FTP lezen van directory mislukt

zaterdag 12 augustus 2017 19:53

Acties:

Topicstarter

Hallo,

Ik ben bezig met het configureren van FTP op mijn Windows server d.m.v. IIS 8. Intern werkt alles eigenlijk helemaal prima en kan ik met FTP en FTPS gewoon verbinden, maar zodra dit extern moet beginnen de problemen. Ik krijg gewoon verbinding maar zodra WinSCP aangeeft: "Bezig met lezen van externe directory" duurt dit enorm lang en uiteindelijk opent er een lege directory of komt er een foutmelding.

Ik heb al verschillende dingen geprobeerd zoals de handleiding van de site van microsoft volgen om de firewall goed in te stellen maar dit heeft geen enkel effect. Het uitschakelen van de firewall heeft zelfs geen effect dus wat exact het probleem is krijg ik niet gevonden.

Is er hier iemand die enig idee heeft hoe ik dit op kan lossen?

Relevante software en hardware die ik gebruik
Windows Server 2012 Storage and Foundation

Wat ik al gevonden of geprobeerd heb
External IP ingesteld bij firewall settings in IIS, dit had geen effect en dus ook weer weggehaald.
https://docs.microsoft.co...irewall-settings-in-iis-7 uitgeprobeerd, werkt niet.

Alvast bedankt!

zaterdag 12 augustus 2017 20:41

Acties:

akimosan

Hoe heb je passive ports/range ingesteld in:

1) IIS ?
2) Windows Firewall ?
3) Router/firewall ?

[ Voor 3% gewijzigd door akimosan op 12-08-2017 20:41 ]

zaterdag 12 augustus 2017 20:47

Acties:

Rik.

Topicstarter

akimosan schreef op zaterdag 12 augustus 2017 @ 20:41:
Hoe heb je passive ports/range ingesteld in:

1) IIS ?
2) Windows Firewall ?
3) Router/firewall ?

Zover ik begreep was het zo dat als je daar niks instelde het op standaard settings bleef...

zaterdag 12 augustus 2017 20:52

Acties:

Xudonax

En de default voor in ieder geval de meeste routers/firewalls buiten Windows Firewall is om dat verkeer te blokkeren. Je zult moeten kijken hoe je je router/firewall in moet stellen om dit goed te laten lopen, en waarschijnlijk zul je ook Passive mode moeten instellen. AFAIK moet de server hierbij ook vertellen welke poorten er hiervoor beschikbaar zijn.

zaterdag 12 augustus 2017 20:52

Acties:

Reptile209

- gers -

De verbinding wordt vanaf buiten opgezet via poort 21. Alle communicatie daarna (dus ook directorylistings) gaat via via een overeengekomen PASV poort. Zo te zien heb je de range die je server daarvoor gebruikt, niet geforward in je router/modem/firewall. En dan krijg je dus niks te zien.

Zo scherp als een voetbal!

zaterdag 12 augustus 2017 20:52

Acties:

akimosan

Maak je gebruik van NAT/Passive FTP? Dan zou ik die settings toch even nalopen.
Ik had precies hetzelfde probleem met FileZilla FTP server zonder passive ports in te stellen.

Port 21 open zetten is dan niet voldoende.

https://docs.microsoft.co...irewall-settings-in-iis-7

zaterdag 12 augustus 2017 21:19

Acties:

Rik.

Topicstarter

Zo... weer eens lekker wakker

Ik had een klein deel van de tutorial over het hoofd gezien waardoor het niet werkte. Ik had wel een port range ingevuld maar bij de specifieke site niet het external ip ingevuld...

Bedankt voor de hulp heren! (En misschien dames)

zaterdag 12 augustus 2017 23:19

Acties:

Rik.

Topicstarter

Hmm... helaas, het probleem is nog niet volledig opgelost. Ik probeer nu bestanden te uploaden en krijg dan deze melding:

code:

Using TLSv1.2, cipher TLSv1/SSLv3: AES128-SHA256, 2048 bit RSA, AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256

Using TLSv1.2, cipher TLSv1/SSLv3: AES128-SHA256, 2048 bit RSA, AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256

Het kopiëren van bestanden naar de externe computer is mislukt.
The supplied message is incomplete. The signature was not verified.

Ik verwacht dat dit wel met het SSL certificaat te maken heeft, dit is gewoon een certificaat wat is aangemaakt op de server via IIS. Moet dit een ander certificaat zijn?

zondag 13 augustus 2017 00:13

Acties:

bvk

Het gaat nooit snel genoeg!

Heb je de eerste keer bij het connectie maken naar de server wel een certificaat gepresenteerd gekregen om te accepteren? En hoe heb je dat certificaat aangemaakt, welke CA is er bijvoorbeeld gebruikt en wat gebruik je als domeinnaam? .local gaat niet werken voor een externe verbinding...

En de juiste poort, protocol etc. etc. is natuurlijk ook van belang om een secure connection op te zetten.

Specs

zondag 13 augustus 2017 00:17

Acties:

Rik.

Topicstarter

bvk schreef op zondag 13 augustus 2017 @ 00:13:
Heb je de eerste keer bij het connectie maken naar de server wel een certificaat gepresenteerd gekregen om te accepteren? En hoe heb je dat certificaat aangemaakt, welke CA is er bijvoorbeeld gebruikt en wat gebruik je als domeinnaam? .local gaat niet werken voor een externe verbinding...

En de juiste poort, protocol etc. etc. is natuurlijk ook van belang om een secure connection op te zetten.

Bij het maken van de connectie kreeg ik inderdaad het certificaat aangeboden. Ik heb het certificaat binnen IIS aangemaakt en daar hoef je enkel een naam in te vullen, meer niet... De server zit niet in een domein aangezien het puur om een thuis servertje gaat. Ik heb wel een DDNS domein er naartoe lopen waarmee ik dan weer verbind <blablabla>.ddns.net maar bij het maken van het certificaat kan ik dus geen domein o.i.d. kiezen.

zondag 13 augustus 2017 00:45

Acties:

bvk

Het gaat nooit snel genoeg!

Rik. schreef op zondag 13 augustus 2017 @ 00:17:
[...]

Bij het maken van de connectie kreeg ik inderdaad het certificaat aangeboden. Ik heb het certificaat binnen IIS aangemaakt en daar hoef je enkel een naam in te vullen, meer niet... De server zit niet in een domein aangezien het puur om een thuis servertje gaat. Ik heb wel een DDNS domein er naartoe lopen waarmee ik dan weer verbind <blablabla>.ddns.net maar bij het maken van het certificaat kan ik dus geen domein o.i.d. kiezen.

Kun je de gegevens (ou, cn) van de public key dan eens posten want ik denk dat je gewoon een lokaal certificaat aangemaakt hebt wat alleen maar binnen je eigen netwerk werkt. En geen DV certificaat wat extern door een CA approved en verwerkt wordt en je daarna weer importeert.

Extern connecten en ook data uitwisselen op IP adres en poort 21 (dus geen FTPS) lukt wel neem ik aan?

Specs

zondag 13 augustus 2017 00:49

Acties:

Rik.

Topicstarter

bvk schreef op zondag 13 augustus 2017 @ 00:45:
[...]

Kun je de gegevens (ou, cn) van de public key dan eens posten want ik denk dat je gewoon een lokaal certificaat aangemaakt hebt wat alleen maar binnen je eigen netwerk werkt. En geen DV certificaat wat extern door een CA approved en verwerkt wordt en je daarna weer importeert.

Extern connecten en ook data uitwisselen op IP adres en poort 21 (dus geen FTPS) lukt wel neem ik aan?

Waar kan ik deze gegevens exact vinden? Dan ga ik daar morgen even mee aan de slag denk ik.

Normaal connecten dus geen FTPS werkt op IP en ddns name (uiteindelijk ook een IP eigenlijk) wel gewoon.

zondag 13 augustus 2017 01:13

Acties:

bvk

Het gaat nooit snel genoeg!

In IIS onder FTP SSL settings, daarop rechtsklik --> open feature en dan "view" rechts naast het opgegeven domein/IP.

Maar als je een FTPS verbinding wil hebben zul je een certificaat aanvraag moeten doen en die laten verwerken door een CA als je een geldig certificaat wil kopen, of je zult met Let's encrypt of OpenSSL aan de gang moeten voor een gratis variant.

Specs

zondag 13 augustus 2017 01:18

Acties:

Rik.

Topicstarter

bvk schreef op zondag 13 augustus 2017 @ 01:13:
In IIS onder FTP SSL settings, daarop rechtsklik --> open feature en dan "view" rechts naast het opgegeven domein/IP.

Maar als je een FTPS verbinding wil hebben zul je een certificaat aanvraag moeten doen en die laten verwerken door een CA als je een geldig certificaat wil kopen, of je zult met Let's encrypt of OpenSSL aan de gang moeten voor een gratis variant.

Ik ga er morgen even naar kijken maar je zegt dus eigenlijk dat FTPS niet mogelijk is met een self signed certificaat?

zondag 13 augustus 2017 01:32

Acties:

CH4OS

It's a kind of magic

FTPS op basis van een selfsigned certificaat kan gewoon. Als je geen domeinnaam hebt moet je overigens een selfsigned certificaat gebruiken.

Daarnaast is OpenSSL geen certificate authority, maar een library voor het genereren van SSL-certificaten.

Met welke settings verbind je naar de FTP, is dat met explicit of implicit FTPS-settings?

Het kan namelijk best zijn, dat je poort 990 even moet forwarden, dat is de standaard poort voor FTPS.

Als je met FTPS via poort 990 moet verbinden, dan heb je waarschijnlijk ook explicit FTPS.

[ Voor 37% gewijzigd door CH4OS op 13-08-2017 01:47 ]

zondag 13 augustus 2017 01:33

Acties:

Compizfox

Bait for wenchmarks

Rik. schreef op zondag 13 augustus 2017 @ 01:18:
[...]

Ik ga er morgen even naar kijken maar je zegt dus eigenlijk dat FTPS niet mogelijk is met een self signed certificaat?

Jawel hoor, zolang je weet wat je aan het doen bent. Het domeinnaam wat opgegeven staat in het self-signed certificaat doet er niet toe; het is toch een untrusted certificaat.

Het houdt in dat je bij het verbinden zelf het certificaat moet checken, aangezien deze self-signed is en niet in de trust-store staat. Dit is volgens mij niet eens zoveel anders dan wanneer je wel een 'echt' (trusted) certificaat hebt, want als ik het me goed herinner hebben de meeste FTP-clients helemaal geen trust-store.

Een 'echt' certificaat (b.v. van Let's Encrypt) is niet mogelijk zonder domeinnaam.

Als het binnen je LAN wel werkt en remote niet, zou ik het probleem zoeken bij de port forwards. En heb je al een andere FTP-client geprobeerd?

[ Voor 30% gewijzigd door Compizfox op 13-08-2017 01:50 ]

Gewoon een heel grote verzameling snoertjes

zondag 13 augustus 2017 09:43

Acties:

Rik.

Topicstarter

Bij deze wat screenshots. https://imgur.com/a/daMJj

Ik zal straks even verder kijken, maar dat zal pas vanavond worden.

zondag 13 augustus 2017 13:58

Acties:

Fonta

Een Let's Encrypt certificaat werkt ook als je een dynamic dns service naar je thuis ip laat wijzen.

dinsdag 15 augustus 2017 13:05

Acties:

Rik.

Topicstarter

Ik ben het nu aan het proberen met een Lets Encrypt certificaat. Helaas had ik het te vaak geprobeerd waarbij ik een 403 error kreeg (in IIS stond DirectoryBrowsing nog uit) dus nu moet ik een week wachten om het opnieuw te proberen (aankomende zondag)

Bedankt voor de hulp!

zaterdag 19 augustus 2017 10:37

Acties:

Thralas

Rik. schreef op dinsdag 15 augustus 2017 @ 13:05:
Ik ben het nu aan het proberen met een Lets Encrypt certificaat. Helaas had ik het te vaak geprobeerd waarbij ik een 403 error kreeg (in IIS stond DirectoryBrowsing nog uit) dus nu moet ik een week wachten om het opnieuw te proberen (aankomende zondag)

Bedankt voor de hulp!

Juist daarvoor hebben ze een testservice. Hint voor de volgende keer.

Hoewel een LetsEncrypt-certificaat mooi is, gaat het je probleem niet oplossen. Het (self signed) certificaat had je immers al gewoon geaccepteerd bij het verbinden.

Er is wel een MS KB-artikel over die fout. Lijkt me dat de bijbehorende hotfix ook wel met een update zou moeten meekomen, maar goed om even te checken lijkt me.

FIX: "The supplied message is incomplete" error when you use an FTPS client to upload a file in Windows

maandag 25 maart 2019 09:02

Acties:

HanZ66

Ik heb wellicht de oplossing: Zorg ervoor dat de standaard directory die je opent niet teveel bestanden bevat. Ik had die op een map met meer dan 70.000 bestanden staan, en het inladen daarvan tijdens de login/startup duurt blijkbaar te lang. Ik heb die directory teruggezet naar de root en toen werkte de inlog direct.

maandag 25 maart 2019 09:23

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Thx voor de extra info, maar ik vermoed niet dat dit nog speelt bijna twee jaar later.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Vraag

Alle reacties