Koozali.org: home of the SME Server

Après migration 9.2 versSME 10 : problème de liaison ftp...

Offline lurey

  • *
  • 78
  • +0/-0
Après migration 9.2 versSME 10 : problème de liaison ftp...
« on: September 20, 2021, 11:42:36 AM »
bonjour,

Tout d'abord MERCI et BRAVO ! à ceux qui nous permettent de profiter de Koozali - SME avec cette nouvelle version mise à jour. Je me sens bien petit devant tout ce travail...
First of all THANKS and BRAVO to those who allow us to take advantage of Koozali - SME with this new updated version. I feel very small in front of all this work ... (automated translation...)
Je me suis donc lançé à la migration - je vous épargne mes premiers tâtonnements... - avec une sauvegarde par dar de l'ancien serveur (sauvegarde par l'interface de SME, sur disque externe USB)
> Tel que restauré sur v.10, je n'arrive pas à rétablir (*) la liaison ftp qui permet à un ami de maintenir à distance son site web sur mon serveur. Y a-t-il des évolutions notables qui viendraient troubler le fonctionnement de ce qui marchait sous SME 9 ? Si oui, ou vais-je trouver les éléments pour comprendre les évolutions, et retrouver les fonctions utiles ?
Merci de vos lumières, si vous pouvez donner quelques pistes à ma recherche pour comprendre... et réparer !
(Pour indication, mon ami utilise un logiciel d'édition de site un peu ancien (Dreamweather v8), qui jusque là lui permettait de synchroniser par FTP sans problème...)
Merci de votre aide, et excusez-moi si j'ai raté quelque chose, ou mal lu, ou pas compris... !

[edit] (*) pour être plus clair : tous paramétrages inchangés (chez l'ami, comme... ? sur le serveur, par la restauration de l'existant)
« Last Edit: September 20, 2021, 12:13:34 PM by lurey »
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline Jean-Philippe Pialasse

  • *
  • 2,746
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #1 on: September 20, 2021, 01:19:00 PM »
tls est obligatoire pour utiliser ftp maintenant.
donc à configurer du coté client. 
j’en profiterais pour changer le mot de passe compromis par l’utilisation du ftp avec envoi en clair sur le réseau de celui-ci.

Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #2 on: September 20, 2021, 04:21:09 PM »
Merci de cette prompte réponse !  :-)
Donc, ce serait une évolution normale - et non une erreur bête de ma part - qui cause cela, je vais chercher dans la direction indiquée. (iil est possible que la version ancienne du logiciel "client" n'ait pas prévu cela...)
- est-ce la même chose qu'on désigne par "ftps" ?
- est-il pour autant nécessaire d'ouvrir l'accès SSH par internet sur SME ?
en tout cas ce soir au retour du boulot je plonge à la recherche d'explications et j'expérimente à nouveau...

Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline Jean-Philippe Pialasse

  • *
  • 2,746
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #3 on: September 20, 2021, 06:31:51 PM »
ce n’est pas sftp (sur port 22 basé sur ssh comme scp) mais bien ftps pour ftp sur port 21 avec une encapsulation TLS.

je n’ai pas utilisé ce logiciel privateur depuis des années, mais j’encouragerais sa mise à jour s’il ne prend pas en charge tls ou oublier la mise a jour via l’application et passer par un logiciel ftp.

l’evolution est en effet pour le mieux pour la securité du contenu du site de ton ami et surtout celle de ton serveur et des données qu’il héberge.

Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #4 on: September 22, 2021, 10:53:56 PM »
Merci Jean-Philippe de tes explications, et... de ta patience, si tu lis ce qui suit !
Je pensais effectivement utiliser un autre logiciel de transfert, pour que mon ami puisse continuer de faire son site avec le logiciel qu'il connait, malgré son âge (du logiciel, pas de l'ami... encore que, justement :lol: !  )
J'ai donc commencé des essais avec Filezilla, mais je bute toujours, et ne sais pas vers où chercher...

Voici d'abord le schéma de mon installation :

(IP publique)     Internet
                          |
 192.168.x.a     BOX-------- (pour voisin) 192.168.x.z
                          |
                      (DMZ) 
 192.168.x.b     |
                 Serveur SME
 192.168.y.a     |
                          |
                        Switch-wifi
 192.168.y.b-z  |   |   |     |
                        PC PC PC  (wifi)
                      <-réseau privé->

Lorsque je tente de me connecter avec Filezilla - que ce soit par la ligne "voisin" (192.168.x.z , sur le réseau interne Box/externe de SME) ou par internet (mon fils avait l'habitude de se connecter depuis Oslo avec Filezilla, donc essais dans les conditions identiques à avant l'upgrade...) en paramétrant la connexion comme "connexion FTP explicite sur TLS", voici les messages : (j'ai souligné ce que je ne sais pas comprendre)

Résolution de l'adresse de [monURL]
Statut :   Connexion à [mon IP publique]:21...
Statut :   Connexion établie, attente du message d'accueil...
Statut :   Initialisation de TLS...
Statut :   Vérification du certificat...
Statut :   Connexion TLS établie.
Statut :   Connecté                                < ça, ça donnait bon espoir, mais...
Statut : recuperation du contenu du dossier...
Statut : le serveur a envoyé une reponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.
commande : MLSD
Erreur : connexion interrompue après 20' d'inactivité
Erreur : impossible de récupérer le contenu du dossier


("in english" si c'est plus lisible:)
Resolving address of [myURL]
Status:   Connecting to [myPublic IP]:21...
Status:   Connection established, waiting for welcome message...
Status:   Initializing TLS...
Status:   Verifying certificate...
Status:   TLS connection established.
Status:   Logged in
Status:   Retrieving directory listing...
Status:   Server sent passive reply with unroutable address. Using server address instead.
Command:   MLSD
Error:   Connection timed out after 20 seconds of inactivity
Error:   Failed to retrieve directory listing


A noter que le même type de connexion depuis mon réseau privé fonctionne...
Y aurait-il autre chose à paramétrer au niveau de la box, que de mettre SME en "DMZ" ? Merci de vos lumières, je suis dépassé, sans doute par ignorance...  :sad:
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline Jean-Philippe Pialasse

  • *
  • 2,746
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #5 on: September 23, 2021, 06:42:25 AM »
ftp a deux modes

actif ou passif.

par defaut filezilla n’utilise pas le meme que sme. 

aussi actif vs passif a des avantages suivant que le serveur ou le client soit derriere un NAT. 

Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #6 on: September 23, 2021, 09:35:56 PM »
Bonsoir,
Ben voilà, je suis allé apprendre à quoi correspondent les modes "actif" et "passif", puis chercher dans les paramètres de Filezilla ! (au passage : il semble que le client WinSCP, utilisé en FTP chiffré TLS, soit lui en mode passif par défaut).

...Et ça a l'air de fonctionner en paramétrant correctement le client ftp (en passif donc), en tout cas mes essais par le réseau "voisin" (externe pour SME) sont satisfaisants, je n'attends plus que la confirmation venant d'Oslo (par internet à travers la Box).

[EDIT]  :evil: à l'instant... d'Oslo, ça ne marche pas !!!  :hammer:
c'est à dire par l'adresse publique à travers la Box...


« Last Edit: September 23, 2021, 09:59:26 PM by lurey »
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !


Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #8 on: September 26, 2021, 11:48:58 PM »
Bonsoir,
J'ai passé une partie de mon week-end à lire, essayer de comprendre, tester des choses… Voilà où j'en suis (du moins ce qui me semble utile dans mes essais…)
1) par template-custom, j'ai ajouté à /etc/proftpd.conf la ligne suivante :
   MasqueradeAddress [monIP publique]
logs de Filezilla avec cette configuration :
Quote
Statut :   Connexion à [mon IP publique]:21...
Statut :   Connexion établie, attente du message d'accueil...
Statut :   Initialisation de TLS...
Statut :   Vérification du certificat...
Statut :   Connexion TLS établie.
Statut :   Connecté
Statut :   Récupération du contenu du dossier...
Commande :   PWD
Réponse :   257 "/" est le répertoire courant
Commande :   TYPE I
Réponse :   200 Type paramétré à I
Commande :   PASV
Réponse :   227 Entering Passive Mode ([mon IP publique],168,48).
Commande :   MLSD
Erreur :   Connection interrompue après 20 secondes d'inactivité
Erreur :   Impossible de récupérer le contenu du dossier
Statut :   Déconnecté du serveur
> SME transmet ainsi l'IP publique au client, et plus sa propre IP (privée derrière la box) qui me valait le message  "Le serveur a envoyé une réponse passive avec une adresse non routable"

2) par template-custom, j'ai ajouté à /etc/proftpd.conf une deuxième ligne :
   PassivePorts 38400 38655
…et sur la box, renvoyé (NAT) la plage de ports TCP 38400-38655 sur le serveur (192.168.x.b).
logs de Filezilla avec cette configuration :
Quote
Statut :   Connexion à [mon IP publique]:21...
Statut :   Connexion établie, attente du message d'accueil...
Statut :   Initialisation de TLS...
Statut :   Vérification du certificat...
Statut :   Connexion TLS établie.
Statut :   Connecté
Statut :   Récupération du contenu du dossier...
Commande :   PWD
Réponse :   257 "/" est le répertoire courant
Commande :   TYPE I
Réponse :   200 Type paramétré à I
Commande :   PASV
Réponse :   227 Entering Passive Mode ([mon IP publique],150,114).
Commande :   MLSD
Erreur :   Connection interrompue après 20 secondes d'inactivité
Erreur :   Impossible de récupérer le contenu du dossier
Statut :   Déconnecté du serveur
> l'indication par SME des ports à utiliser en passif fonctionne, chaque fois j'ai 150, xxx  qui correspond bien à la plage paramétrée (150x256)= 38400, + xxx
C'est donc à partir de là que ça coince… Le client ne reçoit rien, et se déconnecte. Si je le laisse réessayer, il rouvre une nouvelle session ftp alors que la précédente n'est pas fermée sur SME (ça finit par refuser parce qu'il y a trop de connexions ouvertes...)

Y a-t-il encore une porte à ouvrir sur SME, pour qu'il accepte les commandes entrantes sur les ports passifs prévus ?

Autre élément, dans les logs sur SME proftpd.log , il y a la succession suivante de messages que je ne sais comment il faut comprendre… :
Quote
Proftpd[xxxxx] [192.168.y.a (=IP privée SME)] ([IP publique client]( [IP publique client])) – Client session idle timeout, disconnected
Proftpd: pam_env(ftp:setcred): Unable to open config file: /ets/security/pam_env.conf: Aucun fichier ou dossier de ce type.
Proftpd:pam_unix (ftp: session): session closed for user [utilisateur]

..voila, je sais pas bien où aller… :sad:
« Last Edit: September 27, 2021, 01:24:22 PM by lurey »
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline Jean-Philippe Pialasse

  • *
  • 2,746
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #9 on: September 27, 2021, 04:20:57 AM »
explicit vs implicit tls

https://wiki.filezilla-project.org/FTP_over_TLS#Explicit_vs_Implicit_FTPS

on utilise explicite


aussi pas mal des erreurs sont ici

http://www.proftpd.org/docs/howto/TLS.html
« Last Edit: September 27, 2021, 04:29:50 AM by Jean-Philippe Pialasse »

Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #10 on: September 27, 2021, 09:23:12 AM »
Bonjour,
merci de me "suivre"...
- J'utilise bien TLS explicite
- je n'ai pas encore déchiffré la page de doc proftpd que tu m'indiques, par contre j'ai suivi la question qui m'était venue en rédigeant mon précédent "compte rendu". J'ai peut-être trouvé à "faire marcher", mais je voudrais ne pas faire de bêtise !
1) Par un site du web, j'ai constaté que le port 486xx indiqué dans les logs de filezilla (dans le temps de la tentative de connexion) était fermé, non accessible.
2) sur SME, j'ai configuré un renvoi de ports :
Protocole :TCP |   Port(s) source:38400-38655 | Adresse IP de l'hôte de destination:localhost | Port(s) de destination:38400-38655 | Hôtes autorisés:192.168.x.a (IP interne Box)    
> là, ça fonctionne depuis 192.168.x.z (voisin) !
... il faut encore que je fasse essayer par un client externe - sur internet (car lorsque la connexion se fait rapidement, Filezilla ne se donne plus la peine de m'afficher le port passif utilisé, que j'aurais pu tester par le web)

> Mais aussi, cette démarche est-elle bonne en terme de sécurité ?

« Last Edit: September 27, 2021, 10:12:35 AM by lurey »
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline Jean-Philippe Pialasse

  • *
  • 2,746
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #11 on: September 28, 2021, 02:52:22 AM »
ideallememt il fait ajouter les ports sur la base de donnée, mais sinon oui c’est la bonne facon de faire.

il faut aussi ouvrir ces ports sur ton routeur et les rediriger.

Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #12 on: September 28, 2021, 08:42:47 AM »
Caramba, encore raté ! me dit mon fils qui essaye d'Oslo...  :( avec les mêmes logs :
Quote
Commande :   PASV
Réponse :   227 Entering Passive Mode ([mon IP publique],150,114).
Commande :   MLSD
Erreur :   Connection interrompue après 20 secondes d'inactivité
Erreur :   Impossible de récupérer le contenu du dossier
Statut :   Déconnecté du serveur

il faut aussi ouvrir ces ports sur ton routeur et les rediriger.
Sur ma box, j'ai effectivement NATté la même plage de ports vers l'adresse externe de SME, (192.168.x.b), j'ai oublié de l'indiquer dans mon post précédent. Cela correspond à ton indication, je pense ?

Question : l'hôte autorisé dans le renvoi de port que j'ai paramétré sur SME  est l'IP interne de la box (192.168.x.a) > est-ce exact ? ou faudrait-il mettre mon IP publique, puisque c'est celle interrogée par le client distant ?

Quote
ideallememt il fait ajouter les ports sur la base de donnée, mais sinon oui c’est la bonne facon de faire.
si ce que j'ai fait est équivalent, j'en reste là pour chercher à faire marcher, et j'apprendrai ensuite à "ajouter les ports sur la base de données"...

En tout cas merci de ton soutien, je suis vraiment aux limites de ma compréhension de "bidouilleur" !

« Last Edit: September 28, 2021, 08:45:18 AM by lurey »
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline Jean-Philippe Pialasse

  • *
  • 2,746
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #13 on: September 28, 2021, 01:09:06 PM »
ne mets pas d’hôte autorisé.

Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #14 on: October 03, 2021, 04:29:46 PM »
Bonjour ! Me revoilà enfin pour dire... Ça marche !
J'ai perdu du temps avec encore des échecs (sans bien comprendre, mais à chercher avec peu de temps devant soi, on fait facilement des bêtises...), puis remis au week-end pour tout reprendre, et m'y voilà.
J'ai vérifié et noté ce que j'ai appris des échanges pour FTP avec TLS explicite en mode passif, refait des essais, puis refait tout mon schéma, puis repris tous les paramétrages, essayé de ma ligne "voisin", puis fait tester par mon fils par internet (par Filezilla et par WinSCP  en FTP-TLSexplicite)... et ça marche !

Voici donc les éléments de l'état actuel :
> par deux lignes ajoutées à ftpd.conf par "template-custom", SME renvoie au client FTP l'adresse publique et une plage définie de ports passifs à utiliser.
> sur SME toujours, un renvoi de port renvoie sur "localhost" la plage de ports sans indiquer d'hôte autorisé  (J'étais resté un peu interrogatif lors de l'essai précédent, simplement pour n'avoir pas imaginé qu'on pouvait laisser vide, donc autoriser toute provenance...)
> sur la box : j'avais au départ NATté la plage de ports (en TCP) vers mon serveur, mais à réflexion ça me semblait peut-être inutile du fait que mon serveur est dans la DMZ de la Box ; de fait, ça semble bien fonctionner en supprimant cette règle de la box...
 
Quote
(...)idéalement il faudrait ajouter les ports sur la base de donnée
Il ne me reste plus qu'à comprendre et réaliser cela ! (A l'occasion, merci de m'expliquer ce qui rend cette manière préférable (je suppose qu'elle sera gardée dans la sauvegarde du serveur, en vue de la prochaine réinstallation  ;) , mais c'est aussi le cas des template-custom ?)

Merci de m'avoir aidé et soutenu, cette "victoire" est sans doute un tout petit pas pour toi, mais un grand bon pour moi !  :lol:
Bon dimanche, Jean-Philippe !
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline gieres

  • *
  • 213
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #15 on: October 03, 2021, 09:03:34 PM »
Bonsoir,
Bravo !
Puis-je suggérer (après la dernière phase de la BDD) un petit tutoriel dans la catégorie Howto/fr ? Avec le petit schéma sympathique.
D'avance merci.

Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #16 on: October 17, 2021, 04:05:29 PM »
Bonjour,
Désolé, je n'ai guère eu de temps jusque là pour "parachever" ce résultat et revenir en parler...
...Mais oui, OK pour rédiger un "how-to" si ça peut servir à d'autres ! Dès que j'aurai passé avec succès (...) la dernière question de la mise dans la BDD.
En attendant, l'ami dont j'héberge le site est très content, je lui ai fait une commande (batch) qui utilise WinSCP (dont j'ai découvert à cette occasion les possibilité d'utilisation par scripts) pour synchroniser son site à partir de la version "locale" qu'il prépare sur son PC, et ça roule sans qu'il ait eu rien à apprendre de plus que cliquer le raccourci sur son bureau !
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline Jean-Philippe Pialasse

  • *
  • 2,746
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #17 on: October 18, 2021, 04:34:29 AM »
En retour pour la communauté aurais tu la patience d’ecrire ce que tu as fait dans une page du wiki ?


Offline lurey

  • *
  • 78
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #18 on: October 19, 2021, 11:55:25 AM »
Bonjour,
Oui, oui, sur le principe je le ferai volontiers, c'est une manière "à ma portée" de contribuer et de "renvoyer" l'aide dont j'ai bénéficié. Ce n'est que question de temps à trouver.
...car ça veut dire qu'une fois compris et expérimenté et l'utilisation de la base de donnée, il me faudra apprendre l'utilisation de wiki !
Euh... entre how-to et wiki, quelle différence ? Wiki serait la manière actuelle de produire du tutoriel ?
Bricoleur informatique, qui speak très mal english... merci de votre indulgence !

Offline gieres

  • *
  • 213
  • +0/-0
Re: Après migration 9.2 versSME 10 : problème de liaison ftp...
« Reply #19 on: October 19, 2021, 12:14:04 PM »
Bonjour,
Tu envoies le texte (en rtf ou PDF éditable) et les images et je m'occupe de l'intégrer au wiki, ça va ?
Bonne journée.