Wie kann man nun auf den FTP Server zugreifen?

[Bernie137]

Hallo zusammen,

auf der Lancom Webseite wird man hier zum FTP Archiv verwiesen https://www.lancom-systems.de/downloads/lancom-archiv/, allerdings fragt es dann nach Benutzername/Passwort? Wie ist es gedacht seit der Umstellung auf sftp?

Gruß,
Bernie

[DirkK]

Wie ist es gedacht seit der Umstellung auf sftp?

Hi,

zum einen ist es nicht sFTP, sondern FTPS, zum anderen muss man halt jetzt einen Client verwenden, der FTPS kann. Der gebräuchlichste ist vermutlich FileZilla. Damit geht es auch "anonymous".

Grüße
Dirk

[Caius]

Ave,

ich hatte neulich im anderen Faden gemeckert, daß es beispielsweise mit curl oder wget auch nicht mehr ginge. Das war natürlich Stuß. Interaktiv geht neben dem bereits erwähnten FileZilla z.B. auch lftp, falls man lieber per CLI an die Sachen rangeht (siehe hier: lancom-allgemeine-fragen-f23/die-datenv ... ml#p106875)

Und wenn man den Pfad schon kennt, beispielsweise weil jemand einen Link hier im Forum gepostet hat, kann nach wie vor sowas machen:

curl

Code: Alles auswählen

curl -k --ssl ftp.lancom.de/LANCOM-Beta/LCOS/LCOS%2010.34/BUIL0375/LC-1783VAW-10.34.0375.upx -o LC-1783VAW-10.34.0375.upx

wget

Code: Alles auswählen

wget --no-check-certificate ftps://ftp.lancom.de:21/LANCOM-Beta/LCOS/LCOS%2010.34/BUIL0375/LC-1783VAW-10.34.0375.upx

lftp (hier im nicht-interaktiven Modus)

Code: Alles auswählen

lftp -c 'open -e "set ftp:ssl-allow-anonymous yes ; set ssl:verify-certificate false ; cd LANCOM-Beta/LCOS/LCOS\ 10.34/BUIL0375/ ; get LC-1783VAW-10.34.0375.upx" -u anonymous,anonymous@localhost ftp.lancom.de'

Edit, gerade entdeckt:
Und wer es ganz einfach mag, geht statt per FTP per HTTP auf den FTP-Server.


Gruß
Caius

[JensK]

Moin,

ftp.lancom.de liefert mir seit ein paar Tagen per ftps nur noch ein leeres Verzeichnis, per https funktionierts. Ich nutze für die Downloads allerdings meist meinen Filemanager per ftps - wäre schade, wenn das eingestellt werden würde. Ist irgendwas dazu bekannt?

Jens

[sixty]

Vor wenigen Tagen ist eine hochriskante Sicherheitslücke (RCE) in WS_FTP/Wing FTP bekannt geworden.
Vermutlich hat LANCOM bis zur Verfügbarkeit gepatcher Systeme den FTP-Dienst abgeschaltet.

[Jirka]

Hallo,

danke für die Info. Ich benutze den FTP beinahe werktäglich, um eine Firmware runterzuladen, die ich gerade benötige und die noch nicht in meinem Firmware-Archiv vorhanden ist.

Bei mir geht es auch nicht. FileZilla schreibt im Log:

Code: Alles auswählen

10:45:27	Status:	Auflösen der IP-Adresse für ftp.lancom.de
10:45:27	Status:	Verbinde mit 62.153.130.142:21...
10:45:27	Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
10:45:27	Antwort:	220-------------------------------------------------------------------
10:45:27	Antwort:	 LANCOM Systems GmbH
10:45:27	Antwort:	 Adenauer Strasse 20 / B2
10:45:27	Antwort:	 52146 Wuerselen
10:45:27	Antwort:	 Handelsregister Amtsgericht Aachen HRB 8889
10:45:27	Antwort:	 ------------------------------------------------------------------
10:45:27	Antwort:	 LANCOM Systems public FTP space
10:45:27	Antwort:	 All transfers are logged. If you don't like this, disconnect now.
10:45:27	Antwort:	 ------------------------------------------------------------------
10:45:27	Antwort:	 
10:45:27	Antwort:	220 LANCOM Systems FTP Server ready.
10:45:27	Befehl:	AUTH TLS
10:45:27	Antwort:	234 AUTH TLS successful
10:45:27	Status:	Initialisiere TLS...
10:45:27	Status:	Überprüfe Zertifikat...
10:45:27	Status:	TLS-Verbindung hergestellt.
10:45:27	Befehl:	USER anonymous
10:45:27	Antwort:	331 Anonymous login ok, send your complete email address as your password
10:45:27	Befehl:	PASS **************
10:45:27	Antwort:	230 Anonymous access granted, restrictions apply
10:45:27	Befehl:	SYST
10:45:27	Antwort:	215 UNIX Type: L8
10:45:27	Befehl:	FEAT
10:45:27	Antwort:	211-Features:
10:45:27	Antwort:	 AUTH TLS
10:45:27	Antwort:	 CCC
10:45:27	Antwort:	 CLNT
10:45:27	Antwort:	 EPRT
10:45:27	Antwort:	 EPSV
10:45:27	Antwort:	 HOST
10:45:27	Antwort:	 LANG de-DE.UTF-8*
10:45:27	Antwort:	 MDTM
10:45:27	Antwort:	 MFF modify;UNIX.group;UNIX.mode;
10:45:27	Antwort:	 MFMT
10:45:27	Antwort:	 MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.groupname*;UNIX.mode*;UNIX.owner*;UNIX.ownername*;
10:45:27	Antwort:	 PBSZ
10:45:27	Antwort:	 PROT
10:45:27	Antwort:	 RANG STREAM
10:45:27	Antwort:	 REST STREAM
10:45:27	Antwort:	 SIZE
10:45:27	Antwort:	 SSCN
10:45:27	Antwort:	 TVFS
10:45:27	Antwort:	 UTF8
10:45:28	Antwort:	211 End
10:45:28	Befehl:	CLNT FileZilla
10:45:28	Antwort:	200 OK
10:45:28	Befehl:	OPTS UTF8 ON
10:45:28	Antwort:	200 UTF8 set to on
10:45:28	Befehl:	PBSZ 0
10:45:28	Antwort:	200 PBSZ 0 successful
10:45:28	Befehl:	PROT P
10:45:28	Antwort:	200 Protection set to Private
10:45:28	Status:	Angemeldet
10:45:28	Status:	Empfange Verzeichnisinhalt...
10:45:28	Befehl:	PWD
10:45:28	Antwort:	257 "/" is the current directory
10:45:28	Befehl:	TYPE I
10:45:28	Antwort:	200 Type set to I
10:45:28	Befehl:	PASV
10:45:28	Antwort:	227 Entering Passive Mode (62,153,130,142,210,204).
10:45:28	Befehl:	MLSD
10:45:29	Fehler:	Die Datenverbindung konnte nicht hergestellt werden: ECONNREFUSED - Verbindung durch Server verweigert
10:45:48	Fehler:	Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
10:45:48	Fehler:	Verzeichnisinhalt konnte nicht empfangen werden
10:45:48	Status:	Verbindung zum Server getrennt

Viele Grüße
Jirka

[rotwang]

Vielleicht steht da inzwischen irgendeine Firewall mit Connection-Tracking im Weg.

Das ganze Problem bei FTP ist ja, dass man einen Kontrollkanal hat, über den Server und Client den TCP-Port für die Datenverbindung aushandeln. Wenn eine Firewall Ports nur nach Bedarf aufmachen will, muss sie in den Kontrollkanal reinschauen und den ausgehandelten Port für die Datenverbindung mitlesen. Was bei FTPS, also FTP-über-SSL, a priori nicht mehr geht, denn der Kontrollkanal ist ja per SSL/TLS Ende-zu-Ende verschlüsselt. Und eine 'Datenverbindung' ist bei FTP auch schon das Lesen des Directory-Listings, nicht erst der eigentliche Dateitransfer.

Wenn der Client das zulässt, kann man noch versuchen, Aktiv- oder Passivmodus zu nutzen, d.h. die Richtung des Verbindungsaufbaus für die Datenverbindung umzudrehen. Damit hat man manchmal Glück, dass die fragliche Firewall ausgehende Verbindungen nicht filtert. Aber weil Firewalls mit Connection-Tracking in Netz so gängig sind, ist FTP-over-SSL eigentlich generell Käse...

[rotwang]

Ich habe gerade selber mal ftp.lancom.de mit Filezilla kontaktiert und das geht ohne Probleme.

[Dr.Einstein]

Geht seit ein paar Tagen nicht mehr.

[Jirka]

Hmm.

Vielleicht steht da inzwischen irgendeine Firewall mit Connection-Tracking im Weg.

Also bei mir steht ein LANCOM und der stand letzte Woche genauso da, als es noch funktionierte. Was ggf. auf der anderen Seite passiert ist, keine Ahnung.

Das ganze Problem bei FTP ist ja, dass man einen Kontrollkanal hat, über den Server und Client den TCP-Port für die Datenverbindung aushandeln. Wenn eine Firewall Ports nur nach Bedarf aufmachen will, muss sie in den Kontrollkanal reinschauen und den ausgehandelten Port für die Datenverbindung mitlesen.

Ja, so hat man das bei diesem uralten Protokoll mal im Studium gelernt.

Was bei FTPS, also FTP-über-SSL, a priori nicht mehr geht, denn der Kontrollkanal ist ja per SSL/TLS Ende-zu-Ende verschlüsselt.

Ok, wie hat das dann bisher funktioniert?
Früher war das ja ein einfacher FTP-Server. Also da war das Protokoll FTP. Meines Wissens war dann irgendwann FTP über TLS optional. Und noch etwas später (einige Tage vor dem 01.12.2021) war dann FTP über TLS verpflichtend. Von da an gab es ja keine andere Wahl mehr.

Wenn der Client das zulässt, kann man noch versuchen, Aktiv- oder Passivmodus zu nutzen, d.h. die Richtung des Verbindungsaufbaus für die Datenverbindung umzudrehen.

Aktiv geht auch nicht.

Aber weil Firewalls mit Connection-Tracking in Netz so gängig sind, ist FTP-over-SSL eigentlich generell Käse...

Oh je.

Ich habe gerade selber mal ftp.lancom.de mit Filezilla kontaktiert und das geht ohne Probleme.

Hmm. Schön. Sitzt Du vielleicht hinter der besagten Firewall? Kann ich mir glaube ich auch nicht vorstellen, denn die Zeiten, wo der FTP noch bei LANCOM stand, dürften ja vorbei sein.

[rotwang]

Hmm. Schön. Sitzt Du vielleicht hinter der besagten Firewall? Kann ich mir glaube ich auch nicht vorstellen, denn die Zeiten, wo der FTP noch bei LANCOM stand, dürften ja vorbei sein.

Wohl schon. Der Traceroute bei mir ist verdächtig kurz:

Code: Alles auswählen

 1  172.21.199.252 (172.21.199.252)  0.830 ms  0.931 ms  1.045 ms
 2  * * *
 3  62.153.130.142 (62.153.130.142)  9.033 ms  9.015 ms  8.997 ms

Kann natürlich sein, dass es hier aus dem Hausnetz irgendwelche Wurmlöcher (vulgo: VPN-Tunnel) in Richtung des Servers gibt.

[rotwang]

Geht seit ein paar Tagen nicht mehr.

An der Netzwerkinfrastruktur wird hier seit einigen Monaten viel geändert, das ist Teil der Integration ins R&S-Netz. Ich könnte mir vorstellen, dass bei so einer Änderung der FTP-Server auf die 'andere Seite' irgendeiner Firewall gewandert ist.

[Jirka]

Wie hat COMCARGRU so schön gesagt:

als ITler finden wir Tickets immer geil

Bitteschön: LCSUP-184676

[Jirka]

LANCOM-Support:

Wir haben den von Ihnen angegebenen Business Impact geprüft und sind zu dem Ergebnis gekommen, dass die Bedingungen für das Level 1 nicht erfüllt sind, aufgrund dessen, da die Erreichbarkeit des FTP, keine großflächige Störung für das Unternehmen darstellt. Wir haben den Business Impact daher auf das Level 3 heruntergestuft.

Kann also noch 2 Wochen dauern bis zur Bearbeitung (muss aber nicht).

[Jirka]

Die Antwort vom LANCOM-Support oben ging leider noch weiter, habe ich überlesen, sorry:

Bitte lassen Sie uns Ihre Fehlerausgaben direkt ins Ticket zukommen.

Wir konnten keinen Fehler beim Zugriff auf die URL https://ftp.lancom.de/ feststellen. Dies wurde von mehreren Geräten und verschiedenen Internetanschlüssen aus getestet.

Alternativ können Sie Firmwareversionen auch hier herunterladen: https://my.lancom-systems.de/downloads/

Meine Antwort darauf:

Hallo Herr M. [Datenschutz; Supportmitarbeiter],

mit dem Status "Waiting for Customer" kann ich nichts anfangen. Muss ich damit reagieren? Muss ich antworten? Dann tue ich es hiermit. Meine Antwort ist:

Ja, ist in Ordnung. Sie können die Dimension und Relevanz dieses Problems besser einschätzen, als ich. [Anmerkung: Das bezog sich auf die Einstufung des Störungs-Levels.]

Ach, jetzt verstehe ich. Oh Mist, ich hatte nur das fett Gedruckte gelesen, das darunter dachte ich, ist irgendwelcher Müll, der immer drunter steht, dabei ist das Ihre eigentliche Antwort. Oh je, sorry.

> Bitte lassen Sie uns Ihre Fehlerausgaben direkt ins Ticket zukommen.

Mit dem von mir angegebenen Link können oder dürfen Sie nichts anfangen? Dort ist alles sauber und ordentlich erfasst, es müsste hier nicht noch mal erfasst werden. Auch hat sich schon ein LANCOM-Programmierer an eine mögliche Fehlerursache gewagt. Das könnte Ihnen viel Arbeit ersparen bei der Fehlereingrenzung. Und die Arbeit des Programmierers wäre auch nicht für umsonst.

> Wir konnten keinen Fehler beim Zugriff auf die URL https://ftp.lancom.de/ feststellen.

Sie greifen auf den besagten Server hier per HTTP/HTTPS zu. Hier geht es um das Protokoll FTP über TLS (auch FTP over TLS oder FTP over SSL genannt). Das entspricht z. B. dem Zugriff mit dem Programm FileZilla oder einem anderen FTP-Client.

> Alternativ können Sie Firmwareversionen auch hier herunterladen

Ja, mir bekannt, danke trotzdem für die Info. Allerdings ist dort der Download nicht so effizient möglich und auch nicht für spezielle oder ältere Versionen.

Ich bedanke mich für Ihre Aufmerksamkeit und freue mich auf eine neue Nachricht von Ihnen.

Vielen Dank und viele Grüße
Jirka R. [Datenschutz]