decehakan
Goto Top

VPN aber kein Zugirff auf das NAS-Dashboard

Hallo Zusammen,

heute habe ich mich per VPN auf unseren Firmernnetzwerk auf die Fritzbox 7590 verbunden. Ich hab Zugriff auf das Netzlaufwerk(NAS) und Router(Netzwerkdrucker nicht getestet).
Leider habe ich kein Zugriff auf das Dasboard meines NAS.

Auf der Arbeit kann ich per NAS-IP mich auf das Dasboard zugreifen, per VPN aber, verweigern die Browser Google\Firefox\IE den Zugriff. (Keine Berechtigung).

Die VPN Verbindung auf die Fritzbox läuft über IPsec.

Auf dem NAS habe ich folgende Einstellung:

NAS-IP: Relaiseverbindung(kein statische IP, sondern wird automatisch vom DHCP-Sever des Fritzbox mitgeteilt)
Port: 443 (Https)
Port:4443(Webdav)

RemoteZugriff auf das Dashboard: ausgestellt. Diese Einstellung erlaubt den Kunden per Internet auf das Gerät zuzugreifen.
Wegen Sicherheitslücke die seitens von WD bekannt sind, wird empfohlen diese o.g Einstellung auszustellen.

Ansonsten SMB3.

Fritzbox:
Portweiterleitung 443/4443 vom NAS


Nachdem allgemeinen Verständnis müsste ich ja auch auf das Dashboard zugreifen, da ich auch die Fritzbox per localip zugreifen kann.
Ich hoffe, ihr könnt mir weiterhelfen.

VG

decehakan

Content-Key: 397944

Url: https://administrator.de/contentid/397944

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: 129580
129580 11.01.2019 um 21:17:37 Uhr
Goto Top
Hallo,

deine Angaben sind etwas durcheinander.

Du willst via VPN auf das NAS in der Firma zugreifen? Der VPN Tunnel steht aber wenn du nun auf die Weboberfläche des NAS zugreifen möchtest, erhältst du den Fehler "Keine Berechtigung"? Wenn das soweit alles korrekt ist, dann ist das kein Netzwerkproblem. Vermutlich ist auf der NAS ACLs definiert von welchen Netzen man auf das Teil zugreifen darf.

Es handelt sich wohl um eine WD NAS?

Fritzbox:
Portweiterleitung 443/4443 vom NAS

Dir ist bewusst, was diese Einstellung bewirkt? Mal abgesehen davon, dass du ohnehin via VPN auf die NAS zugreifen möchtest (und solltest!).
Würde ich dringend Rückgängig machen.

Viele Grüße,
Exception
Mitglied: aqui
aqui 11.01.2019 aktualisiert um 21:23:34 Uhr
Goto Top
sondern wird automatisch vom DHCP-Sever des Fritzbox mitgeteilt
Das ist natürlich tödlich für einen NAS oder Server !
Jeder IT Azubi lernt das Server und NAS immer feste statische IP Adressen haben in einem IP Netzwerk. Den Grund muss man sicher in einem Administrator Forum nicht noch extra erklären. Das hat vermutlich ein laienhafter Bastler eingerichtet aber kein Netzwerker. face-sad Aber egal...
Möglich natürlich das im FritzBox DHCP Server ggf. eine feste Reservierung auf Basis der NAS Mac Adresse gemacht wurde.
Das wäre dann wieder richtig und OK denn so bekäme das NAS dann immer eine feste IP auf Basis seiner Mac Adresse zugewiesen.
Eine rein dynmaische IP Adresse für ein NAS natürlich nicht ! Wenn möglich änder das und achte dann darauf das die statische IP sich nicht mit dem DHCP Pool der FB überschneidet !

Wenn du bei aktivem VPN Client die IP des NAS anpingen kannst, dann ist die IP Connectivity soweit gegeben.
Wenn bei einem GUI Zugriff dann sowas wie "(Keine Berechtigung)" kommt kann man nur vermuten das das NAS eine interne Firewall hat und eine User Authentisierung. Solche Messages kommen logischerweise niemals vom Netzwerk selber.
Das liegt dann sehr wahrscheinlich daran das du ja eine fremde Absender IP hast (VPN IP) für das NAS und keine aus dem lokalen IP Netz. Dann blockiert vermutlich die NAS Firewall den Zugriff.
Das muss man natürlich im NAS Setup dann anpassen.

Die Port Weiterleitung ist bei einem VPN Zugang natürlich völliger Quatsch !!
Kollege @129580 hat oben ja schon alles dazu gesagt ! Die solltest du also dringenst wieder entfernen.
Eine Port Weiterleitung dient dazu eingehenden direkten HTTP/S Traffic vom ungeschützten Internet vorbei an der FritzBox Firewall auf das NAS weiterzuleiten.
Sowas ist natürlich Quatsch und auch ein fatales Sicherheitsproblem, denn damit öffnest du die Firewall und lässt ungeschützten Traffic vom Internet direkt auf das NAS los. Nichtmal Dummies machen sowas heutzutage !
Weisst du aber vermutlich auch selber ?!
Genau DAS willst du ja auch richtigerweise mit der sinnvollen Nutzung eines VPNs für den Zugriff verhindern.
Also weg mit dem ganzen Port Forwarding Quatsch !!!
Vieleicht war sogar auch das schon der Fehler ?!
Mitglied: decehakan
decehakan 11.01.2019 um 22:07:53 Uhr
Goto Top
Zitat von @129580:

Du willst via VPN auf das NAS in der Firma zugreifen? Der VPN Tunnel steht aber wenn du nun auf die Weboberfläche des NAS zugreifen möchtest, erhältst du den Fehler "Keine Berechtigung"? Wenn das soweit alles korrekt ist, dann ist das kein Netzwerkproblem. Vermutlich ist auf der NAS ACLs definiert von welchen Netzen man auf das Teil zugreifen darf.

Kann ich dagegen etwas machen?

Ja die Portweiterleitung hatte ich auch vor zuschließen, die habe ich zum Test-Zwecke für WebDAV benutzt.

VG

decehakan
Mitglied: decehakan
decehakan 11.01.2019 um 22:19:46 Uhr
Goto Top
Zitat von @aqui:

Möglich natürlich das im FritzBox DHCP Server ggf. eine feste Reservierung auf Basis der NAS Mac Adresse gemacht wurde.
Das wäre dann wieder richtig und OK denn so bekäme das NAS dann immer eine feste IP auf Basis seiner Mac Adresse zugewiesen.

Genau so ist das. DHCP ist ja auch nicht aktiviert. Nach Werkeinstellung macht er es über die Mac-Adresse.

Wenn du bei aktivem VPN Client die IP des NAS anpingen kannst, dann ist die IP Connectivity soweit gegeben.
Anpingen klappt gut. Hab ja auch Zugang zum Storage.

Wenn bei einem GUI Zugriff dann sowas wie "(Keine Berechtigung)" kommt kann man nur vermuten das das NAS eine interne Firewall hat und eine User Authentisierung. Solche Messages kommen logischerweise niemals vom Netzwerk selber.
Das liegt dann sehr wahrscheinlich daran das du ja eine fremde Absender IP hast (VPN IP) für das NAS und keine aus dem lokalen IP Netz. Dann blockiert vermutlich die NAS Firewall den Zugriff.
Das muss man natürlich im NAS Setup dann anpassen.
Auch wenn ich ein VPN-IP habe, die im IP-Netz des Router liegt, wird als Fremd bewertet. Aha face-smile.
Das macht alles Sinn. Der NAS ist kein besonderer, WD-NAS
Nach welchem Keyword sollte ich im NAS-Einstellung suchen?


Die Port Weiterleitung ist bei einem VPN Zugang natürlich völliger Quatsch !!
Kollege @129580 hat oben ja schon alles dazu gesagt ! Die solltest du also dringenst wieder entfernen.
Eine Port Weiterleitung dient dazu eingehenden direkten HTTP/S Traffic vom ungeschützten Internet vorbei an der FritzBox Firewall auf das NAS weiterzuleiten.
Sowas ist natürlich Quatsch und auch ein fatales Sicherheitsproblem, denn damit öffnest du die Firewall und lässt ungeschützten Traffic vom Internet direkt auf das NAS los. Nichtmal Dummies machen sowas heutzutage !
Weisst du aber vermutlich auch selber ?!
Genau DAS willst du ja auch richtigerweise mit der sinnvollen Nutzung eines VPNs für den Zugriff verhindern.
Also weg mit dem ganzen Port Forwarding Quatsch !!!
Vieleicht war sogar auch das schon der Fehler ?!

Hast vollkommen recht, die Portweiterleitung habe ich auch zum Test-Zwecke benutzt.
Mitglied: vossi31
vossi31 12.01.2019 um 12:58:41 Uhr
Goto Top
Moin,

du hast doch hier selbst geschrieben warum es remote nicht geht.
RemoteZugriff auf das Dashboard: ausgestellt. Diese Einstellung erlaubt den Kunden per Internet auf das Gerät zuzugreifen.
Wegen Sicherheitslücke die seitens von WD bekannt sind, wird empfohlen diese o.g Einstellung auszustellen.

Henning