# proftpd ECONNREFUSED - Connection refused by server



## jimb0p (9. Januar 2017)

Hallo Zusammen,

bekomme beim Versuch eine FTP TLS Verbindung zu meinem Server aufzubauen von außerhalb immer die im Titel angegebene Fehlermeldung. Innerhalb des LANs funktioniert es fehlerfrei. Habe als Masquerade meine DynDNS Adresse hinterlegt welche auch die korrekte IP enthält. Die passiven Ports in der config Datei habe ich auch geforwareded auf die IP. Jemand eine Idee was noch das Problem hervorrufen kann? 

Gruß!


----------



## sheel (10. Januar 2017)

Hi

Der Server steht daheim (?), innerhalb des Lans gehts, aber nicht von außen (?).
Welche Adresse ist in welchem Gerät als "Masquerade" (?) hinterlegt? Und wozu?
Wie schaut die Config aus (nur die nicht-geheimen Teile)?
Welche Ports sind konkret forgewarded?
Sind alle relevanten Firewalls geprüft (welche)?
Gibt es andere Dienste am Server, sind die erreichbar?
Welches Clientprogramm wird verwendet?
Und spricht etwas gegen SFTP?

(Ich weiß, viele Fragen )


----------



## jimb0p (11. Januar 2017)

Hi sheel,



> Der Server steht daheim (?), innerhalb des Lans gehts, aber nicht von außen (?).


ja und ja



> Welche Adresse ist in welchem Gerät als "Masquerade" (?) hinterlegt? Und wozu?


Im Server ist eine dyndns Adresse als Masquerade hinterlegt, habe gelesen das ist notwendig wenn man von extern zugreifen möchte und die IP wechselt.



> Wie schaut die Config aus (nur die nicht-geheimen Teile)?




```
Include /etc/proftpd/modules.conf

UseIPv6                off

IdentLookups            off

ServerName            "~ Privater FTP Server - Debian ~"
ServerType            standalone
DeferWelcome            off

MultilineRFC2228        on
DefaultServer            on
ShowSymlinks            on

TimeoutNoTransfer        600
TimeoutStalled            600
TimeoutIdle            1200

DisplayLogin                    welcome.msg
DisplayChdir                   .message true
ListOptions                    "-l"

DenyFilter            \*.*/

DefaultRoot            ~

RequireValidShell        off

Port                21

PassivePorts                  49152 50000

MasqueradeAddress        foo.bar.com

MaxInstances            30

User                proftpd
Group                nogroup

Umask                022  022

AllowOverwrite            on

AuthOrder             mod_auth_file.c mod_auth_unix.c

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

Include /etc/proftpd/conf.d/

UseReverseDNS off
AuthUserFile /etc/proftpd/ftpd.passwd
AuthPam off

<IfModule mod_tls.c>
TLSEngine                  on
TLSLog                     /var/log/proftpd/tls.log
TLSProtocol                SSLv23
TLSOptions                 NoCertRequest
TLSRSACertificateFile      /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile   /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient            off
TLSRequired                on
</IfModule>
```



> Welche Ports sind konkret forgewarded?


21 und 49152-50000 von WAN an den lokalen Server



> Sind alle relevanten Firewalls geprüft (welche)?


In meinem OpenWrt ist das Portforwarding, muss ich unter Debian auch was forwarden?



> Gibt es andere Dienste am Server, sind die erreichbar?


Für extern nicht, nur intern Samba, klappt problemlos



> Welches Clientprogramm wird verwendet?


Aktuell Filezilla, soll aber in ein MSSQL Backup Tool eingetragen werden



> Und spricht etwas gegen SFTP?


Das Backup Tool unterstützt kein SFTP mit Key, daher ist es keine Option. 

Danke für deine Hilfe.
Gruß!


----------



## sheel (11. Januar 2017)

jimb0p hat gesagt.:


> Im Server ist eine dyndns Adresse als Masquerade hinterlegt


Ich nehme an, das bedeutet "Der Server ruft regelmäßig eine DynDNS-Adresse auf, damit die die neue IP bekommen und ihre Domain entsprechend umleiten können". Um auszuschließen, dass die DynDNS-Domain evt. zu einer falschen IP auflöst und deshalb von extern einfach nichts erreichbar ist: Hast du das einmal verglichen? Mit nslookup usw. die IP zur Adresse abfragen und mit der lokalen externen IP vergleichen.



jimb0p hat gesagt.:


> habe gelesen das ist notwendig wenn man von extern zugreifen möchte und die IP wechselt.


Wirklich "notwendig" ist es nicht. Wenn man immer die aktuelle IP irgendwie anders weiß kann man sie natürlich immer eingeben.



jimb0p hat gesagt.:


> In meinem OpenWrt ist das Portforwarding,


NAT+Portforwarding und Firewalls sind nicht das Selbe. Ersteres ist eine Krücke im Netzwerkaufbau wegen zu wenig IPv4-Adressen, mehr nicht. Letzteres erlaubt oder verbietet Verbindungen nach verschiedenen Kriterien (abhängig davon wie gut die Firewall ist geht das von "Port x immer/nie" über bestimmte Adressen die rein dürfen, Portknocking, zu Inhaltsüberprüfung usw.).

OpenWRT hat eine FW, bei der anfangs alle Verbindungsversuche von außen verboten sind (zumindest laut Internet, und das ist auch gut so). Das umstellen und wieder probieren...
Wie es mit Debian ausschaut hängt von den IpTables-Einstellungen bzw. weiteren Programminstallationen (ufw...) ab.



jimb0p hat gesagt.:


> Das Backup Tool unterstützt kein SFTP mit Key


Heißt das, es geht ohne Key zumindest? Wäre dann trotzdem eine Überlegung wert, Keys sind nicht verpflichtend.
Vorteile:
a) Kein Problem mit tausenden passiven Ports oder Ähnlichem, ein Port reicht für alles.
b) Kein Problem mit alten unsicheren SSL-Versionen.
c) FTPS ist in manchen Punkten generell nicht so sicher wie es sein könnte.
Nachteil:
Etwas umständlicher einzurichten.


----------

