floh21
Goto Top

Fritz Box Site-To-Site, Tunnel steht, aber kein Zugriff auf die Geräte

Hallo zusammen,
ich benötige mal Eure Hilfe.
Ich habe einen IPSec-Site-to-Site-Tunnel zwischen zwei Netzwerken eingerichtet (zwischen zwei Fritzboxen).
Soweit so gut. Laut Fritzboxen steht der Tunnel auch. Beide Fritzboxen sind auch über das Internet erreichbar. Das Häkchen bei NetBios ist auch gesetzt.
Ich kann auch auf die Fritzboxen zugreifen auch auf die Fritzbox die in einem Netzwerk als Mesh-Repeater agiert. Nur auf die PC´s oder Netzwerkfreigaben habe ich keinen Zugriff. Ich kann Sie leider auch nicht anpingen, dann kommt als Meldung eine Zeitüberschreitung. Beim Ping auf die FritzBox bekomme ich die Rückmldung 4 Pakete versendet und 4 Pakete erhalten.
Genauso auch aus dem anderen Netzwerk heraus.
Ich sehe nur die PC´s die auch in diesem Netzwerk sind und nicht die Geräte aus dem anderen Netzwerk.

Fritzbox 7520:
- IP-Adressbereich: 192.168.188.0

FritzBox 7580:
- IP-Adressbereich: 192.168.178.0

Woran kann es noch liegen?

Content-ID: 83707275255

Url: https://administrator.de/forum/fritz-box-site-to-site-tunnel-steht-aber-kein-zugriff-auf-die-geraete-83707275255.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

7907292512
7907292512 14.09.2023 aktualisiert um 16:08:53 Uhr
Goto Top
ICMP und SMB ist per Default in der Windows Firewall auf das eigene Subnetz beschränkt. Musst du in der Firewall-regel für SMB und ICMP auf das andere Subnetz ausweiten....Findest du hier 1000fach.

screenshot

Oder per Powershell ICMP und SMB (IPv4) für alle Netze die sich im "Privat"-Modus befinden, inbound erlauben (in elevated Powershell Konsole ausführen)
Get-NetFirewallRule -Group '@FirewallAPI.dll,-28502' -Direction Inbound | ? Profile -eq 'Private' | Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -RemoteAddress Any  

Auf anderen Geräten wie NAS etc. ebenfalls eventuelle Firewall-Filter checken und customizen!

Gruß sid
Floh21
Floh21 14.09.2023 um 16:13:38 Uhr
Goto Top
Ok, danke für den Ansatz aber irgendwie hat das auch nicht funktioniert. Es wird zwar angezeigt, dass das jetzt bei remote auch beliebig ist aber ich habe trotzdem keinen Zugriff.
Floh21
Floh21 14.09.2023 um 16:20:21 Uhr
Goto Top
Ok habe jetzt mal ESET noch die Firewall zusätzlich deaktiviert, jetzt kann ich einen ping auf einen Rechner absetzen und der funktioniert auch, nur ein Netzlaufwerk oder Zugriff auf die Rechner ü ber den Explorer ist leider immer noch nicht möglich.
7907292512
7907292512 14.09.2023 aktualisiert um 16:26:35 Uhr
Goto Top
  • Wie sieht das Netz denn überhaupt aus? Mal alles aufmalen was beteiligt ist.
  • Sind die Fritten für alle Geräte das Default Gateway?
  • Sind weitere nachgeschaltete Netze und Router beteiligt?
Ok habe jetzt mal ESET noch die Firewall zusätzlich deaktiviert,
Also wie immer, PEBKAC und Schlangenöl mit zusätzlich überflüssigen Funktionen.
Zugriff auf die Rechner ü ber den Explorer ist leider immer noch nicht möglich.
Die Netzwerkerkennung gibt das nicht her , die macht das per Default nur für's eigene Subnetz, für andere macht die das nicht. Für den Zugriff bitte per IP-Eingabe connecten. Eventuelle Credentials am besten im Credential Store ablegen.
Lochkartenstanzer
Lochkartenstanzer 14.09.2023 um 16:30:10 Uhr
Goto Top
Moin,

Hast Du auf den Fritten geprüft, ob die SMB durchlassen?

Normalerweise routen die keine TCP/UDP-Pakete an/von Port 445, iirc.

lks
Floh21
Floh21 14.09.2023 um 16:31:06 Uhr
Goto Top
Ok ESET deaktiviert, pings kommen alle durch.
Die Fritten sind das Default Gateway für alle. Es ist nur noch eine Fritte als Mesh Repeater drin sonst nichts.
Ich habe es auch über die IP-Eingabe gemacht, wird aber komischerweise nicht angezeigt. Es wird nichts gefunden wenn ich es per IP eingebe.
Floh21
Floh21 14.09.2023 um 16:34:15 Uhr
Goto Top
@Lochkartenstanzer wo finde ich das in den Einstellungen genau?
Floh21
Floh21 14.09.2023 um 16:51:06 Uhr
Goto Top
Update, bei einem Rechner, auf dem kein ESET läuft konnte ich jetzt eine Verbindung zu einem Laptop in dem Netztwerk herstellen, leider aus dem anderen Netz funktioniert das leider immer noch nicht.
Lochkartenstanzer
Lochkartenstanzer 14.09.2023 aktualisiert um 18:53:10 Uhr
Goto Top
Zitat von @Floh21:

@Lochkartenstanzer wo finde ich das in den Einstellungen genau?

https://www.google.com/search?q=fritzbox+smb+445

Ich weiß allerdings nicht, ob diese Filter auch für VPN greifen.

lks
aqui
aqui 14.09.2023 um 19:48:45 Uhr
Goto Top
Normalerweise routen die keine TCP/UDP-Pakete an/von Port 445
Muss im VPN Setup der FB unten explizit angehakt werden das man das in der Firewall erlaubt!
Floh21
Floh21 17.09.2023 um 12:36:38 Uhr
Goto Top
Das ist in der Firewall angehakt, also erlaubt. Ich bekomme immer eine Zietüberschreitung der Anforderung als Meldung. Und beim einbinden über das Netzwerk per ip bekomme ich die Meldung das der Netzwerkpfad nicht erreichbar ist.
Floh21
Floh21 17.09.2023 um 14:16:27 Uhr
Goto Top
Komischerweise aber immer nur von einem Rechner auf ESET installiert ist. Auf dem anderen Testrechner habe ich mal keinen Virenschutz installiert, also nur Windows Standard und da klappt der Zugriff.
7907292512
7907292512 17.09.2023 aktualisiert um 15:15:05 Uhr
Goto Top
Ich sach ja, wie immer das überschüssige Schlangenöl ...
Orpheus77
Orpheus77 18.09.2023 um 20:21:50 Uhr
Goto Top
Ich hab das selbe Problem. Die Box hat schon einen funktionierenden Tunnel. Neuen Tunnel mit einer anderen Box eingerichtet - Tunnel kommt hoch, ich kann beiden Fritten wechselweise von der anderen Seite erreichen, aber keine Geräte dahinter. Was kann das sein?
aqui
aqui 18.09.2023 um 21:39:21 Uhr
Goto Top
Immer und immer wieder dieselbe Leier! face-sad
Es ist die Winblows Firewall. Guckst du auch hier:
Netzlaufwerk über Wireguard VPN
Orpheus77
Orpheus77 18.09.2023 um 22:00:33 Uhr
Goto Top
Die Windows Firewall blockt eine ausgehende Verbindung auf 443?
Oder einen ausgehenden ICMP?
aqui
aqui 19.09.2023 um 09:15:20 Uhr
Goto Top
Ausgehend natürlich nicht. Zumindest nicht die Windows Firewall. Was das ESET Geraffel da macht ist was anderes.
Orpheus77
Orpheus77 19.09.2023 um 21:36:02 Uhr
Goto Top
Was ist ESET?
Wie gesagt, mit einer anderen Frittte funktioniert der Tunnel einwandfrei. Ich kanns mir nicht erklären, wieso ich über den Tunnel auf die Box, aber auf kein Device komme. Deshalb meine Frage hier.
aqui
aqui 20.09.2023 um 10:10:55 Uhr
Goto Top
Was ist ESET?
Einer dieser für Winblows überflüssigen Viren- und Security Schlangenöl Software....
https://www.eset.com/de/home/internet-security/
7907292512
7907292512 20.09.2023 aktualisiert um 10:30:25 Uhr
Goto Top
Zitat von @Orpheus77:

Ich kanns mir nicht erklären, wieso ich über den Tunnel auf die Box, aber auf kein Device komme.
Nicht in der Gegend rum raten sondern Wireshark aus der Tasche ziehen und du siehst sofort wo der Traffic hängen bleibt.
aqui
aqui 24.10.2023 um 16:12:49 Uhr
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
Orpheus77
Orpheus77 26.10.2023 um 16:19:59 Uhr
Goto Top
Nein es ist sogar noch schlimmer geworden. Bei meinem bestehenden Tunnel funktioniert das Backup nicht mehr, weil die Gegenstelle nicht erreicht werden kann. Pingen kann ich sie aber.

Ist aber egal, auf beide Seiten kommt Unify Netzwerk Infra und die Fritten fliegen raus.
aqui
aqui 26.10.2023 aktualisiert um 17:12:59 Uhr
Goto Top
weil die Gegenstelle nicht erreicht werden kann
Dann schlägt da wohl die lokale Firewall zu?! 🤔
An der IP Connectivity an sich kann es ja dann nicht liegen wenn du pingen kannst!
kommt Unify Netzwerk Infra
Igitt, Controller Zwang, schlechte Performance und Vendor Lock. Wenn man auf sowas steht nur zu...