Impossible de me connecter en mode sécurisé !

Impossible de me connecter en mode sécurisé ! - Windows & Software

Marsh Posté le 02-11-2004 à 13:55:41    

Bonjour,  
 
Je cherche à me connecter en mode sécurisé sur ServU depuis un client FTP (Cute FTP PRO). Ils utilisent le port 990. Je ne peux pas. Je pense que j'ai du fermer un port sur mon routeur qu'il fallait pas ? mais lequel. Le 20,21,25,29,80,110,113,444,990 et tous les ports entre le 1023 et 65536 sont ouverts... En local ca fonctionne trés bien et ma machine se connecte à un autre serveur FTP en mode sécurisé sans problème !  
 
Voici le message de CuteFTP et le message de servU ! je ne comprends pas tout. surtout cette ligne COMMAND:> PORT 192,168,0,30,4,67  Le problème persiste même en mode passif ! :/
 
OS : 2k Pack 4
 
Message de CuteFTP :
 

Code :
  1. STATUS:>   Connected. Exchanging encryption keys...
  2. STATUS:>   SSL Connect time: 391 ms.
  3. STATUS:>   SSL encrypted session established.
  4.   220 Serv-U FTP Server v5.0 for WinSock ready...
  5. STATUS:>   Connected. Authenticating...
  6. COMMAND:> USER ******
  7.   331 User name okay, need password.
  8. COMMAND:> PASS *****
  9.   230 User logged in, proceed.
  10. STATUS:>   Login successful.
  11. COMMAND:> PWD
  12.   257 "/" is current directory.
  13. STATUS:>   Home directory: /
  14. STATUS:>   This site supports features.
  15. STATUS:>   This site supports XCRC.
  16. STATUS:>   This site supports SIZE.
  17. STATUS:>   This site can resume broken downloads.
  18. COMMAND:> REST 0
  19.   350 Restarting at 0. Send STORE or RETRIEVE.
  20. COMMAND:> PBSZ 0
  21.   200 PBSZ command OK. Protection buffer size set to 0.
  22. COMMAND:> PROT P
  23.   200 PROT command OK. Using private data connection.
  24. COMMAND:> PASV
  25.   227 Entering Passive Mode (192,168,0,3,7,212)
  26. COMMAND:> LIST
  27. STATUS:>   Connecting FTP data socket 192.168.0.3:2004...
  28. ERROR:>    The connection failed due to an error or timeout.
  29.   1) Verify that the destination IP address is correct.
  30.   2) Increase the connection timeout threshold under Global Settings | Connection.
  31.   3) Switch to the opposite data connection type (PASV or PORT) under Site Settings | Type tab.
  32.   4) Verify that the problem is not local by trying to connect to an alternate server.
  33.   5) If a server name was used, verify it resolves to the correct address.
  34.   6) If using a local server table for server name resolution, check to see that it doesn't resolve to an obsolete address.
  35.   7) Try pinging the address.
  36.   8) If you are using a router, verify the router is up and running (check by pinging it and then ping an address outside of the router).
  37.   9) Do a traceroute to the destination to verify all routers along the connection path are operational.
  38.   10) Verify that your subnet mask is setup properly.
  39.   11) Verify that your local software or hardware firewall is not blocking outbound connections originating from CuteFTP.
  40.   12) Verify that your anti-virus software is not at fault (try disabling it).
  41. ERROR:>    PASV failed, trying PORT.
  42. STATUS:>   Waiting 0 seconds...
  43. STATUS:>   Getting listing "/"...
  44. STATUS:>   Resolving host name ******.dyndns.org...
  45. STATUS:>   Host name ******.dyndns.org resolved: ip = *.*.*.222.
  46. STATUS:>   Connecting to FTP server ******.dyndns.org:990 (ip = *.*.*.222)...
  47. STATUS:>   Socket connected. Waiting for welcome message...
  48. STATUS:>   Initializing SSL module.
  49. STATUS:>   Connected. Exchanging encryption keys...
  50. STATUS:>   SSL Connect time: 312 ms.
  51. STATUS:>   SSL encrypted session established.
  52.   220 Serv-U FTP Server v5.0 for WinSock ready...
  53. STATUS:>   Connected. Authenticating...
  54. COMMAND:> USER ******
  55.   331 User name okay, need password.
  56. COMMAND:> PASS *****
  57.   230 User logged in, proceed.
  58. STATUS:>   Login successful.
  59. COMMAND:> PWD
  60.   257 "/" is current directory.
  61. STATUS:>   Home directory: /
  62. STATUS:>   This site supports features.
  63. STATUS:>   This site supports XCRC.
  64. STATUS:>   This site supports SIZE.
  65. STATUS:>   This site can resume broken downloads.
  66. COMMAND:> REST 0
  67.   350 Restarting at 0. Send STORE or RETRIEVE.
  68. COMMAND:> PBSZ 0
  69.   200 PBSZ command OK. Protection buffer size set to 0.
  70. COMMAND:> PROT P
  71.   200 PROT command OK. Using private data connection.
  72. COMMAND:> PORT 192,168,0,30,4,67
  73.   530 Only client IP address allowed for PORT command.
  74. ERROR:>    Not logged in.
  75. ERROR:>    Failed to establish data socket.


 
Message de servU :
 

Code :
  1. 5] [5] Tue 02Nov04 11:41:39 - (000018) User ***** logged in
  2. [5] Tue 02Nov04 11:43:38 - (000019) Connected to **.**.**.191 (Local address 192.168.0.3)
  3. [5] Tue 02Nov04 11:43:38 - (000019) User SPIDER logged in


 
merci d'avance pour vos réponses :)
 :hello:


Message édité par cvb le 02-11-2004 à 14:01:38
Reply

Marsh Posté le 02-11-2004 à 13:55:41   

Reply

Marsh Posté le 02-11-2004 à 19:13:57    

personne ne fait de FTP ici en mode sécurisé ?? :??:

Reply

Marsh Posté le 03-11-2004 à 08:47:12    

Il n'y a pas des spécialites réseaux ici ? ou des peoples qu'on des connaissances sur ce mode de connection ?
 
merci
@+
cvb

Reply

Marsh Posté le 03-11-2004 à 13:18:53    

une fois de plus je le remonte, si des personnes ici le savent ne pas hésiter ! ;)

Reply

Marsh Posté le 03-11-2004 à 13:23:25    

petite correction  entre un port ouvert et un port redirigé il y a une différence.
 
 
donc confirme bien que tu redirige bien les bon ports....
 
 
utilise un analyseur de trames (ethereal)  pour regarder ce qu'il se passe.
 
quand tu te connect sur ton adresse en dydns,  tu le fais bien depuis un pc-distant ?  et non depuis ton poste lan ?
 
 
test en mettant ton pc (où est installé serv-u)  en dmz


Message édité par com21 le 03-11-2004 à 13:25:13

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 03-11-2004 à 14:01:12    

com21 a écrit :

petite correction  entre un port ouvert et un port redirigé il y a une différence.
 
 
donc confirme bien que tu redirige bien les bon ports....
 
 
utilise un analyseur de trames (ethereal)  pour regarder ce qu'il se passe.
 
quand tu te connect sur ton adresse en dydns,  tu le fais bien depuis un pc-distant ?  et non depuis ton poste lan ?
 
 
test en mettant ton pc (où est installé serv-u)  en dmz


 
 
salut,
 
je confirme bien. J'ai fais deux choses :
Dans blocksite, qu'es le parfeu du routeur j'ai tout bloqué sauf le 20,21,25,69,80,110,113,443,990
 
Dans port forwarding, j'ai redirigé les ports suivant sur l'IP 192.168.0.3. Le 20,21 étant le FTP + le 990 port utilisé par Serv-U pour la connection sécurisé !
 
20  | 20   | 192.168.0.3
21  | 21   | 192.168.0.3
990 | 990  | 192.168.0.3
 
J'ai également activé les port triggering sur le routeur, entre le 1024 et le 65536.
 
 
Je le test bien depuis un post distant. Je le teste depuis une seconde connection internet (là ou je bosse). C'est également testé par un pot au USA qui obtient le même message d'erreur que moi !  
 
Chose curieuse, à chaque fois l'utilisateur rentre bien dans Serv-U, le certificat lui es envoyé, il accepte et ça échoue à ce moment ! Comme si le mots de passe ne passait pas le routeur ??? Quelque chose dans le genre. Ca le fait même si je passe en mode passif !
 
Je me pose la question est-ce que ce mode de connection - sécurisé - utilise un autre port que j'aurais bloqué et que je n'aurais pas non plus forwarder ? Mais lequel...?
   
Tu me parle de DNZ n'es ce pas risqué de mettre mon PC en DMZ ? Quelle est le role exact de la DMZ (je le saisie pas trop) ? Sinon, je ferais les tests ce soir...avec Ethereal également !
 
merci pour ton aide  
@+
cvb  
 :hello:  
 
ps : je cherche la liste de tous les ports, les 65536, tu connais pas un bon site qui parle de tous ça ? merci d'avance !  :jap:


Message édité par cvb le 03-11-2004 à 14:03:59
Reply

Marsh Posté le 03-11-2004 à 14:11:43    

Citation :

Voici le message de CuteFTP et le message de servU ! je ne comprends pas tout. surtout cette ligne COMMAND:> PORT 192,168,0,30,4,67  Le problème persiste même en mode passif ! :/
 


 
Tu ne devrait pas avoir cette commande en mode passif, tu as raison.
 
Tu as spécifié une adresse IP alternative à ton serveur FTP pour qu'il fournisse la bonne à ton client.
 
Par exemple, j'ai du spécifier, avec GuildFTP, les ports du  mode passif d'un côté, et une adresse DNS de l'autre pour qu'il la transmette au client.


---------------
Ratures - Cuisine
Reply

Marsh Posté le 03-11-2004 à 20:28:24    

je comprends pas trop ce que tu m'as dis prems ! quand je me connecte au USA en mode secure, j'ai cette ligne : COMMAND:> PASV
  227 Entering Passive Mode (24,130,157,139,7,208)

Reply

Marsh Posté le 03-11-2004 à 20:38:14    

voilà deux comparatifs, si ca peut aider :
 
 
Quand je me connecte au USA  :
 

Code :
  1. COMMAND:> PASV
  2.  227 Entering Passive Mode (,208)
  3. COMMAND:> LIST
  4. STATUS:>   Connecting FTP data socket :2000...


 
Quand les USA se connecte chez moi :
 

Code :
  1. COMMAND:> PASV
  2.  227 Entering Passive Mode (192,168,0,3,7,208)
  3. COMMAND:> LIST
  4. STATUS:>   Connecting FTP data socket 192.168.0.3:2000...


 
meric
@+


Message édité par cvb le 03-11-2004 à 21:04:48
Reply

Marsh Posté le 03-11-2004 à 20:41:50    

cvb a écrit :

voilà deux comparatifs, si ca peut aider :
 
 
Quand je me connecte au USA  :
 

Code :
  1. COMMAND:> PASV
  2.  227 Entering Passive Mode (*,*,*,*,7,208)
  3. COMMAND:> LIST
  4. STATUS:>   Connecting FTP data socket *.*.*.*:2000...


 
Quand les USA se connecte chez moi :
 

Code :
  1. COMMAND:> PASV
  2.  227 Entering Passive Mode (192,168,0,3,7,208)
  3. COMMAND:> LIST
  4. STATUS:>   Connecting FTP data socket 192.168.0.3:2000...


 
meric
@+


 
Le pb c'est que ton serveur communique son adresse 192.168.0.3, alors qu'il devrait donner celle de ton routeur plutôt. C'est un réglage du serveur FTP.


Message édité par Prems le 03-11-2004 à 21:25:38

---------------
Ratures - Cuisine
Reply

Marsh Posté le 03-11-2004 à 20:41:50   

Reply

Marsh Posté le 03-11-2004 à 22:02:48    

cette fois,il renvoie bien l'IP et l'accés lui es refusé ! On sèche complètement ? je rajoute, je ne sais pas si ca une importante qu'il se connecte avec mon nom de domaine :
 
xxxx.dyndns.org
 
Est-ce que ca joue un rôle quelque part ? le refus d'accès est-il "normal" ?

Reply

Marsh Posté le 03-11-2004 à 23:29:20    

S'il renvoie bien l'IP, c'est bon.
 
Maintenant vérifie simplement que le port qu'il demande associé à cette IP est bien routé vers ta machine locale.
 
Poste le log du client FTP pour voir, change juste l'IP.


---------------
Ratures - Cuisine
Reply

Marsh Posté le 04-11-2004 à 00:52:35    

Euh 2 ou 3 petites choses
 
c'est pas un connexion sécurisé mais une authentification sécurisé (c'est différent)
 
Pour les ports du ftp ton probleme c'est les data-ports
 
En mode Passif (PASV): c'est le SERVER qui négocie les ports (le client se connecte au port) faut donc que les ports en question sois forwarder du coté SERVER et que le server déclare sont IP PUBLIQUE
 
En mode Actif (PORT): c'est le CLIENT qui négocie les ports (le serveur se connecte au port) faut donc que les ports en question sois forwarder du coté CLIENT et que le client déclare sont IP PUBLIQUE
 
 
désoler pour le serveur toujours en anglais mais c'est l'habitude   :ange:


---------------
You have no chance to survive make your time.
Reply

Marsh Posté le 04-11-2004 à 08:32:59    

Kernel-Panic a écrit :

Euh 2 ou 3 petites choses
 
c'est pas un connexion sécurisé mais une authentification sécurisé (c'est différent)
 
Pour les ports du ftp ton probleme c'est les data-ports
 
En mode Passif (PASV): c'est le SERVER qui négocie les ports (le client se connecte au port) faut donc que les ports en question sois forwarder du coté SERVER et que le server déclare sont IP PUBLIQUE
 
En mode Actif (PORT): c'est le CLIENT qui négocie les ports (le serveur se connecte au port) faut donc que les ports en question sois forwarder du coté CLIENT et que le client déclare sont IP PUBLIQUE
 
 
désoler pour le serveur toujours en anglais mais c'est l'habitude   :ange:


 
Est-ce que vous connaissez les fameux port en question ! j'ai mis dans la config de ServU ! les port entre 2000 et 2010 ! Les ports clients !
Qu'est ce que je dois faire avec tout ça :  
 
j'ai déjà forwarder celà :
 
20 | 20 | 192.168.0.3
21 | 21 | 192.168.0.3
990 | 990 | 192.168.0.3
 
 
Faut-il que je forwarde les ports entre 2000 et 2010 et éventuellement d'autre ?
 
@Prems : je te donnerais le message d'erreur, ce soir, actuellement ils viennent de se couché au USA (l'Ouest de l'état). Merci pour le topic modifié ;)
 
Merci à vous deux ! :)
@+
cvb
 :hello:

Reply

Marsh Posté le 04-11-2004 à 08:33:59    

cvb ---> tu veux pas tester en dmz  ?
 
on verra très rapidement si c'est un pb de redirection ou non ?
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 04-11-2004 à 08:52:38    

com21 a écrit :

cvb ---> tu veux pas tester en dmz  ?
 
on verra très rapidement si c'est un pb de redirection ou non ?

ok, je le teste dés ce soir ! je dois partir, et j'ai pas le temps de tester jusqu'à ce soir 20h00 :/
 
@+
cvb
 :jap:

Reply

Marsh Posté le 04-11-2004 à 20:45:31    

salut,  
 
j'ai trouvé l'erreur ! il me restait pas grand chose à faire. Il fallait simplement que je forwarde le 989 vers la 192.168.0.3.  
@com21 : je n'aurais pas eue l'occasion de tester en DMZ ;)
 
Utiliser pour les données FTP ! je vous donne ce lien ca peut servir : http://www.iana.org/assignments/port-numbers
 
merci de votre aide à tous !
@+
cvb
:jap:
 
Je résume pour ce qu'aurais le même soucis avec ServU :
il faut forwarder le 20,21,989,990 vers la machine locale depuis votre routeur (perso, j'ai le Netgear RP614v2). Dans servU, il faut modifier deux paramètres :
 
Dans <<local serveur>>/settings/advanced dans PASV Range mettez 2000 - 2010, forcer servU à utiliser ses port passif !  
 
Dans <<local serveur>>/domains/settings/advanced et dans la case "allow passive data transfer" mettez l'IP de votre machine.
 
Si tout va bien, un client pourra se connecter chez vous ! :)


Message édité par cvb le 04-11-2004 à 21:08:10
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed