FTP-Connection schlägt fehl - Brandneue Installation  [GELÖST]

Locked
Pinky
Posts: 29
Joined: Mon 28. Sep 2020, 11:14

FTP-Connection schlägt fehl - Brandneue Installation

Post by Pinky »

Tag zusammen,

ich habe mittlerweile mehrere Keyhelp Installationen (2) aufgesetzt und komme immer wieder auf das Problem, dass bei einer frisch aufgesetzten Keyhelp Installation keine Verbindung zu den frisch angelegten FTP-Accounts möglich ist.

Wie erwähnt, frisch aufgesetztes System auf einer Box bei Hetzner. (Debian 11)
Installation ist erreichbar unter adminpanel.example.com
-> Ersten Kunden angelegt und Domain eingerichtet: "example.com"
Auch die Subdomains example-01.example.com sind per A-Record weitergeleitet -> Aufrufe der Inhalte dort funktioniert auf Anbieb ohne Probleme.

Um nun Inhalte unter die Subdomains hinterlegen zu können ist eine FTP-Verbindung notwendig.
-> Ftp Account anlegen funktioniert einwandfrei.
-> Verbindung per FTP, expicit TLS zu: adminpanel.example.com führt zu:

Code: Select all

Status:	Auflösen der IP-Adresse für adminpanel.example.com
Status:	Verbinde mit 1.2.3.4:21...
Fehler:	Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler:	Herstellen der Verbindung zum Server fehlgeschlagen
Status:	Nächsten Versuch abwarten...
Da das Adminpanel auf die IP-Adresse reagiert und keyhelp sich aufrufen lässt, ist der Server unter der entsprechenden IP erreichbar und ein DNS-Problem ausgeschlossen.

Auch der Apache reagiert auf Anfragen (Aufrufe der Subdomains erfolgreich)

Der FTP-Server reagiert allerdings nicht.
Da mir dieses Problem jetzt schon bei der zweiten Keyhelp Installation über den Weg läuft wollte ich mal nachhaken. Ist jemandem das schonmal über den Weg gelaufen?
Ist eventuell die IP-Adresse auf die der FTP-Server lauschen soll nicht im FTP-Server selbst hinterlegt?
-> Der Server hat eine eigene öffentliche IP Adresse und von Hetzner eine Floating-IP. Beide funktionieren nicht. Hier könnte es aber Konfigurationsprobleme geben - von denen mir nicht bewusst ist wo ggf.
-> Beide IP-Adressen sind im Menü "Konfiguration"->"IP-Adressen" aufgeführt und angehakt.

Edit: Achso, der FTP-Service wird in der Administrator Übersicht ebenfalls als "online" bezeichnet.




Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)
Ja

Server-Betriebssystem + Version
Debian 11.latest


Eingesetzte Server-Virtualisierung-Technologie
(z.B. keine, OpenVZ, KVM, XEN, etc.)
KVM

KeyHelp-Version + Build-Nummer
(z.B. 22.0 - Build 2366)


Problembeschreibung / Fehlermeldungen


Erwartetes Ergebnis


Tatsächliches Ergebnis


Schritte zur Reproduktion


Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: FTP-Connection schlägt fehl - Brandneue Installation

Post by Florian »

Hallo,

bitte Ausgabe von

netstat -tulpen | grep :21
systemctl status proftpd
iptables -nL


Was ist gemeint mit "Der Server hat eine eigene öffentliche IP Adresse und von Hetzner eine Floating-IP. Beide funktionieren nicht."? Wie ist der Server denn erreichbar?
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Pinky
Posts: 29
Joined: Mon 28. Sep 2020, 11:14

Re: FTP-Connection schlägt fehl - Brandneue Installation

Post by Pinky »

Code: Select all

netstat -tulpen | grep :21
tcp6       0      0 :::21                   :::*                    LISTEN      108        944        973/proftpd: (accep 

Code: Select all

systemctl status proftpd
● proftpd.service - ProFTPD FTP Server
     Loaded: loaded (/lib/systemd/system/proftpd.service; enabled; vendor preset: enabled)
     Active: active (running) since Wed 2022-06-15 10:40:27 CEST; 14min ago
    Process: 878 ExecStartPre=/usr/sbin/proftpd --configtest -c $CONFIG_FILE (code=exited, status=0/SUCCESS)
    Process: 955 ExecStart=/usr/sbin/proftpd -c $CONFIG_FILE $OPTIONS (code=exited, status=0/SUCCESS)
   Main PID: 973 (proftpd)
      Tasks: 1 (limit: 9274)
     Memory: 8.7M
        CPU: 93ms
     CGroup: /system.slice/proftpd.service
             └─973 proftpd: (accepting connections)

Jun 15 10:40:27 adminpanel.example.com systemd[1]: Starting ProFTPD FTP Server...
Jun 15 10:40:27 adminpanel.example.com proftpd[878]: Checking syntax of configuration file
Jun 15 10:40:27 adminpanel.example.com systemd[1]: proftpd.service: Can't open PID file /run/proftpd.pid (yet?) after start: Operation not permitted
Jun 15 10:40:27 adminpanel.example.com systemd[1]: Started ProFTPD FTP Server.

Code: Select all

iptables -nL

Chain INPUT (policy DROP)
target     prot opt source               destination         
f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
DROP       all  --  0.0.0.0/0            0.0.0.0/0            state INVALID
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x00
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x3F
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x03/0x03
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x06
DROP       all  --  127.0.0.0/8          0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:993
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:465
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:587
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:30000:30500
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 code 0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 255 limit: avg 10/sec burst 20
DROP       icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 255

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
DROP       all  --  127.0.0.0/8          0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain f2b-sshd (1 references)
target     prot opt source               destination         
REJECT     all  --  61.177.173.47        0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           




Sorry, den letzten Teil überlesen:

Jede Maschine bekommt bei Hetzner eine öffentliche IP-Adresse zugewiesen. Da die Maschinen dort aber teilweise auch sehr schnell wieder gekillt werden und das System neu aufgesetzt wird, gibt es dort auch "floating IPs". Die "bucht" man und kann die Maschine killen, eine neue aufsetzen und der neuen Maschine die gleiche IP zuweisen.

Die Maschine über die wir hier sprechen hat also zwei IP-Adressen. Ich nutze die Floating-IP für alle Aktionen.
DNS ist also auf die Floating IP eingestellt, auch der SSH-Zugriff funktioniert über diese IP.
(ssh root@adminpanel.example.com -> läuft)
Ebenso wie erwähnt der Zugriff auf die webinhalte. Alles über die FloatingIP erreichbar. Insofern denke ich, dass die IP auf dem System korrekt konfiguriert ist.

Dennoch nimmt der Server keine FTP Verbindungen an. Weder unter der einen IP, noch unter der anderen.
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: FTP-Connection schlägt fehl - Brandneue Installation

Post by Florian »

Hallo,


Ist da noch irgendwas vorgeschaltet was blockieren kann?

Bitte auch mal mit telnet die Verbindung auf Port 21 testen, einmal auf dem Server selbst "telnet localhost 21" und von extern "telnet IP 21"
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Pinky
Posts: 29
Joined: Mon 28. Sep 2020, 11:14

Re: FTP-Connection schlägt fehl - Brandneue Installation

Post by Pinky »

Hatte den letzten Teil überlesen - zwischenzeitlich schon oben ergänzt.

Telnet auf der keyhelp-Installation:

Code: Select all

root@example:~# telnet localhost 21
-bash: telnet: command not found
Telnet lokal:

Code: Select all

me@home:~/.ssh$ telnet adminpanel.example.com 21
Trying 1.2.3.4...
Keine weitere Ausgabe - offenbar keine Antwort.
Pinky
Posts: 29
Joined: Mon 28. Sep 2020, 11:14

Re: FTP-Connection schlägt fehl - Brandneue Installation  [GELÖST]

Post by Pinky »

Florian wrote: Wed 15. Jun 2022, 11:15 Ist da noch irgendwas vorgeschaltet was blockieren kann?

Argh!

Der Kommentar hat mich darauf gebracht, dass die eingerichteten Firewalls auch auf dieser Maschine aktiv sind - und Port 21 vollständig wegblocken.

Entschuldige, riesen Zeitverschwendung.
Die Verbindung läuft jetzt einwandfrei.
Locked