Problem beim Verbindungsaufbau FTP und IIS mit Windows Server 2008 R2 und TMG 2010

[Gast Christian R]

Guten Tag,

 

ich habe ein Problem bei der Veröffentlichung einer FTP-Site unter IIS 7 / FTP 7.5 / Microsoft Windows Server 2008 R2, 64-bit.

 

Das Problem ist, dass der Verbindungsaufbau klappt, aber das Verzeichnis durch den FTP-Server offenbar nicht ausgeliefert bzw. die Auslieferung durch die Firwall unterbrochen wird.

 

Als Firewall, und da liegt vermutlich das Problem lokalisiert, wird Microsoft TMG 2010 eingesetzt.

 

Alle Systeme befinden sich auf dem aktuellen Patchstand.

 

IIS und TMG laufen auf getrennten Maschinen, so dass der IIS-/FTP-Server in einer DMZ steht.

 

Das Problem besteht unabhängig davon, ob ich mich mittels FTPeS oder unverschlüsseltem FTP verbinden möchte.

 

Ein Zusammenhang zu Zertifikaten ist somit ausgeschlossen.

 

Das Problem besteht ausschließlich beim externen Zugriff aus dem Internet oder dem (von der DMZ natürlich abgetrennten) LAN, nicht aber lokal auf dem IIS-/FTP-Server und auch nicht von anderen Geräten innerhalb der DMZ.

 

Somit scheint sich die Problemlösung auf den TMG-Firewallserver zu konzentrieren.

 

Aus dem IIS-/FTP-Server ist als "FTP-Firewallunterstützung" die externe IP-Adresse 213.AAA.BBB.CCC eingetragen. Zusätzlich als Datenkanal-Portbereich 5000-6000.

 

In der Nicht-Webserver-Veröffentlichungsregel des TMG ist als Dienst "FTP Server" mit dem Port 21 freigegeben.

 

Sind weitere Eingaben bzw. Freigaben notwendig?

 

Beispielsweise die Definition einer sekundären Verbindung?

 

Muss irgendwo der Datenkanal-Portbereich definiert werden?

 

Hier das FilZilla-Protokoll des Verbindungsaufbaus.

 

Status: Verbinde mit 213.AAA.BBB.CCC:21...

Status: Verbindung hergestellt, warte auf Willkommensnachricht...

Antwort: 220 Herzlich Willkommen bei XXXXXXXXXXXXX.

Befehl: AUTH TLS

Antwort: 234 AUTH command ok. Expecting TLS Negotiation.

Status: Initialisiere TLS...

Status: Überprüfe Zertifikat...

Befehl: USER administrator

Status: TLS/SSL-Verbindung hergestellt.

Antwort: 331 Password required for XXXXXXXXXXXXXX.

Befehl: PASS ********

Antwort: 230-Sie haben sich bei uns erfolgreich angemeldet.

Antwort: 230 User logged in.

Befehl: SYST

Antwort: 215 Windows_NT

Befehl: FEAT

Antwort: 211-Extended features supported:

Antwort: LANG EN*

Antwort: UTF8

Antwort: AUTH TLS;TLS-C;SSL;TLS-P;

Antwort: PBSZ

Antwort: PROT C;P;

Antwort: CCC

Antwort: HOST

Antwort: SIZE

Antwort: MDTM

Antwort: REST STREAM

Antwort: 211 END

Befehl: OPTS UTF8 ON

Antwort: 200 OPTS UTF8 command successful - UTF8 encoding now ON.

Befehl: PBSZ 0

Antwort: 200 PBSZ command successful.

Befehl: PROT P

Antwort: 200 PROT command successful.

Status: Verbunden

Status: Empfange Verzeichnisinhalt...

Befehl: PWD

Antwort: 257 "/" is current directory.

Befehl: TYPE I

Antwort: 200 Type set to I.

Befehl: PASV

Antwort: 227 Entering Passive Mode (213,AAA,BBB,CCC,19,150).

Befehl: LIST

Antwort: 150 Opening BINARY mode data connection.

Fehler: Zeitüberschreitung der Verbindung

Fehler: Verzeichnisinhalt konnte nicht empfangen werden

 

Recherche im Internet und Literatur brachte mich bisher nicht weiter.

 

Viele Grüße und danke im Voraus!

Christian

[NorbertFe 2.105]

TMG blockt per default active FTP. Kannst ja mal schauen, ob du entweder in der Veröffentlichung den FTP Filter deaktivierst, oder im FTP Server die aktiven FTP Connections zuläßt.

 

Bye

Norbert

[Gast Christian R]

TMG blockt per default active FTP. Kannst ja mal schauen, ob du entweder in der Veröffentlichung den FTP Filter deaktivierst, oder im FTP Server die aktiven FTP Connections zuläßt.

 

Den FTP Filter habe ich deaktiviert.

 

Sobald ich den FTP Inhaltsfilter aktiviere, sieht das Verbindungsprotokoll wie folgt aus:

 

Status:	Verbindung zum Server getrennt
Status:	Verbinde mit 213.AAA.BBB.CCC:21...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 Herzlich Willkommen bei XXXXXXXXXXX.
Befehl:	USER Administrator
Antwort:	331 Password required for XXXXXXXXXXX.
Befehl:	PASS ********
Antwort:	230-Sie haben sich bei uns erfolgreich angemeldet.
Antwort:	230 User logged in.
Befehl:	OPTS UTF8 ON
Antwort:	200 OPTS UTF8 command successful - UTF8 encoding now ON.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	PWD
Antwort:	257 "/" is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I.
Befehl:	PASV
Antwort:	500 The server returned invalid response for PASV command.
Befehl:	PORT 192,168,DDD,CCC,19,199
Antwort:	500 Invalid PORT command.
Fehler:	Verzeichnisinhalt konnte nicht empfangen werden
Fehler:	Verbindung zum Server getrennt: ECONNABORTED - Connection aborted

 

Unabhängig davon, ob ich innerhalb des FTP Filters aktives FTP aktiviert oder deaktiviert habe.

[Gast Christian R]

Zwischenzeitlich konnte ich das Problem eigenständig lösen.

 

Für alle, die mit derselben Sache kämpfen, hier die entscheidende Info:

 

- Ich musste neben dem Port 21 noch die Portrange eintragen, welche zusätzlich in den Eigenschaften des IIS anzugeben ist (als Beispiel im IIS ist 5000-6000) vorgesehen.

 

Wer detaillierte Infos braucht, kann mich gerne anschreiben.