Page 1 of 1
Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 11:34
by Tobi7889
Moin zusammen,
ein Kunde hat die Anforderung, dass er seine eigene Domain als FTP Server angibt.
Dieses passiert auf verschiedener Richtlinien nach dem folgenden Schema:
transfer.domain.de
Darauf verbinden sich verschiedene Dienstleister zum Dateitransfer.
Er möchte nicht den Hostname rausgeben und benötigt diese Domain. Das klappt soweit auch, nur dass der FTP Client dann natürlich meckert, dass das Zertifikat ungültig ist, da der proftpd ja das Zertifikat mit dem Hostname nutzt.
Nun hatte ich einmal getestet über die virtuals.conf in Proftpd diesen Host hinzuzufügen mit seinem Lets Encrypt Zertifikat, das hatte auch soweit geklappt, nur scheitert er dann an der Anmeldung und sagt, dass die User Credentials falsch seien.
In der neu angelegten Log meldet er dann:
2025-02-18 17:14:30,358 mod_tls/2.9.2[341254]: TLS/TLS-C requested, starting TLS handshake
2025-02-18 17:14:30,405 mod_tls/2.9.2[341254]: TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
2025-02-18 17:14:30,439 mod_tls/2.9.2[341254]: SSL_shutdown error: SSL:
(1) error:0A000126:SSL routines::unexpected eof while reading
(2) error:0A000197:SSL routines::shutdown while in init
Und im ProFTPD Log sehe ich, dass die Verbindung aufgebaut wurde, der User aber nicht bekannt sei -> Wenn ich den VirtualHost nicht aktiv habe geht aber genau dieser User.
Habt Ihr dazu Ideen, wie ich die Anforderung am besten umsetzen kann?
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 11:43
by Jolinar
Tobi7889 wrote: ↑Wed 19. Feb 2025, 11:34
Nun hatte ich einmal getestet über die virtuals.conf in Proftpd diesen Host hinzuzufügen mit seinem Lets Encrypt Zertifikat, das hatte auch soweit geklappt, nur scheitert er dann an der Anmeldung und sagt, dass die User Credentials falsch seien.
Was genau hast du denn in der Konfig eingetragen?
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 11:51
by Tobi7889
Code: Select all
<VirtualHost transfer.domain.de>
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls-transfer.domain.de.log
TLSProtocol ALL -SSLv3 -TLSv1 -TLSv1.1
TLSCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLSRSACertificateFile /etc/ssl/keyhelp/letsencrypt/username/transfer.domain.de/fullchain.pem
TLSRSACertificateKeyFile /etc/ssl/keyhelp/letsencrypt/username/transfer.domain.de/private.pem
TLSOptions NoSessionReuseRequired
TLSVerifyClient off
# Are clients required to use FTP over TLS when talking to this server?
TLSRequired on
# Allow SSL/TLS renegotiations when the client requests them, but
# do not force the renegotations. Some clients do not support
# SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
# clients will close the data connection, or there will be a timeout
# on an idle data connection.
TLSRenegotiate required off
</IfModule>
</VirtualHost>
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 12:02
by Jolinar
Innerhalb des <VirtualHost>-Blocks fehlt die Definition, wie die Benutzer authentifiziert werden sollen. ProFTPD benötigt eine explizite Anweisung, welche Benutzerdatenbank oder Authentifizierungsmethode verwendet werden soll. Ohne diese Angabe greift ProFTPD möglicherweise auf eine Standardkonfiguration zurück, die nicht mit den für den VirtualHost gedachten Benutzern übereinstimmt.
Der Parameter ist normalerweise nicht notwendig.
Hat der ProFTPD Prozeß überhaupt Zugriff auf die Zertifikate?
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 12:11
by Tobi7889
Den Parameter hatte ich erstmal über die Standard tls.conf mitgenommen, damit ich ein 1:1 identisches Schema habe.
Weißt du gerade zufällig, wie die Definition lauten muss, damit er die UserDB entsprechend ziehen kann, aus Keyhelp?
Die Zertifikate kann er abfragen, er spielt auch das korrekte aus und erkennt die Verschlüselung korrekt, glaube hier eher nach deinem Einwurf an die UserDB als Fehler.
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 15:08
by Florian
Hallo,
das funktioniert schon so. Folgende Option musst du aber noch setzen:
Code: Select all
Include /etc/proftpd/sql.conf
DefaultRoot ~
Ersteres sorgt dafür, dass auch die Zusatz-FTP-Benutzer funktionieren. Das Zweite schließt den User in seinem Verzeichnis sein.
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 16:58
by Tobi7889
Damit kommen wir schonmal rein, teilweise kommt es zu Verbindungsabbrüchen oder einige User kriegen die Verzeichnisinhalte nicht dargestellt.
Im Log kommt spannenderweise das folgende, obwohl der Login klappt:
Code: Select all
Feb 19 16:40:29 serverdomain.de proftpd[713512]: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd713512 ruser=ftp_user_3 rhost=0.0.0.0
Feb 19 16:40:53 serverdomain.de proftpd[713686]: pam_unix(proftpd:auth): check pass; user unknown
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 17:04
by Florian
Hallo,
vielleicht musst du die passive Ports Anweisung noch übernehmen aus der proftpd.conf
Nicht angezeigte Verzeichnisse sind eigentlich immer ein Firewallproblem.
Re: Eigene FTP Adresse
Posted: Wed 19. Feb 2025, 21:26
by Tobi7889
Das mit den Passive Ports war das entscheidende, vielen Dank!
Re: Eigene FTP Adresse
Posted: Thu 20. Feb 2025, 15:27
by Tobi7889
Leider gibt es doch einen Fehler, offenbar zieht er nicht alle Berechtigungen korrekt:
Befehl: STOR test.csv
Antwort: 550 test.csv: Overwrite permission denied
Fehler: Kritischer Dateiübertragungsfehler
Code: Select all
Status: Initialisiere TLS...
Status: TLS-Verbindung hergestellt.
Status: Angemeldet
Status: Starte Upload von C:\Users\NutzerName\Documents\Kunden\Kundenname\test.csv
Befehl: CWD /
Antwort: 250 CWD command successful
Befehl: TYPE I
Antwort: 200 Type set to I
Befehl: PASV
Antwort: 227 Entering Passive Mode (185,242,115,117,117,94).
Befehl: STOR test.csv
Antwort: 550 test.csv: Overwrite permission denied
Fehler: Kritischer Dateiübertragungsfehler
Status: Verbindung zum Server getrennt
Status: Verbindung zum Server getrennt: ECONNABORTED - Verbindung abgebrochen
Hat hier noch jemand eine Idee?
Re: Eigene FTP Adresse [GELÖST]
Posted: Thu 20. Feb 2025, 16:02
by Florian
Hallo,
du musst einfach in die proftp.conf gucken, was da helfen könnte und was da in die virtuals.conf übertragen werden muss.
Ich vermute:
Code: Select all
AllowOverwrite on
AllowRetrieveRestart on
AllowStoreRestart on
sind solche Optionen, die noch fehlen.
Re: Eigene FTP Adresse
Posted: Thu 20. Feb 2025, 16:51
by Tobi7889
Super, vielen Dank