Proftpd TLS connexion qui n'aboutit pas : sans erreur

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Proftpd TLS connexion qui n'aboutit pas : sans erreur

Gkide

Bonjour,

J'ai installé mon dédié Online avec une version Desktop : la Kunbuntu.

puis j’installe proftpd avec TLS sans problème de fonctionnement...

3 jours après, en voulant me connecter au ftp, impossible, je remarque que la connexion n’aboutit jamais :

Statut :	Connexion à xxx.xxx.xxx.xxx:21...
Statut :	Connexion établie, attente du message d'accueil...
Statut :	Initialisation de TLS...
Erreur :	Connection interrompue après 20 secondes d'inactivité
Erreur :	Impossible d'établir une connexion au serveur
Statut :	Attente avant nouvel essai...
Statut :	Connexion à  xxx.xxx.xxx.xxx:21...
Statut :	Connexion établie, attente du message d'accueil...
Réponse :	220 ProFTPD 1.3.5rc3 Server (Debian) [::ffff: xxx.xxx.xxx.xxx]
Commande :	AUTH TLS
Réponse :	234 AUTH TLS successful
Statut :	Initialisation de TLS...
Erreur :	Connection interrompue après 20 secondes d'inactivité
Erreur :	Impossible d'établir une connexion au serveur

J'avais touché à rien.

Je regarde les log avec tail -f /var/log/tls et proftpd
je ne vois rien de spécial :

2015-10-03 11:47:39,861 mod_tls/2.4.5[21334]: TLS/TLS-C requested, starting TLS handshake
2015-10-03 11:48:04,957 mod_tls/2.4.5[21457]: TLS/TLS-C requested, starting TLS handshake
2015-10-03 11:52:50,301 mod_tls/2.4.5[22899]: TLS/TLS-C requested, starting TLS handshake
2015-10-03 11:53:15,400 mod_tls/2.4.5[23022]: TLS/TLS-C requested, starting TLS handshake

root@sd-xxxx:/var/log/proftpd# tail -f proftpd.log
2015-10-03 00:34:21,985 : FTP session opened.
2015-10-03 00:36:51,043 : FTP session opened.

2015-10-03 00:38:56,908 : Login timeout exceeded, disconnected
etc etc

Bon ... que faire .

Je venais juste de l'installer encore rien dessus d'important... paf je réinstalle au propre...
J'installe proftpd version de base
connection au ftp : OK
je réinstalle le TLS.... rebelote : même problème

Que se passe t il ?

Processus d'installation du FTP :

sudo su
apt-get install proftpd
nano /etc/proftpd/proftpd.conf

dé-commente la ligne : Include /etc/proftpd/tls.conf

CTRL X

nano /etc/proftpd/tls.conf

Ajout de :

TLSEngine on
    TLSLog /var/log/proftpd/tls.log

    
    TLSProtocol TLSv1

   
    TLSRequired on

    
    TLSRSACertificateFile /etc/ssl/certs/proftpd.cert
    TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key

    TLSVerifyClient off
    TLSRenegotiate none

CTRL X

puis :

openssl genrsa -out /etc/ssl/private/proftpd.key 1024
openssl req -new -x509 -days 3650 -key /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt

et enfin le restart de proftp.

Merci de votre aide.

Gkide

Salut,

personne n'a d'idée pour mon petit problème ?

Merci

Solinvictus

Tu t'y connectes par le biais de quel client ? Il est à jour ce client ?

Ikoula

Un port à ouvrir peu être ? Tu peux faire un
#netstat -ano

Gkide

Je me connecte avec filezilla a jour, testé sur 2 machines différentes et un pour être sur un autre client Ftp donc me souviens plus le nom.

un port je pense pas, avec ou sans tls le port reste le 21.

je viens de retesté sans tls aucun problème de connexion, dès que l'active ca fait ca, comprend pas.

Mais sans le vouloir je viens de découvrir un truc encore plus bizarre

Explications :

Lors de ce test je me suis connecté avec le TLS désactivé : donc aucun problème je suis rentré sur le ftp.
Puis sans me déco dans fillezilla(involontairement), j'ai réactivé le tls sur proftpd et je l'ai redémarré, et là ... en actualisant le dossier depuis filezilla... ca fonctionne toujours !?!

OK, je me dit super, le problème c'est réglé comme il est venu... tout seul.

Mais pour être sûr et certain, je ferme FilleZilla, je ferme proftpd, je restart proftpd (tls toujours activé dans la conf), je restart fillezilla... et non, impossible de me connecter de nouveau.

J'espère avoir été clair.

Ikoula

Fait nous un #netstat -ano ça te coûte rien après j'ai envie de te demander tu as regardé dans les logs de proftpd ?

Gkide

J'ai mis, dans mon premier post, un extrait des logs de proftpd et tls, y a rien.

xxxx wrote:root@xxxx:/home/user# netstat -ano
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State Timer
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 0.0.0.0:21335 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 0.0.0.0:58315 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 0.0.0.0:8112 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 0 0 0.0.0.0:4433 0.0.0.0:* LISTEN off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:51670 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:55612 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:51675 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:51676 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 0 149952 xxx.xxx.xxx.xxxx:58315 xxx.xxx.xxx.xxxx:53974 ESTABLISHED unkn-4 (0.07/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:55608 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:55611 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:59296 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:59301 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 0 68 xxx.xxx.xxx.xxxx:22 xxx.xxx.xxx.xxxx:46623 ESTABLISHED on (35.22/7/0)
tcp 1 0 xxx.xxx.xxx.xxxx:51672 1xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:59298 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:59305 1xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:59300 16xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:59304 16xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:55610 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 0 720 xxx.xxx.xxx.xxxx:22 xxx.xxx.xxx.xxxx:39353 ESTABLISHED on (0.64/0/0)
tcp 1 0 xxx.xxx.xxx.xxxx:55607 xxx.xxx.xxx.xxxx:80 CLOSE_WAIT off (0.00/0/0)
tcp 0 64 xxx.xxx.xxx.xxxx:22 xxx.xxx.xxx.xxxx:62260 ESTABLISHED on (0.39/0/0)
tcp 0 0 xxx.xxx.xxx.xxxx:21335 xxx.xxx.xxx.xxxx:58668 ESTABLISHED off (0.00/0/0)
tcp6 0 0 :::4434 :::* LISTEN off (0.00/0/0)
tcp6 0 0 :::21 :::* LISTEN off (0.00/0/0)
tcp6 0 0 :::22 :::* LISTEN off (0.00/0/0)
tcp6 0 0 ::1:631 :::* LISTEN off (0.00/0/0)
tcp6 0 0 ::1:953 :::* LISTEN off (0.00/0/0)
tcp6 0 0 :::58315 :::* LISTEN off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:59887 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:60649 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:36644 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 0.0.0.0:45159 0.0.0.0:* off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:46013 3xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 0.0.0.0:5353 0.0.0.0:* off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:54952 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 0.0.0.0:46905 0.0.0.0:* off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:47332 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:55715 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 0.0.0.0:47619 0.0.0.0:* off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:48367 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:40319 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:57066 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 127.0.1.1:53 0.0.0.0:* off (0.00/0/0)
udp 0 0 127.0.0.1:53 0.0.0.0:* off (0.00/0/0)
udp 0 0 0.0.0.0:68 0.0.0.0:* off (0.00/0/0)
udp 0 0 0.0.0.0:68 0.0.0.0:* off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:33344 3xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 0.0.0.0:631 0.0.0.0:* off (0.00/0/0)
udp 0 0 0.0.0.0:58315 0.0.0.0:* off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:33867 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:42325 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:34571 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 xxx.xxx.xxx.xxxx:51107 xxx.xxx.xxx.xxxx:123 ESTABLISHED off (0.00/0/0)
udp 0 0 0.0.0.0:18678 0.0.0.0:* off (0.00/0/0)
udp6 0 0 :::5353 :::* off (0.00/0/0)
udp6 0 0 :::38305 :::* off (0.00/0/0)
udp6 0 0 :::47872 :::* off (0.00/0/0)
udp6 0 0 :::58315 :::* off (0.00/0/0)
udp6 0 0 :::34600 :::* off (0.00/0/0)

BXT

@Ikoula pas logique, un firewall est en policy accept par défaut, et je doute que Gkide l'ai changé

Gkide

Tres bon doute, j'ai rien changé^^

Ikoula

Logique pour moi ^^ je suis toujours en deny all et j'ouvre ce dont j'ai besoin. Moi parano ? mais non mais non. En tout cas on peut rayer ça de la liste.
C'est mystique ton truc quand même.
A tout hasard vérifie syslog et dmsg ensuite ce que j'essayerai à ta place c'est de me connecter depuis un autre pc.
Ya aussi les histoires de mode actif/passif (côté client) --> mais je sais absolument pas si ça joue en TLS.