Der Server hat beim Herstellen einer Verbindung zur FTP-Site mit FileZilla eine passive Antwort mit einer nicht routbaren Adresse gesendet

8

Ich erhalte die Fehlermeldung "Der Server hat eine passive Antwort mit einer nicht routbaren Adresse gesendet. Verwenden Sie stattdessen die Serveradresse." beim Herstellen einer Verbindung zu einer FTP-Site (nicht SFTP) .

Ich habe viele Male eine Verbindung zu dieser Site hergestellt, FileZilla hat mich jedoch gebeten, bei dieser Gelegenheit zum ersten Mal ein Zertifikat zu akzeptieren.

Es scheint kein Problem mit dem Konto zu sein, mit dem ich mich verbinde, da dies bei allen Konten auf diesem Server der Fall ist.

Geben Sie hier die Bildbeschreibung ein

routing certificate tls ftp crmpicco
quelle

Antworten:

2

Betrachtet auf den ersten Blick ein NAT-Problem, bei dem der FTP-Protokoll-Helfer aufgrund der TLS-Verschlüsselung ausfällt, und ich würde erwarten, dass dies auch zu einem Firewall-Problem wird.

Einige Hintergrundinformationen hier in einer älteren Antwort von mir.

Die Lösung besteht wahrscheinlich darin, den passiven TCP- pasv_addressPortbereich zu korrigieren , den FTP über SSL verwenden kann, den FTP-Server die externe IP-Adresse anstelle der tatsächlichen IP-Adresse (die Direktive in VSFTPD) bekannt zu geben und statische NAT-Regeln für diese Ports zu erstellen .

HBruijn
quelle
2
Vielen Dank für Ihren Kommentar. Ist dies eine Änderung, die ich an der Firewall auf dem tatsächlichen FTP-Server oder in den Einstellungen in meinem FTP-Client vornehmen muss? Ich habe mich bei einem Kollegen erkundigt und er konnte problemlos eine Verbindung zum Server herstellen.
Crmpicco
Der erste würde bestätigen, dass Ihr Kollege tatsächlich TLS-Verschlüsselung verwendet, da dies weit vom Standard entfernt ist. Zweitens handelt es sich nicht in erster Linie um ein Firewall-Problem, sondern um ein Problem, das auftreten kann, wenn sich der FTP-Server hinter einem NAT-Gerät befindet. Ich kenne Ihre Netzwerktopologie nicht und mache nur eine fundierte Vermutung. Kein NAT und Ihr Problem haben möglicherweise eine ganz andere Ursache und eine völlig andere Lösung.
HBruijn
Ich sehe in den FileZilla-Einstellungen nach, ob ich die TLS-Verschlüsselung deaktivieren kann - ich kann nichts sehen. Ich erhalte keine Nachricht zu TLS auf einem anderen Server, zu dem ich eine Verbindung herstelle.
Crmpicco
Sie können auch einen Client verwenden, der CCC mit TLS unterstützt (von einem kurzen Google FileZilla nicht). In diesem Fall ist nur die Anmeldung durch TLS geschützt und der PORT / PASV-Handshake ist noch frei, sodass der Firewall-Helfer ihn überprüfen oder neu schreiben und die erforderlichen Ports öffnen kann.
Steffen Ullrich
1

Dies ist eine alte Frage, aber ich dachte, sie könnte anderen helfen. Ich habe ein ähnliches Problem und werde von @HBrujin erwähnt. Ich habe auch die richtige pasv_address angegeben, aber es wird immer noch eine ähnliche Meldung in Filezilla angezeigt.

Stellen Sie zunächst fest, welche IP-Adresse Sie als PASV-Befehl erhalten, indem Sie den Debug-Modus in FileZilla aktivieren. Möglicherweise sehen Sie die folgende Zeile

Response:   227 Entering Passive Mode (0,0,0,0,4,7).

Ich hatte gehofft, meine öffentliche Adresse anstelle von 0.0.0.0 zu haben, da ich bereits pasv_address angegeben habe. Später wurde klar, dass es an der Einstellung listen_ipv6 = YES lag und pasv_address IP4 hat. Fügen Sie einfach die Änderungskonfiguration hinzu

#listen_ipv6=YES
listen=YES

mein Problem behoben.

Pritesh Patel
quelle
1
Dies ist tatsächlich auf einen Fehler in vsftpd zurückzuführen: serverfault.com/q/821025/168875
Martin Prikryl
1

Wenn der Client eine Datenübertragung initiiert, fragt er den FTP-Server, wo er eine Verbindung herstellen soll. Die von Ihrem Server bereitgestellte IP-Adresse ist wahrscheinlich die interne Adresse in seinem Netzwerk und keine externe IP-Adresse, die vom Client verwendet werden kann. Es ist eine falsche Konfiguration auf der Serverseite.

Da dies jedoch eine recht häufige Fehlkonfiguration ist, können viele FTP-Clients, einschließlich FileZilla, dies umgehen. Sie ignorieren einfach jede vom Server bereitgestellte IP-Adresse, wenn sie nicht vom Netzwerkstandort des Clients aus routingfähig ist, und verwenden stattdessen eine FTP-Serveradresse. Das ist was passiert ist.

In meiner letzten Antwort finden Sie eine Erklärung der Architektur des passiven Modus .

In Bezug auf die Annahme des Zertifikats: Da Sie uns nicht mitgeteilt haben, aus welchem ​​Grund FileZilla Sie gebeten hat, das Zertifikat anzunehmen, können wir Ihnen nicht wirklich helfen.

Martin Prikryl
quelle