『FTPS接続で利用してらっしゃる方はおられますか？』のクチコミ掲示板

[化ケモノ青年]

掲題の通りです。
もしいらっしゃるようでしたらお聞きしたいことがございます。

FTP設定はすでに行いまして、LAN内でのローカルIPによるFTPS接続ができることは確認しております。
また、WAN経由でもFTPでなら接続できる状態です。

しかし、FTPSとしてWAN経由で接続しようとすると、サーバーが見つかりません。などの
各FTPクライアントそれぞれ何かしらのエラーメッセージが出て、接続が成立いたしません。

FTPでは問題なく動作するので、SSLが絡んだ時に何か設定漏れがあるのかと思うのですが、
何か確認した方がいいことはございますでしょうか？

何かしらのヒントでもいただければ幸いです。よろしくお願いいたします。

書込番号：17082847

[フォア乗り]

化ケモノ青年さん、こんばんは。

ルーターあるいはファイアーウォールでFTPS接続は許可されていますか？

通常FTPSのポートは990/TCPですが、サーバー/クライアントのソフトウェアにて異なるポートを使用していることも考えられますが。

既に確認済みでしたらスルーしてください。

書込番号：17083163

[化ケモノ青年]

フォア乗りさん、アドバイスありがとうございます。

私の使用しているルーターではポート番号までチェックするような細かいファイアウォールはないようで、
ファイアウォールの設定項目では「IDENTの要求を拒否する」、
「Internet側からのPINGに応答しない」、
「Internet で応答しない」、「UserSupportSite で応答しない」と設定してあります。

その上で、990番で接続しようとすると、即「サーバーが見つかりません」等の
エラーメッセージが返ってきます。
通常のFTPで使用される20-21番でFTPSを試みた場合は、
少し待たされてから「サーバーが見つかりません」のような表示になるため
NASの方で990番は塞いでいるように感じるのですが、
NASの設定ではポートの開放などを切り替える項目は見当たらないため、
ここはユーザーが変更できる部分ではないと推測しております。

ただ、私自身FTPSを他の環境でも設定した経験がないため、
FTPS接続時もFTP接続と同じ20-21番で流用できるものなのかどうかはわかっておりません。

書込番号：17083439

[LsLover]

LinkStationでは、proftpdを使用しているので、ftps(Explicit) 20,21/TCPのみサポート（ftps(implicit) 990/TCPは未サポート）となります。

以下の内容は、確認されていますか?

通信を暗号化する
SSLキーについて（P128）
http://manual.buffalo.jp/buf-doc/35020346-01.pdf

FTPサーバー機能を使いたい
FTP通信時の暗号化
LinkStationのFTPサーバー機能はFTP通信時の暗号化に対応しています。
FTP通信をSSL/TLSで暗号化することにより、ログインパスワードやファイルを暗号化して送受信することができます。
FTPクライアントソフトの設定画面で、SSLセキュリティを有効にしてお使いください。
設定手順はFTPクライアントソフトによって異なります。

例） FTPクライアントソフトにFileZillaをお使いの場合、設定画面でサーバーの種類を[FTP over TLS (explicit encryption)]に設定してください。
SmartFTPをお使いの場合、設定画面で[FTP over SSL explicit]を選択してください。
※暗号化処理のため、お使いのパソコン環境によっては転送スピードが低下します。
※お使いのパソコン環境によっては、「このWebサイトのセキュリティ証明には問題があります。」と表示されることがあります。そのまま設定画面の操作を続行してください。
http://buffalo.jp/download/manual/html/lsvl/ftpconnect01.html

書込番号：17084157

[LsLover]

FTPクライアントは、PASV（Passive）モードでご利用でしょうか?

SSLでの接続を行うと、クライアント側にNATルータが入っている場合は、インターネット側からはActiveモードが使えなくなります。これは、通信がSSL化により暗号化されるためクライアント側のルータがPORTコマンド内のクライアントのアドレス（ポート番号）を変換できなくなり、クライアントのプライベートアドレスがそのまま中継されてしまうからです。

書込番号：17084168

[化ケモノ青年]

LsLoverさん、アドバイスありがとうございます。

LsLoverさんのお陰でポートは間違ってないという確信が持てたので、
少しだけ問題が絞れた気がします。ありがとうございます。

Baffaloのその説明は読んでおりました。
暗号化ファイルはデフォルトのまま書き換えておりませんし、
FTPクライアントの設定もSSLモードのExplicitで、
Active、Passive両方のモードを確認しましたが、どちらも駄目でした。
しかし今後はPassiveモードだけ確認すればいいのですね。

「ポート変換ができなくなり〜」と説明していただいたので、
今まで49156番等の通常使わないポートでグローバルIP接続するように設定し、
ルータ側で49156番を21番に読み替え、ローカルIPをNASの固定してあるIPに
転送するように設定していた点を疑い、
ポート番号の読み替えを排除して21番でそのまま送るように変えてみたのですが、
それでも接続しようとしてからしばらくして「サーバーが見つかりません」
になってしまいました。

到達しているものの、認証周りで弾かれているような印象を持っています。

書込番号：17085139

[LsLover]

『認証周りで弾かれているような印象を持っています』ということですが、LS210D0201はNATルータのLAN側に設置されているのでしょうか?

この場合、FTPクライアントからの「PASV」コマンドが送付され、FTPサーバ（FTP Over SSL対応）から待ち受けアドレス・ポート番号が応答されますが、NATルータではパケットが暗号化されているので待ち受けアドレス（プライベートアドレス）をWAN側IPアドレス（グローバルアドレス）に変換できません。このためFTPクライアントからFTPサーバの待ち受けアドレスとポート番号には、接続できません。

LS210Dなどで利用されているproftpdでは、「MasqueradeAddress」を設定すれば対応も可能のようですが、LinkStationでは設定ができない状況のようです。

従いまして、NATルータのLAN側に設置されたLS210Dでは、残念ながらFTP Over SSLでの接続は無理な状況のようです。

書込番号：17085790

[化ケモノ青年]

LsLoverさん、詳しくありがとうございます！

LS210D0201はNATルータのLAN側に接続しています。
SSLで暗号化された結果、IPやポートなどの情報も不明になってしまうため
相互のやりとりが不可能になるという認識であっていますでしょうか？

これでしたら不可能な理由がはっきりしてすっきりです。

ちなみに、お手数でなければ、どういう方法で接続している場合なら
WANからの接続ができるのかも教えていただけないでしょうか？
（後学のためですので、お手間でしたら結構です）

色々ありがとうございました。

書込番号：17085824

[LsLover]

『SSLで暗号化された結果、IPやポートなどの情報も不明になってしまうため
相互のやりとりが不可能になるという認識であっていますでしょうか？』ということですが、SSLで通信パケットが暗号化されているため、NATルータでFTPサーバのプライベートアドレスをグローバルアドレス（NATルータのWAN側IPアドレス）に書き換えることができないので、FTPサーバのプライベートアドレスがFTPクライアントに渡ってしまうため、接続できません。

『どういう方法で接続している場合なら
WANからの接続ができるのかも教えていただけないでしょうか？』ということですが、
『LAN内でのローカルIPによるFTPS接続ができることは確認しております。』という状況のようですので、LS210Dが設置されているNATルータにVPN接続できれば、ご利用は可能かと思います。
FTPクライアント端末からLS210Dが設置されているNATルータにVPN接続すれば、FTPS接続ではなくFTP接続でも暗号化されているのでセキュリティ的にも安全です。

書込番号：17085912

[化ケモノ青年]

LsLoverさん、ご丁寧にありがとうございます。

微妙に認識のずれがあったようですが、理解出来ました。

VPN接続はルータが未対応なので、ルータ買い替え時に再挑戦してみます。

重ね重ねありがとうございました。

書込番号：17086019

[tos1255]

FTPSですか….

AirStationのプロトコルメニューにあるsftpとは別ですね？
SFTPであれば、LAN/WANから接続できますね。
WANからアクセスさせるには、ssh 22/tcpとsftp 115/tcpをpermitするのと、アドレス変換で22/tcpと115/tcpを、AirStationに転送するといった感じです。参考まで。

SFTP 【 SSH File Transfer Protocol 】
sshで暗号化された通信路を使って安全にファイルを送受信するプロトコル。また、それを利用してUNIXなどで暗号化ファイル送受信を行うコマンド。

書込番号：17094585

[化ケモノ青年]

tos1255さん、情報ありがとうございます。

うちのルータはAirStationシリーズですが、WHR-G300Nでもそういった項目はございますでしょうか。
見たところそういった機能はなかったと思うのですが、きっと新しいものでしたらSFTP対応版もあるのですね。
次回ルータ買い替え時には参考にさせていただきます。

ありがとうございました。

書込番号：17094706

[tos1255]

Buffalo NASのLinkStationにはsamba,afp,ftp,sftpにてファイル転送が可能です。

今回、sftpにてLAN内接続を確認した上で、BuffaloのAirStationの設定にて、ゲーム＆アプリ＞ポート変換に対象のリクエストポートに対して、LinkStationに転送する設定にて確認しました。ポート変換はAirStationに当たり前についています。AirStationにsftp機能がある訳では無いので誤解されたようであればご容赦ください。^_^;

書込番号：17094763　スマートフォンサイトからの書き込み

[tos1255]

＞AirStationのプロトコルメニュー

LinkStationのプロトコルメニューでした。すいません....

書込番号：17094921　スマートフォンサイトからの書き込み

[LsLover]

『AirStationのプロトコルメニューにあるsftpとは別ですね？』ということですが、以下を参照してください。FTPSとSFTPとは『全くの別物』です。

FTPS

FTPS (File Transfer Protocol over SSL/TLS) は、FTPで送受信するデータをSSLまたはTLSで暗号化するプロトコル。IETFにより、RFC 2228やRFC 4217で標準化されている。

通常のWell-known Portは、990/tcp。SFTP (SSH File Transfer Protocol) とは全くの別物である（SFTPは22/tcp）。
http://ja.wikipedia.org/wiki/FTPS

書込番号：17095028