[Résolu] Connexion FTP à un NAS avec SSL/TLS via une Freebox

[josh99]

Bonjour,

 

Je viens de configurer une connexion FTP à un NAS avec SSL/TLS via une Freebox, aucun souci pour y accéder en local mais impossible avec l’adresse WAN de la Freebox depuis le réseau local.

J’ai bien redirigé les ports sur la Freebox vers le serveur NAS, je pense que ça doit venir du fait que je me connecte depuis le réseau local.

 

Sur le NAS :

Adresse Ip dynamique par DHCP

FTP activé (port defautl)

HTTPS activé (port defautl)

 

Sur la Freebox :

Adresse Ip fixe

Baux DHCP permanent 192.168.0.102 pour le NAS

Ports 20.21.443.989.990 en tcp/udp redirigés sur ip 0.102 du NAS

 

J’obtiens les codes erreur suivant sur Filezilla:

Statut : Connexion à 82.xx.xx.xx :21…

Statut : Connexion établie, attente du message d’acceuil…

Réponse : 220 vsFTPd 2.0.7+ (ext.1) ready..

Commande : AUTH TLS

Réponse : 234 Proceed with negotiation.

Statut : Initialisation de TLS…

Statut : Vérification du Certificat…

Commande : USER Castres

Statut : Connexion TLS/SSL établie.

Réponse : 331 Please specify the password.

Comnande : PASS*************

Réponse : 230 Login successful.

Commande : SYST

Réponse : 215 UNIX Type :L8

Commande : FEAT

Réponse : 211-Features :

Réponse : AUTH SSL

Réponse : AUTH TLS

Réponse : EPRT

Réponse : MDTM

Réponse : UTF8

Réponse : PBSZ

Réponse : PROT

Réponse : REST STREAM

Réponse : SIZE

Réponse : TVFS

Réponse : 211 End

Commande : OPTS UTF8 ON

Réponse : 200 UTF8 option is On.

Commande : PBSZ 0

Réponse : 200 PROT now Private.

Statut : Connecté

Statut : Récupération du contenu du dossier…

Commande : PWD

Réponse : 257 ‘’/’’

Commande : TYPE I

Réponse : 200 Switching to Binary mode.

Commande : PORT 192,168,0,202,9,37

Réponse : 500 Illegal PORT command.

Commande : PASV

Réponse : 550 Permission denied.

Erreur : Impossible de récupérer le contenu du dossier

Erreur : GnuTLS error -8: A record packet with illegal version was received.

Erreur : Déconnecté du serveur : ECONNABORTED - Connection aborted

Modifié le 4 avril 2011 par josh99

[josh99]

J’ai lu les points suivant dans le Kit de Ressources Techniques Windows 2000 Server concernant le VPN dans un environnement NAT:

- Le trafic L2TP sur IPSec est non traduisible par un NAT car le numéro du port UDP est crypté et sa valeur protégé par un total de contrôle cryptographique.

- Impossibilité de distinguer plusieurs flots de données ESP IPSec

- Impossibilité de modifier les totaux de contrôle TPC/UDP

 

Ce qui confirmerait ma première impression comme quoi je ne peux pas y accéder avec l’adresse WAN depuis le réseau local car derrière une Freebox en Routeur NAT.

 

Pour info le NAS est un Seagate BlackArmor 420 avec Firmware à jour

J’ai bien activé la fonction [Global Access] pour qu’il accepte les connexions venant d’Internet

La redirection de port UPnP pour l'accès Internet et FTP est activée sur le NAS

Il est raccordé directement à une Freebox V5 avec Firmware à jour, le UPnP y est activé.

Le UPnP n’est activé que pour faciliter la connexion du réseau DLNA.

 

Ci-joint la redirection de ports sur la Freebox :

20.21.22 tpc/udp vers ip NAS

47.50.443.989.990 tcp/udp vers ip NAS

500.1701 udp vers ip NAS

1723 tcp vers ip NAS

 

J’ai refait le test avec le Firewall du PC et l’anti virus désactivés et c’est pareil.

 

Dois-je mettre l’adresse IP du NAS en tant que DMZ pour y accéder en dehors du réseau local ?

[Greywolf]

le problème vient du fait que le client FTP indique une adresse privée dans sa commande PORT, il faut qu'il indique au serveur distant son adresse publique et que la passerelle soit suffisamment intelligente pour autoriser cette seconde connexion FTP liée à la première.

Dans filezilla, tu dois pouvoir indiquer l'adresse à utiliser.

 

Concernant PASV, il faut que le serveur autorise cette fonctionnalité

[josh99]

Si je mets dans FileZilla l’IP locale du Serveur FTP cela fonctionne, mais pas avec l’adresse publique de la Freebox.

Je pense que la Feebox V5 est en cause car elle fait également routeur NAT.

Dois-je mettre l’adresse IP locale du NAS en tant que DMZ pour y accéder en dehors du réseau local ?

 

Configuration FileZilla:

Hôte : IP Publique Freebox

Port 21

Protocole : FTP – Protocole

Chiffrement : Connexion FTP explicite sur TLS

Type d’authentification : Normale

Id : xxxxxx

Pass : xxxxxx

Type de serveur : Par défaut (détection automatique)

Mode de transfert : par défaut

 

 

Dans FileZilla j’ai lancé l’'Assistant de configuration du Routeur et du Pare-Feu' :

Mode transfert : Passif (recommandé)

Autoriser un retour sur un autre mode

Utiliser à la place l’adresse IP externe des serveurs

Utiliser l’adresse IP externe

Demander un port au système d’exploitation

 

TEST :

Connexion à probe.filezilla-project.org

Réponse : 220 FZ router and firewall tester ready

USER FileZilla

Réponse : 331 Give any password.

PASS 3.4.0

Réponse : 230 logged on.

Vérification de l'adresse IP externe correcte

IP 82.242.42.132 ic-cec-ec-bdc

Réponse : 200 OK

PREP 65483

Réponse : 200 Using port 65483, data token 1878246613

PORT 82,xxx,xxx,xxx,255,203

Réponse : 200 PORT command successful

LIST

Réponse : 150 opening data connection

Réponse : 503 Failure of data connection.

Le serveur a envoyé une réponse inattendue.

Connexion interrompue

[josh99]

D’après ce que j’ai pu lire sur Internet:

- Pour que cela fonctionne avec une adresse WAN depuis le réseau local il faut avoir un autre routeur derrière la Freebox, car depuis le réseau LAN avec une IP publique ce n'est pas la Freebox qui pause problème mais la limitation du FAI à une seule IP public.

Alors que si on place un routeur derrière on n'a plus cette limitation d'une seule IP et c'est le routeur dans ce cas qui devra avoir un serveur DNS inclus qui l'attribuera.

- Concernant l’intérêt de mettre le NAS en DMZ, vu qu’il n’a pas de Firewall propre je l’ai retiré de la DMZ en attendant de voir si cela fonctionne correctement avec mes redirections de ports depuis Internet.

[josh99]

Je viens de vérifier ma connexion depuis l'extérieur du réseau local et cela fonctionne !