nel server gira windows 2012, questo è perfettamente raggiungibile dall'esterno, ho creato su IIS un sito FTPS selezionando il certificato di sistema disponibile. tuttavia da remoto usando un app android riesco a collegarmi ad un sito FTP ma non FTPS sebbene le credenziali siano corrette. sembra che scatti un timeout e la connessione fallisce. lo stesso vale se provo a fare la cosa in locale.
qualcuno sa suggerirmi dove potrebbe stare il problema?

Hai aperto correttamente le porte del firewall? FTPs non usa solo la porta 21...

le porte 989/990 sono aperte, il firewall ha regola per cui non dovrebbe bloccarle, nonostante ciò non funziona

le porte 989/990 sono aperte, il firewall ha regola per cui non dovrebbe bloccarle, nonostante ciò non funziona

Le porte 989 e 990 sono usate nell'IMPLICIT mode che se non erro non è più tanto usato.

Prova l'EXPLICIT mode che usa le porte 20 per i dato e 21 per i comandi.

Non sapendo come hai configurato il server prova ad aprire anche la porta 443 del TLS/SSL.

Io ricordavo che per quanto riguarda molte connessioni FTP di tipo Passivo la negoziazione della connessione andava a battezzare una porta per il trasferimento dei dati. Porta che era generata randomicamente e che non era standard, per questo più difficile da configurare lato firewall.

Per scrupolo ho cercato se anche con l'FTPS funzionasse così e ho trovato questa parte nella pagina wikipedia:

Firewall incompatibilities[edit]
Because FTP uses a dynamic secondary port (for data channels), many firewalls were designed to snoop FTP protocol control messages in order to determine which secondary data connections they need to allow. However, if the FTP control connection is encrypted using TLS/SSL, the firewall cannot determine the TCP port number of a data connection negotiated between the client and FTP server. Therefore, in many firewalled networks, an FTPS deployment will fail when an unencrypted FTP deployment will work. This problem can be solved with the use of a limited range of ports for data and configuring the firewall to open these ports.

https://en.wikipedia.org/wiki/FTPS

Detto questo dovresti guardare i log del firewall per vedere che pacchetti sono in DROP e che porte sono utilizzate.

ora sono raffiorati dalla mente i ricordi....
pero praticamente dove vado a configurarlo tale range?


la 443 è aperta

Potresti spiegarmi come hai creato il sito sftp con IIS?

impostando il certificato SSL da usare

non ho mai configurato un FTPS con IIS ma questa guida mi sembra faccia al caso tuo:

http://www.iis.net/learn/publish/using-the-ftp-service/configuring-ftp-firewall-settings-in-iis-7

specialmente dalla sezione "Configure the Passive Port Range for the FTP Service"
In generale mi sembra una guida fatta piuttosto bene e nella parte finale spiega anche un po' di teoria sul funzionamento dell'FTP, che non guasta mai.

immagino poi che il range delle porte vada poi aperto sul router

ma non hai modo di usare qualcosa di più "normale" che ftp/s (sftp, webdav, ecc ecc )?

immagino poi che il range delle porte vada poi aperto sul router

Ah certo, se vuoi pubblicare il servizio devi forwardare le porte verso il server interno.