano]

Grazie Miram! ... cosa sicuramente graditissima a chi incontrerà lo stesso problema in futuro

[miram]

Prego!