vsftp auf Xen Server geht nicht bei jedem

[mcfly]

Hallo mal wieder

also mittlerweile kriege ich bei einigen Problemen eine Krise. Der Server status ist SuSe 11.0 mit laufenden Xen-Servern, ebenfalls zweimal suse 11.0, einmal als kleiner Webserver und ExchangeServer und der zweite ist für mich zum Testen mit Confixx oder den verschiedenen Einstellungen ( es wird jedem neuen versuch ein funktionierendes image genommen).

Nun fürnktioniert auch alles dachte ich jedenfalls VSFTP macht mir nun den kleinen Strich durch die Rechnung.

Ich logge mich von meinem Notebook mit Vista und XP auf dem Server ein und kriege alle Daten kann up- und downloaden Mein Kumpel allerdings nicht der kann sich zwar einloggen aber kriegt die verzeichnisse.

Hier mal die beiden Filezilla auszüge unserer Rechner

Filezilla bei mir

Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 (vsFTPd 2.0.6)
Befehl: USER ftp1
Antwort: 331 Please specify the password.
Befehl: PASS ********
Antwort: 230 Login successful.
Befehl: OPTS UTF8 ON
Antwort: 200 Always in UTF8 mode.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/"
Befehl: TYPE I
Antwort: 200 Switching to Binary mode.
Befehl: PASV
Antwort: 227 Entering Passive Mode (10,0,1,1,146,4)
Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
Befehl: LIST -a
Antwort: 150 Here comes the directory listing.
Antwort: 226 Directory send OK.
Status: Anzeigen des Verzeichnisinhalts abgeschlossen

und hier Filezilla von meinem Kumpel

Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 (vsFTPd 2.0.6)
Befehl: USER ftp1
Antwort: 331 Please specify the password.
Befehl: PASS ********
Antwort: 230 Login successful.
Befehl: SYST
Antwort: 215 UNIX Type: L8
Befehl: FEAT
Antwort: 211-Features:
Antwort: EPRT
Antwort: EPSV
Antwort: MDTM
Antwort: PASV
Antwort: REST STREAM
Antwort: SIZE
Antwort: TVFS
Antwort: UTF8
Antwort: 211 End
Befehl: OPTS UTF8 ON
Antwort: 200 Always in UTF8 mode.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/"
Befehl: TYPE I
Antwort: 200 Switching to Binary mode.
Befehl: PASV
Fehler: Verbindung zum Server getrennt
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Wo ist da nun der Fehler bei mir am Server oder bei meinem Kumpel? Ehrlich gesagt kapier ichs nicht das es bei mir geht und bei Ihm nicht.

Weiß einer von Euch wo der Fehler ist?

[daemotron]

Sitzt Dein Kumpel vielleicht hinter einer Firewall / einem FTP-Proxy, die Passive FTP unterbindet?

[mcfly]

Mittlerweile habe ich erfahren das des wirklich bei ihm an der firewall liegen muß da von mehreren rechnern seine und meine ftp login daten gehen. Nur dachte ich das passiv modus bei ftp immer besser wäre und auch bei fast allen geht.

Seh ich nun wieder was falsch?

[daemotron]

FTP ist für Firewalls ein sehr unangenehmes (bis ekelhaftes) Protokoll, da es sich nicht mit einer TCP-Verbindung begnügt, sondern pro Vorgang eine neue TCP-Verbindung initiiert. Der aktive Modus funktioniert nicht hinter NAT-Routern, da hierfür der Client auf einem (beliebigen) Port auf Rückmeldungen des Servers lauschen können muss. Daher ist die Aussage, passive Mode sei bei Firewalls die bessere Wahl, durchaus richtig.

Im konkreten Fall wird aber die Verbindung immer genau dann gekillt, wenn der Client versucht, in den passiven Modus umzuschalten (Befehl: PASV). Dabei macht der Server einen zusätzlichen Port (ungleich 21) auf, zu dem der Client sich dann verbinden muss. Wenn die Firewall dazwischen aber restriktiv ist und auch ausgehende Verbindungen limitiert (z. B. auf Port 80, 443 und 21 o. ä.), dann hat der Client keine Chance, zum zweiten geöffneten Port eine Verbindung herzustellen, was in einem Abbruch der Verbindung resultiert.

Für Details siehe http://slacksite.com/other/ftp.html

[mcfly]

Tja nach etlichen Test´s haben wir nun das Problem eingegrenzen können. Es funktioniert bei allen Rechnern und Firewalls außer bei dem UMTS Zugang über Eplus (€muß eine Sperre direkt bei dem Provider sein) den mein Kumpel nimmt. Nun ist nur die Frage was man für solche Fälle nun machen kann? Ob es möglich ist für Ihn nun eine passende alternative zu erstellen oder zu installieren.

[Joe User]

Also ein Proxy-Problem -> E-Plus kontaktieren und/oder VPN aufsetzen...

[mcfly]

So nun habe ich es soweit wieder einmal geändert und hinbekommen das nur noch wenige Test´s fehlschlagen sich zu verbinden.

Code: Select all

    listen=YES
    anonymous_enable=NO
    local_enable=YES
    write_enable=YES
    local_umask=022
    xferlog_enable=YES
    xferlog_file=/var/log/xferlog
    xferlog_std_format=YES
    #### Eingefügt um Routingfehler zu beheben
    pasv_promiscuous=YES
    pasv_addr_resolve=YES
    pasv_address=XXX.XXX.XXX.XXX
    pasv_max_port=65200
    pasv_min_port=64200
    #### Einfügen Ende
    ftpd_banner=Willkommen auf deinem Webspace - baue bloß keinen Mist den ich dann ausbaden muß
    ascii_upload_enable=YES
    ascii_download_enable=YES
    ls_recurse_enable=YES
    connect_from_port_20=YES
    chroot_local_user=YES
    userlist_enable=YES
    userlist_file=/etc/chrootUsers
    userlist_deny=NO
    pam_service_name=vsftpd
    #
    # The following directive shows allways dot-files.
    # vsftpd of version less than 1.1.3 does not support feature 'force_dot_files'.
    # If your vsftpd has this feature then
    # remove commenting mark ('#') to activate the directive below.
    #
    #force_dot_files=YES
    ### ENDE ####

Nun kommt aber wieder ein neues Problem dazu. wenn jetzt fast alle Logins von Außen funktionieren so habe ich heute feststellen müßen das die webftp Login´s von Confixx nicht mehr gehen. Im webftp bekomme ich leider nun nen timeout mit dem verbinden oder im firefox bleibt einfach alles leer.

Hat jemand na Idee wie ich das nun managen könnte?