Hilfe bei Einrichtung VPN (NAS an FB 7270)

[frognet]

Hallo all,

ich suche eine Hilfestellung bei der Einrichtung eines NAS (WD MyBook World II) an einer Fritz!Box 7270 mit Freigabe über Fritz!Fernzugang (VPN).

Aktueller Stand: Der VPN Tunnel steht und ich kann das NAS anpingen - leider aber die Verzeichnisse noch nicht als Netzlaufwerk verbinden

Ziel: Ich möchte von unterwegs via VPN-Tunnel auf mein NAS zugreifen und es als Netzlaufwerk in mein Laptop einbinden.

Freue mich über Eure Hilfe.

Vielen Dank
Jürgen

[chris01]

von intern kommst du hin?

ich gehe davon aus, dass der fritz gleichzeitig router, firewall und vpngateway ist. vielleicht läßt die fritz-firewall nur bestimmte ports durch und das cifs/smb eben nicht?

[frognet]

Hallo Christoph,

ja, die Fritz!Box ist in Tateinheit mein Router, die Firewall und das Geteway. Intern habe ich vollen Zugriff aufs NAS. Über den VPN Tunnel komme ich allerdings nicht auf das NAS; der Ping klappt jedoch.

Ich bin mir nicht sicher, ob es ein Firewall Problem ist, da ich Testweise die IP des NAS in der Fritz!Box als "Exposed Host" freigegeben habe. Damit wären für den Test alle Ports offen. Ich konnte das Verzeichnis allerdings trotzdem nicht erreichen.

Gruß
Jürgen

[retsyo]

Ich verstehe in diesem Thread komplett nur Bahnhof....

[Passion]

Original von retsyo
Ich verstehe in diesem Thread komplett nur Bahnhof....

In der Tat, ein VPN Tunnel ist wie die Verbindung zwischen zwei Bahnhöfen, von daher bist du extrem nahe dran!

[chris01]

der ping auf das nas funktioniert, sagst du. hat das nas vielleicht einen parameter in den optionen, der den zugriff von adressbereichen erlaubt/verbietet?

versuche mal einen portscan auf das nas mit einem port-scanner, nachdem du die vpn-verbindung etabliert hast. dann solltest du sehen, welche dienste das nas anbietet (also die port nummern der auf anfragenden dienste, z.B. ssh hat standardmäßig 22, ftp 20, etc.).

sollte nicht klar sein, was ein portscanner ist: ein programm, dass in netzwerken rechner bzw. deren offene ports identifiziert. einfach googlen nach "free port scanner" und man findet was für windows.

und mache den scan auch von intern mal aus. wenn die beiden ausgaben differieren, wird irgendwo was blockiert.

unter http://www.iana.org/assignments/port-numbers findest du die nummern von standarddiensten.

[HorstDJ]

Nimmt der Router oder das NAS die VPN-Verbindung an? Welche IP-Adresse bekommt der entfernte Rechner vom Router bzw. vom NAS zugewiesen? Ist diese IP-Adresse "zugangsberechtigt" beim NAS?

Viel Erfolg und liebe Grüße


Stefan

[chris01]

das nas wird ja wohl kaum vpn-gw spielen. er schreibt ja, dass sein fritz-device router/fw/vpngw ist.

[HorstDJ]

Das dachte ich mir schon, nur wenn das NAS nicht den Gateway spielt, sollte er mal nachsehen ob das NAS die VPN-IP Adresse des Außenrechners durchlässt. Meistens sind die IPs von außen ja aus einem anderen Bereich als die intern vergebenen.

Liebe Grüße


Stefan

[frognet]

stefan: Dem NAS habe ich eine fixe IP zugewiesen; unter dieser ist es intern erreichbar/adressierbar und kann von extern angepingt werden. Ansonsten spielt die Fritz!Box das Gateway und das NAS ist in der Fritz!Box mit der richtigen IP Adresse aufgeführt. Es geht also eher darum, was der VPN Tunnel an Protokollen durchlässt, welche Freigaben (PORT und DIENSTE) evtl. noch notwendig sind, etc.

Christoph: Ich werde das mit dem Portscan morgen mal in Ruhe probieren.

[HorstDJ]

Ich meinte dass das NAS einen IP-Adressen-Filter hat und die IP-Adresse die der Rechner außen zugewiesen bekommt, nicht durchlässt. Kann das sein?

Liebe Grüße

Stefan

[chris01]

Original von HorstDJ
Ich meinte dass das NAS einen IP-Adressen-Filter hat und die IP-Adresse die der Rechner außen zugewiesen bekommt, nicht durchlässt. Kann das sein?

Liebe Grüße

Stefan

das hab ich ja schon vorhin gemeint, also ich geschrieben hab, dass man schaun soll, ob der nas adressen erlaubt/verbietet. halte es aber eher für unwahrscheinlich, weil der zugang wohl eher per zugangsdaten und eher weniger auf basis von adressen gewährleistet wird.
er soll aber mal in der weboberfläche (??) schaun, ob da was eingestllt ist.

[frognet]

nein, es gibt keine Filter bzw. Einschränkungen bzgl. der IP-Adressen. Im Web-Interface des NAS gibt es keinerlei Einstellungsmöglichkeiten.

[HorstDJ]

Sorry das hatte ich bei dir oben überlesen...ich denke auch er sollte mal auf die Weboberfläche schaun, denn ich bin der Meinung das einige NAS das über IP-Adressen und Benutzernamen/PW machen.

Liebe Grüße

Stefan

[ehemaliges mitglied]

Hast du schon mal versucht die Ports
137/tcp
137/udp
138/udp
139/tcp
445/tcp
und
445/udp
in der Firewall freizugeben. Das sollten eigentlich die Ports sein, die beim Zugriff auf Windows- bzw. SMB-Freigaben wichtig sind.


OLI

[Bierchen]

Original von o_s_c
Hast du schon mal versucht die Ports
137/tcp
137/udp
138/udp
139/tcp
445/tcp
und
445/udp
in der Firewall freizugeben. Das sollten eigentlich die Ports sein, die beim Zugriff auf Windows- bzw. SMB-Freigaben wichtig sind.


OLI

...oder evtl. auch ne Range, so 1-9000.

[frognet]

So, hatte jetzt gerade ein paar Minuten für weitere Tests.

Die Portfreigaben der FB intern sind 80 (http), 135 (epmap) , 139 (netbios-ssn) , 443 (https) und 445 (microsoft-ds); extern 21 (ftp), 135, 139 und 445.

Die Portfreigaben des NAS (das dürfte das relevantere sein) sind intern: 80,139 und extern 21, 80, 139.

Trotzdem dürfte der Fehler hier nicht liegen, da ich sowohl die FB als auch das NAS jeweils testweise als Exposed Host (exposed DMZ) eingetragen hatte. Damit waren alle Ports frei. Es hat aber leider nicht geholfen. Ich kann das NAS von extern sauber anpingen, aber leider eben nicht mit \\192.168.xxx.xx\public erreichen. Intern funktioniert das einwandfrei.

Könnte es evtl. noch an den Netzwerk- oder Protokolleinstellungen des XP-Laptops liegen, mit dem ich den Tunnel aufbaue? Was müsste dort freigegeben/aktiviert sein?

Nochmals Danke für Eure Mühe.
Grüße aus München
Jürgen

In den Firewalls (FB und externer Rechner) sind die VPN Verbindungen als Ausnahme eingetragen. Aber, VPN-Tunnel steht ja eh sauber.

[ehemaliges mitglied]

Wie sieht denn so ein Zugriffsversuch überhaupt aus? Und wie lautet die Fehlermeldung?
Machst du das per "net use" in einer DOS-Box?


OLI

[frognet]

Hallo Oli,

ich gehe im Explorer einfach auf Netzlaufwerk verbinden.

[ehemaliges mitglied]

Vielleicht bekommst du ja eine hilfreichere Fehlermeldung, wenn du das ganze mal in einer DOS-Box versuchst.
Start - Ausführen - "cmd" - [ENTER]
net use [laufwerksbuchstabe: ] \\nameoderipdesnas\freigabe

Hast du schon mal versucht, nicht eine Freigabe auf dem NAS sondern eine auf deinem PC von extern über VPN auf dem gleichen Weg zu erreichen? Klappt das?

Kannst du testweise mal die Firewallfunktion komplett abschalten oder alternativ temporär mal die Ports von 1 - 9999 freigeben? (nur im die FW als Ursache auszuschließen).

Brauchtst du eigentlich einen Benutzernamen für den Zugriff auf die Freigabe des NAS? Ist evtl. der Benutzername und das Passwort von deinem internen Rechner gleich einem auf dem NAS eingerichteten Benutzer? Dann könnte der Zugriff, wenn du von zu hause auf auf die Freigabe gehst, problemlos klappen, während das von einem anderen (externen) Rechner, an dem du lokal mit einem anderen Benutzernamen und/oder Passwort angemeldet bist, nicht klappt.
Du kannst den "net use"-Befehl auch um den Parameter /user:[BENUTZERNAME] erweitern.

Vielleich hilft dir das ja etwas weiter...

OLI