Caps Services - Forum

Bonjour,

Depuis la migration vers la box2, je rencontre des soucis pour mes connexions FTP vers mon raspberry (via proftpd).
Le port 21  est pourtant bien ouvert sur ma box.
Cela passait bien avec la box1... Y a de nouveaux paramétrages à faire sur l'icotera ?
La connexion FTP fonctionne bien en local par contre..
Merci

Fred

Tu as essayé en sftp ?

C'est quand meme mieux...

Salut,

Avec l'icotera pour les connexion FTP en mode passif il faut rédiger les ports passif, en mode actif normalement tu ne doit pas avoir de problème.

Autrement je suis du même avis que @enthanal, sftp c'est bien mieux :)

bonjour,

le sftp demande un compte user sur la machine, le "ftp" un user qui peux être virtuel

le ftp actif les port 21 et 20 sont ouvert vers l'exterieur (le control channel 21 et le data channel 20 attendent les connexions)

le ftp en mode passif tu ouvres un range de port de ton serveur ftp, tu défini ce range dans la conf de ton serveur  et seul le 21 est ouvert vers l'extérieur (input) le data channel enverra la data par ce range de port vers TON client sur le port que TON client aura imposé par le control channel

Perso en FTP et en SFTP, je crée un user PAM systématiquement, après je comprends que ça puisse embêter certains.

et pour les bon gros barbu il y a glftpd (ou ton daemon tourne dans une jail ) une fois de plus tout est question de besoin, de temps, de connaissance, d'envie ....

Sur mes infras, le FTP c'est vraiment du "legacy" destiné aux hébergements mutualisés de Wordpress (qui demande un FTP pour les MàJ), sinon je motive mes utilisateurs à passer à SFTP :)

Merci de vos réponses, je vais étudier cela.
Par contre je ne m'explique pas pourquoi tout fonctionnait avec la kboxV1 et que cela pose maintenant pb avec la kboxV2..
Je n'ai rien changé de la config de proftpd et j'ai bien redirigé mon port 21.
Le ftp passif passe bien en local mais plus en distant...

Fred

Il y'a d'autres ports à ouvrir en passif, dans ton proftpd tu alloues une plage pour ça il me semble.

C'est ce que j'ai fait en activant la ligne :
PassivePorts                  49152 65534
(qui était désactivé jusqu'à présent alors que tout fonctionnait)
mais cela ne change rien ;((

Fred

Citation de: Fred1 le 10 Décembre 2016 à 01:06:28
Par contre je ne m'explique pas pourquoi tout fonctionnait avec la kboxV1 et que cela pose maintenant pb avec la kboxV2..

C'est une régression par rapport à la kboxv1 (netgear), k-net est au courant, j'ai longtemps discuté de ça avec Anthony. Sur la kboxV2 il faut en plus forward les ports passif + réglé dans ton proftpd "MasqueradeAddress" ou/et utiliser ipv6 ;)

Et on peut rediriger un range de ports ?
J'ai essayé un tiret 3000-31000 mais ça ne passe pas...
Fred

Citation de: Fred1 le 10 Décembre 2016 à 12:17:58
Et on peut rediriger un range de ports ?
J'ai essayé un tiret 3000-31000 mais ça ne passe pas...
Fred

Dans le panel mette 3000:31000 ?

Nickel, merci à vous.
En ajoutant dans le proftpd.conf :
MasqueradeAddress       monip
PassivePorts 60000 65535
et en ouvrant le range de ports 60000-65535 sur la kbox2 ça roule.

C'est pas gênant côté sécurité d'ouvrir tout ces ports ?
Comment se fait-il qu'avant ce n'était pas nécessaire ? C'était à l'arrivée sur le port 21 que la redirection se faisait ?

J'ai l'ipv6 d'activé.
Quand je tente de me connecter en ftp via mon nom de domaine qui pointe vers mon ip interne (ipv4 en A et ipv6 en AAA), cela ne passe pas.
J'ai pourtant bien récupéré l'ipv6 qui s'affiche dans le panel de la kbox...

Encore une astuce pour que cela fonctionne ?

On trouve quelque part un récapitulatif des différences de paramétrages à opérer lors de la migration ? Les utilisateurs gagneraient du temps ;((

Merci
Fred

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
C'est pas gênant côté sécurité d'ouvrir tout ces ports ?

Non, tu n'as pas plus de risque que de forward que le port 21

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
Comment se fait-il qu'avant ce n'était pas nécessaire ? C'était à l'arrivée sur le port 21 que la redirection se faisait ?

Je pense que sur l'icotera il n'y a pas les modules ip_conntrack_ftp et ip_nat_ftp (ouverture dynamique des ports nécessaires en fonction des échanges FTP sur le canal de commande et "masquerading" des adresses IP et des ports dans ces échanges). Icotera a dit à Anthony que ces modules sont bien activé mais je pense que non,il faut que je fasse des tests pour être sur de ça.

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
Quand je tente de me connecter en ftp via mon nom de domaine qui pointe vers mon ip interne (ipv4 en A et ipv6 en AAAA), cela ne passe pas.
J'ai pourtant bien récupéré l'ipv6 qui s'affiche dans le panel de la kbox...

si tu ping6 sur ton fqdn, ça répond bien ?
Il faut que ton client soit aussi en ipv6 pour que ça fonctionne.

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
On trouve quelque part un récapitulatif des différences de paramétrages à opérer lors de la migration ? Les utilisateurs gagneraient du temps ;((

Non malheureusement ces routeurs sont destinés à messieurs et à madame Michu

Le ping6 est ok.
Par contre http://ipv6-test.com/ (http://ipv6-test.com/) me renvoie un score de 17/20 car pas de hostname sur l'ipv6.
A priori l'ipv6 indiquée sur le panel de la kbox ne convient pas au champ AAA de mon nom de domaine.
Je vais tenter avec l'ipv6 affichée par ipv6-test.com
A voir si cela solutionne mon pb après propagration des DNS...

Fred

Attention, un AAAA n'est pas un reverse DNS ! Pour ça c'est un PTR et il faut avoir des serveurs de nom, tout ça tout ça

Je mélange effectivement les choses ;(
J'ai bien modifié le reverse DNS pour qu'il pointe vers mon nom de domaine via caps.services mais à priori il ne concerne que l'ipv4 et pas l'ipv6.

Avec https://ftptest.net, voici ce que j'obtiens en lançant une connexion FTP port 21 via mon nom de domaine comme host :
Warning: While the entered hostname resolves to an IPv6 address, the connection could not be established using the IPv6 address. -> normal à priori puisque pas de reverse
Status: Data connection established.
Reply: 150 Ouverture d'une connexion de données en mode BINARY pour MLSD
Error: Malformed directory listing
Error: Line feed received without preceding carriage return

Malgré les 2 dernières erreurs, la connexion passe.

Sur un serveur distant, je tente d'accéder à mon raspberry qui est branché sur la kboxV2 par mon nom de domaine :
ncftp -u user monnomdedomaine -> nickel ça marche

par contre pour le sftp et ssh, ça merdouille encore : la connexion avec l'adresse ip fonctionne sans pb alors que la connexion avec le nom de domaine mets un petit moment avant de s'enclencher (elle finit tout de même par fonctionner...). Encore un pb avec mon ipv6 non ?

Fred

Citation de: Fred1 le 11 Décembre 2016 à 19:18:33
Warning: While the entered hostname resolves to an IPv6 address, the connection could not be established using the IPv6 address. -> normal à priori puisque pas de reverse

J'ai pas compris, pourquoi aurais-tu besoin d'un reverse pour te connecter ?

Moi non plus je ne comprends pas ;(
La lenteur de la connexion semble provenir du fait que c'est l'adresse ipv6 associée à mon nom de domaine qui pose pb et qui se résous après en se connectant sur l'ipv4 après automatiquement :

Status: Resolving address of monsous.domaine.fr
Lors de la connexion FTP,
Status: Connecting to 2a03:4980::13:0:42a

Error: Connection attempt timed out
Status: Connecting to 185.45.33.68

Warning: While the entered hostname resolves to an IPv6 address, the connection could not be established using the IPv6 address.

Tout marchait nickel avec la kbox1 ;((

Fred

Ton service FTP n'écoute pas sur cette adresse IPv6. Voir même pas en IPv6 tout court ^^

J'ai pourtant bien mis à on dans proftpd.conf
UseIPv6                         on

et vérifié que mon raspberry tournait bien en ipv6. Un ifconfig m'affiche bien une ipv6 :
eth0      Link encap:Ethernet  HWaddr b8:27:eb:db:f8:fe
          inet adr:192.168.1.12  Bcast:192.168.1.255  Masque:255.255.255.0
          adr inet6: fe80::7a55:e3ee:9df0:86fe/64 Scope:Lien
          adr inet6: 2a03:4980:1d:c200:5fdc:ea39:3c2:a151/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8648560 errors:2 dropped:1 overruns:0 frame:2
          TX packets:4785212 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:2564652512 (2.3 GiB)  TX bytes:860568515 (820.7 MiB)


Par contre, je ne fais pas de redirection de port ipv6 sur la kbox car à priori pas possible. Ce serait là le pb ?

FRed

Je vois bien un FTP sur cette IP, mais ce n'est pas celle que tu as mise en AAAA !  ;)


[hugues@atlantis:~] ftp 2a03:4980:1d:c200:5fdc:ea39:3c2:a151
Connected to 2a03:4980:1d:c200:5fdc:ea39:3c2:a151.
220 Serveur FTP 185.45.33.68 prêt

Par contre attention, tu parles de redirection de ports. Mais en IPV6 justement, il n'y a pas de notion de redirection de ports en v6, parce que tu as des millions d'adresses disponibles. Tu n'aurais pas mis l'IPv6 de ta box en AAAA ?

Bien vu, j'avais effectivement mis l'ipv6 de la box.
Je viens de remplacer par l'ipv6 du raspberry et ça fonctionne nickel !
Je prends note qu'il n'y a pas besoin d'ouvrir de ports par contre, je ne comprends pas comment peut se faire la liaison entre  le nom de domaine et l'ipv6 du raspberry qui est derrière la box...
Il va falloir que je me documente sur l'ipv6 ;)

Merci
Fred

En IPv6, toutes tes IP sont publiques et accessibles de n'importe où en gros.

Du coup pour en revenir à mon problème initial de redirection, plus besoin d'ouvrir de port 21, ports passifs, 22... avec ipv6.
C'est bon ça ;)
Par contre côté sécurité je ne sais pas comment cela se gère. J'utilisais fail2ban mais il ne fonctionne qu'en ip4...

J'en ai appris des choses grâce à la vbox2 ;)

Fred

Fail2Ban peut fonctionner en IPv6 il me semble.. Après il faut déjà arriver à trouver ton adresse IP, vu le nombre  ;D

On peut effectivement patcher fail2ban mais pas testé.
L'ipv6 qui est attachée à un nom de domaine est facilement identifiable via host par exemple.

Fred