14
Kein Zugriff auf NAS bei DS Lite
Hallo liebe Gemeinde,
dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. Leider komme ich nicht weiter.
Problem:
Ich kann mich via Internet nicht auf meine Daten auf dem NAS zugreifen, auf die GUI jedoch schon.
Setup:
Internetanbieter Vodafone mit DS-Lite
FRITZ!Box 6591 Cable, MyFritz aktiviert, Ports 80 und 445 auf NAS weitergeleitet
NAS ist eine Raspberry Pi4 mit OMV5
V-Server mit IPv4 und IPv6 Adresse bei IONOS mit Linux und 6tunnel. Ports 80 und 445 weitergeleitet auf [meineNAS].[meineMyFritzAdresse].myfritz.net
Ports in der Firewall des V-Servers sind offen.
Ergebnis:
Gebe ich auf meinem Smartphone außerhalb des Heimnetzes die IPv4-Adresse in den Browser ein, öffnet sich die GUI der NAS - so soll es sein!
Gebe ich allerdings in einem FileBrowser die Adresse ein und versuche via Samba auf den Server zuzugreifen, passiert nichts.
Auch ein Portscanner bestätigt: Port 80 offen, 445 aber nicht.
Ich probiere seit zwei Tagen rum und bin echt ratlos... Wer kann mir helfen?
Danke im Voraus,
Martin
dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. Leider komme ich nicht weiter.
Problem:
Ich kann mich via Internet nicht auf meine Daten auf dem NAS zugreifen, auf die GUI jedoch schon.
Setup:
Internetanbieter Vodafone mit DS-Lite
FRITZ!Box 6591 Cable, MyFritz aktiviert, Ports 80 und 445 auf NAS weitergeleitet
NAS ist eine Raspberry Pi4 mit OMV5
V-Server mit IPv4 und IPv6 Adresse bei IONOS mit Linux und 6tunnel. Ports 80 und 445 weitergeleitet auf [meineNAS].[meineMyFritzAdresse].myfritz.net
Ports in der Firewall des V-Servers sind offen.
Ergebnis:
Gebe ich auf meinem Smartphone außerhalb des Heimnetzes die IPv4-Adresse in den Browser ein, öffnet sich die GUI der NAS - so soll es sein!
Gebe ich allerdings in einem FileBrowser die Adresse ein und versuche via Samba auf den Server zuzugreifen, passiert nichts.
Auch ein Portscanner bestätigt: Port 80 offen, 445 aber nicht.
Ich probiere seit zwei Tagen rum und bin echt ratlos... Wer kann mir helfen?
Danke im Voraus,
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 614198
Url: https://administrator.de/contentid/614198
Printed on: April 24, 2024 at 07:04 o'clock
14 Comments
Latest comment
Hallo,
wen Port 80 funktioniert, weist Du dass die IP-Adresse und eine Port-Weiterleitung funktioniert.
Das ist schon mal mehr als von man von einem Lite-Zugang erwarten darf.
Wenn also Port 80 geht, 445 aber nicht, heist das:
a) Du hast was falsch gemacht
b) Der Anbieter lässt das schlicht nicht zu (Ende im Gelände)
btw. weder Port 80 noch Port 445 sind wirklich sinnvoll... https und vpn sind Deine Freunde.
Stefan
wen Port 80 funktioniert, weist Du dass die IP-Adresse und eine Port-Weiterleitung funktioniert.
Das ist schon mal mehr als von man von einem Lite-Zugang erwarten darf.
Wenn also Port 80 geht, 445 aber nicht, heist das:
a) Du hast was falsch gemacht
b) Der Anbieter lässt das schlicht nicht zu (Ende im Gelände)
btw. weder Port 80 noch Port 445 sind wirklich sinnvoll... https und vpn sind Deine Freunde.
Stefan
Hallo Martin,
warum 445? Wenn du https willst, nimm 443 und gut, 445 könnte woanders geblockt sein.
Grüße
warum 445? Wenn du https willst, nimm 443 und gut, 445 könnte woanders geblockt sein.
Grüße
TCP 445 ist SMB/CIFS. Das vollkommen ungeschützt ins Internet zu exponieren muss man hier in einem Administrator Forum sicher nicht mehr weiter kommentieren. Sowas machen heutzutage nicht einmal mehr die größten DAUs.
Man kann nur inständig hoffen das der TO hier einen Tippfehler begangen hat und TCP 443 (HTTPS) meint ?!
Offen auf ein NAS zuzugreifen (TCP 80 ist ebenfalls ungeschützt) ist sicherheitstechnischer Wahnsinn. Vernüftige und Verantwortungs bewusste User denen der Schutz der eigenen Daten etwas Wert ist machen sowas natürlich immer mit einem VPN.
Zumal der TO ja auch noch einen vServer betreibt und sowas mit DS-Lite dann sehr einfach, elegant und zudem sicher lösen könnte:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Mehr muss man dazu sicher nicht sagen...
Man kann nur inständig hoffen das der TO hier einen Tippfehler begangen hat und TCP 443 (HTTPS) meint ?!
Offen auf ein NAS zuzugreifen (TCP 80 ist ebenfalls ungeschützt) ist sicherheitstechnischer Wahnsinn. Vernüftige und Verantwortungs bewusste User denen der Schutz der eigenen Daten etwas Wert ist machen sowas natürlich immer mit einem VPN.
Zumal der TO ja auch noch einen vServer betreibt und sowas mit DS-Lite dann sehr einfach, elegant und zudem sicher lösen könnte:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Mehr muss man dazu sicher nicht sagen...
Moin,
ich würde grundsätzlich nicht empfehlen, den SMB-Port 445 offen ins Netz zu stellen. Hier würde ich auf jeden Fall ein VPN empfehlen.
Auch die unverschlüsselte HTTP-Verbindung (Port 80) ist keine gute Option. Da solltest du dringend auf HTTPS wechseln.
Wenn allerdings die Verbindung über Port 80 funktioniert, muss irgendwo auf dem Weg noch etwas geblockt werden. Checke nochmal die FW von der Fritzbox, vServer und OMV.
Es könnte auch sein, dass dein vServer-Provider einige unsichere Ports per default blockt. Da hilft nur die Analyse über jedes einzelne Verbindungssegment.
VG
ich würde grundsätzlich nicht empfehlen, den SMB-Port 445 offen ins Netz zu stellen. Hier würde ich auf jeden Fall ein VPN empfehlen.
Auch die unverschlüsselte HTTP-Verbindung (Port 80) ist keine gute Option. Da solltest du dringend auf HTTPS wechseln.
Wenn allerdings die Verbindung über Port 80 funktioniert, muss irgendwo auf dem Weg noch etwas geblockt werden. Checke nochmal die FW von der Fritzbox, vServer und OMV.
Es könnte auch sein, dass dein vServer-Provider einige unsichere Ports per default blockt. Da hilft nur die Analyse über jedes einzelne Verbindungssegment.
VG
TCP 445 ist SMB/CIFS. Das vollkommen ungeschützt ins Internet zu exponieren muss man hier in einem Administrator Forum sicher nicht mehr weiter kommentieren. Sowas machen heutzutage nicht einmal mehr die größten DAUs.
Wo du Recht hast, das war aber SO abwegig, dass ich DARAN gar nicht gedacht hab. Nunja, ich hoffe, er hat wirklich HTTPS/443 gemeint, denn SMB blockert jeder halbwegs gute Router sowieso ausgehend.
Wenn allerdings die Verbindung über Port 80 funktioniert, muss irgendwo auf dem Weg noch etwas geblockt werden. Checke nochmal die FW von der Fritzbox, vServer und OMV.
Wie an @aqui schon geschrieben, ich nahm nicht an, dass man so verrückt ist. Nunja, aber bzgl. SMB, das wird von, wie schon geschrieben, jedem halbwegs guten Router automatisch geblockt (warum nur
) probier es gerne mal, du wirst nicht raus kommen...
Moin,
ich habe gerade noch den Hinweis gefunden, dass VF bei "ihren" Fritzboxen eine Freigabe von Port 445 garnicht zulässt: https://forum.golem.de/kommentare/security/remote-code-execution-sicherh ...
Die Ausführungen zum Thema Sicherheit wiederhole ich an der Stelle jetzt nicht.
VG
ich habe gerade noch den Hinweis gefunden, dass VF bei "ihren" Fritzboxen eine Freigabe von Port 445 garnicht zulässt: https://forum.golem.de/kommentare/security/remote-code-execution-sicherh ...
Die Ausführungen zum Thema Sicherheit wiederhole ich an der Stelle jetzt nicht.
VG
Das ist der fest aktivierte NetBios Filter:
https://service.avm.de/help/de/FRITZ-Box-7590/019/hilfe_howto_vpn_netbio ...
Sehr sinnvoll von AVM um solche gruseligen DAU Dinge wie SMB freigeben übers Internet sicher zu verhindern. Traurig das einigen die Sicherheit ihrer persönlichen Daten völlig schnurz ist und sie es dennoch immer wieder versuchen. Sind dann die die dann hinterher am lautesten schreien wenn sie Malware Opfer werden....
https://service.avm.de/help/de/FRITZ-Box-7590/019/hilfe_howto_vpn_netbio ...
Sehr sinnvoll von AVM um solche gruseligen DAU Dinge wie SMB freigeben übers Internet sicher zu verhindern. Traurig das einigen die Sicherheit ihrer persönlichen Daten völlig schnurz ist und sie es dennoch immer wieder versuchen. Sind dann die die dann hinterher am lautesten schreien wenn sie Malware Opfer werden....
Zitat von @aqui:
...Traurig das einigen die Sicherheit ihrer persönlichen Daten völlig schnurz ist und sie es dennoch immer wieder versuchen. Sind dann die die dann hinterher am lautesten schreien wenn sie Malware Opfer werden....
Naja, solange im Bereich der medizinischen Software folgende Vorgaben von vielen Herstellern gelten........Traurig das einigen die Sicherheit ihrer persönlichen Daten völlig schnurz ist und sie es dennoch immer wieder versuchen. Sind dann die die dann hinterher am lautesten schreien wenn sie Malware Opfer werden....
- Lokale Administratorrechte für jeden Benutzer
- UAC deaktiviert
- Windows-Firewall oder vergleichbare Software deaktivieren
- Windows Updates hart deaktivieren
- Kein Antivirenprogramm oder vergleichbare Software
- Keine VLANs zu den medizinischen Geräten
FRITZ!Box 6591 Cable, MyFritz aktiviert, Ports 80 und 445 auf NAS weitergeleitet
[...]
V-Server mit IPv4 und IPv6 Adresse bei IONOS mit Linux und 6tunnel. Ports 80 und 445 weitergeleitet auf [meineNAS].[meineMyFritzAdresse].myfritz.net
Martin
[...]
V-Server mit IPv4 und IPv6 Adresse bei IONOS mit Linux und 6tunnel. Ports 80 und 445 weitergeleitet auf [meineNAS].[meineMyFritzAdresse].myfritz.net
Martin
Verbindest Du dich über VPN mit dem NAS ?
Wenn my-fritz-Zugang an sich funktioniert, dann sollte auch VPN funktionieren.
Gruß
Und schon wieder so ein Thema wo der TO nicht mehr gesehen wurde...
Moin
Naja,
der Start des Thread ist erst 2 Tage her.
Manchmal kommt etwas dazwischen sich hinterher zu hängen.
Vor allem wenn es nicht die Level 4 Prio hat und im privaten ist
Naja,
der Start des Thread ist erst 2 Tage her.
Manchmal kommt etwas dazwischen sich hinterher zu hängen.
Vor allem wenn es nicht die Level 4 Prio hat und im privaten ist
Hi,
ich hatte die Ports 80 und 445 nur testweise offen, die Begründung, dass die Hersteller die Ports im Router sperren, klingt aber einleuchtend.
Die Ports 80 und 445 sind nun wieder dicht, dafür aber 443 und der Port 1194 (TCP).
Die Verbindung zum NAS möchte ich via OpenVPN (als Plugin in OMV5 auf den Pi) herstellen. Die Ports habe ich (meiner Meinung nach) auch auf dem vServer, der Fritz!Box und in OMV5 geöffnet. Via 443 kann ich auch auf die Benutzeroberfläche zugreifen, Alldings scheint kein anderer Port offen zu sein.
Kann hier jemand helfen?
Vielen Dank!
ich hatte die Ports 80 und 445 nur testweise offen, die Begründung, dass die Hersteller die Ports im Router sperren, klingt aber einleuchtend.
Die Ports 80 und 445 sind nun wieder dicht, dafür aber 443 und der Port 1194 (TCP).
Die Verbindung zum NAS möchte ich via OpenVPN (als Plugin in OMV5 auf den Pi) herstellen. Die Ports habe ich (meiner Meinung nach) auch auf dem vServer, der Fritz!Box und in OMV5 geöffnet. Via 443 kann ich auch auf die Benutzeroberfläche zugreifen, Alldings scheint kein anderer Port offen zu sein.
Kann hier jemand helfen?
Vielen Dank!
und der Port 1194 (TCP).
Wieder ein fehler denn man sollte aus Performance Gründen niemals eine TCP Encapsulation bei OpenVPN nutzen. OpenVPN selber rät in seinen design Guides dringenst davon ab aus guten Gründen. Performance, Overhead, MTU Probleme usw.Hier sollte man immer den Standard UDP beibehalten.
Bei der FritzBox und OMV5 ist es sinnfrei den VPN Port zu öffnen, denn diese sind am VPN Traffic ja gar nicht beteiligt. Zudem bedient die FB einen DS-Lite Anschluss wo es eh sinnlos ist.
Der OVPN Client im Heimnetz ist ja VPN Seting immer der Initiator. Er eröffnet die UDP 1194 Session auf den vServer zum OpenVPN Server. Damit ist die Session eröffenent und auch der Rückweg der VPN Pakete etabliert.
Man sollte aber in jedem Falle einen Keepalive aktivieren damit die VPN Sessin zum vServer stabil bleibt.
Das hiesige_Tutorial zeigt eine entsprechende OVPN Server Konfig.
Wie so ein vServer Szenario mit DS-Lite aussieht beschreibt dieser Thread:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
