yamaha0815
Goto Top

FritzBoxen per VPN Koppeln - SMB "Probleme"

Guten Tag alle miteinander und vor allem die Experten von euch.

Ich habe mal wieder eine nette Frage (die 2. hier), bei der ihr vielleicht etwas mehr Licht ins Dunkel bringen könnte. AVM selbst habe ich schon angefragt, doch die wollen das Problem nicht nachstellen, schade.

Ich habe die Suchfunktion hier schon genutzt, habe aber leider für dieses spezielle Prolem keine passenden Einträge finden können. Falls es doch eine Lösung gibt möge man mir bitte verzeihen und den Link einfach posten, ansonsten immer her mit den Infos.

Folgendes Szenario:
Zwei FritzBox an zwei verschiedenen Standort sollen per VPN gekoppelt werden. An sich kein Ding und vorab gesagt, es funktioniert mittlerweile auch. Dennoch ist da eine Ecke noch ohne Licht.

Eine LAN LAN Kopplung funktioniert so wie ich es gerne hätte, inkl. Zugriff auf in beiden Netzen liegenden SMB Freigaben. Alles gut.
Ich lege einen VPN User auf einer FritzBox und wähle mich per ShrewSoft Client dort ein. Alles gut und ich komme an alle SMB Freigaben in diesem Netz und der sonst noch daran angeschlossenen Netze (ist für später wichtig) ran.
Nun wähle ich mich mit einer anderen FritzBox (Clientmodus) in die vorbereitete FritzBox (wo auch der ShrewSoft Client funktionioert) ein. Die Einwahl klappt und ich kann zumindest im Einwahlnetz alle Geräte anpingen. Allerdings erhalte ich keinen Zugriff auf die SMB Freigaben, welche ja mit der Einwahl per ShrewSoft funktionieren. Ups! Warum funktioniert das nun nicht mehr? Was ist da nun anders im Vergleich zur LAN LAN Kopplung oder der Einwahl per ShrewSoft Client?

War's das? Nee.... Durch Zufall viel die LAN LAN Kopplung auf einer Seite aus. Zufällig die Seite, von der aus nicht auf das entfernte Netz zugegriffen wurde. Es bestand aber nocht die andere Hälfte der LAN LAN Kopplung und es waren keine Probleme bezgl. SMB festzustellen. Ich dachte Anfangs immer, dass es an der "Rückroute" lag, aber dem ist ja anscheinend nicht so, denn in diesem Szenario ist das ja ähnlich zur Einwahl einer FritzBox in das Fremdnetz. Sehr seltsam.

Nach der Pflicht kommt nun die Kür. Wenn ich per ShrewSoft auf das Fremdnetz zugreife, welches noch weitere Subnetze hat, komme ich von dort auch in alle anderen Netze. Das Routing funktioniert also, zumindest so. Mache ich nun eine funktionierende LAN LAN Kopplung, dann komme ich über das Einwahlnetz nicht mehr hinaus. Ich habe schon versucht die VPN Config der einwählenden FritzBox (die kennt die anderen Netze ja nicht) anzupassen (Anleitung von AVM). Hat leider nicht funktioniert. Warum tut das nicht und wie kann ich das Routing so machen, dass es auch bei einer LAN LAN Kopplung funktioniert? Das wäre die Kür.

Warum FritzBox und nix professionelles? Weil die FritzBox nun mal vorhanden ist und kein Budget für andere Hardware da ist. Sicher kann ich das auch mit einer Bintec realisieren oder ich stell da etwas von Cisco, HP, Juniper, whatever hin. Wenn das nicht geht, dann geht es halt nicht. Allerdings ist die FritzBox im Privatbereich halt die Kiste und sie kann es ja auch irgendwie.

So, bin gespannt auf eure Antworten.

Content-ID: 375647

Url: https://administrator.de/forum/fritzboxen-per-vpn-koppeln-smb-probleme-375647.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 31.05.2018 aktualisiert um 18:54:40 Uhr
Goto Top
Zitat von @yamaha0815:

So, bin gespannt auf eure Antworten.


Moin,

jede Antwort kann eigentlich nur sein: Benutze das richtige Werkzeug für die Aufgabe! Auch wenn es weh tut das imerm wieder zu hören. Fritzboxen sind zwar schön und gut für die 08/15-Aufgaben aber sobald es spezieller wird, muß das System passen, weil eben es von AVM nicht vorgesehen ist daß man etwas anders macht, als AVM "relaubt" hat.

Mit freetz kann man das zwar umgehen, aber für die neueren Fritzboxen sind keine stabilen versionen verfügbar.

Der beste Rat, dem man Dir geben kann, ist entweder sich gleich den "richtigen" Router zu holen oder sich einen ddwrt oder Mikrotik für 20@ "hinter" die Fritzbox zu stellen.

Der Zeit-Aufwand den Du reinsteckst, um das mit Fritzboxen zum Laufen zu bringen d+ürfete die paar Euro übersteigen, die andere Router kosten.

Wenn Du aber trotzdem nicht die Finge rdavon lassen kannst, solltest Du einfach auf den Fritzboxen oder dahinter mit wireshark mitsniffen, welche Pakete da überhaupt durchgehen. Dann sieht man, an welcher Fritzbox die Pakte hängenbleiben (oder auch nicht) . Danach sieht man weiter.

Ich tippe, daß hängt mit der Fritzbox-Firewall zusammen, die verhindert, daß smb-Pakete ins weite Internet entfleuchen. leider kann man die aber nicht allzuarg manuell justieren.

lks
yamaha0815
yamaha0815 31.05.2018 um 19:01:53 Uhr
Goto Top
OK, die Kür wäre gelöst, nach Anleitung von AVM auf den zweiten Versuch. Eigentlich ganz einfach und es funktioniert. Ich habe eine LAN LAN Kopplung mit angepassten Configfiles und ich kann damit in alle Netze, welche eben im jeweiligen Configfile hinterlegt sind, rein.

Ich finde nur den Weg ein wenig umständlich. Warum zum Teufel kann man das nicht direkt in der FritzBox editieren oder zumindest das Configfile direkt mit der FritzBox exzeugen. Wieso zum Kuckuck muss man da ein externes Programm nehmen. Wenn man wenigsten da an der Config was ändern könnte OK, aber das ist ja echt irgendwie sinnfrei. Naja, egal.... es geht.

Wäre also noch die Pflicht, welche mich wirklich brennenden interessiert. Warum kann ich per VPN Client Software alles so machen, wie wenn ich mich direkt in das entfernte Netz einstöpsel, was ja auch Sinn der Sache ist, und wenn ich das über die FritzBox mache, steh ich vor der Katzenklappe, kann zwar reinsehen aber nix produktives in Bezug auf SMB machen.
yamaha0815
yamaha0815 31.05.2018 aktualisiert um 19:13:12 Uhr
Goto Top
@Lochkartenstanzer

Jepp, da bin ich voll und ganz bei dir. Vernüftige und richtige Werkzeuge machen das Leben leichter. Leider ist es immer auch eine Budgetfrage bzw. das schon vorhandene sinnvoll und so effizient wie möglich zu nutzen. Ich bin nunmal nicht jemande der gleich die Flinte ins Korn wirft und es interessiert mich nun mal auch, also Ärmel hochkrempeln.

Mittlerweile weiß ich ja wie es mit den FritzBoxen geht und vor allem geht all das was ich möchte, nämlich auf SMB Freigaben zu zugreifen und über das Einwahlnetz hinaus zu routen. Ist doch super, so gesehen gelöst.

Dennoch ist es mir unverständlich, dass AVM einem Infos gibt (Wie kann ich über das Einwahlnetz hinaus routen), jedoch nicht in der Lage ist diese notwendigen Einträge auch direkt auf der Oberfläche der FritzBox oder zumindest per direktem Erzeugen der notwendigen Configfiles zu tätigen. Nein, es braucht dazu eine wirklich "dumme" Zusatzsoftware, welche nur dafür da ist die entsprechenden Configfiles zu erzeugen. Absolut sinnfrei.

Ebenso sinnfrei, dass man Filter wie für SMB einbaut, diese sich aber dann nicht deaktivieren lassen. Evtl. über den Umweg Configfile, jedoch erzeugt das "dumme" Zusatzprogramm eben genau dieses Configfile nicht oder überseh ich da was?

Das beste ist die Aussage des AVM Supports, sinngemäß: "Es reicht doch, wenn man der Ping funktioniert. Damit ist es für die FritzBox dann auch gut." Klar, keiner braucht überhaupt nie nicht eine SMB Freigabe im anderen Netz.
Lochkartenstanzer
Lochkartenstanzer 31.05.2018 um 19:15:49 Uhr
Goto Top
Zitat von @yamaha0815:

Wieso zum Kuckuck muss man da ein externes Programm nehmen.

Weil AVM das ganze so eigentlich gar nicht vorgesehen hatte. face-smile

Wäre also noch die Pflicht, welche mich wirklich brennenden interessiert. Warum kann ich per VPN Client Software alles so machen, wie wenn ich mich direkt in das entfernte Netz einstöpsel, was ja auch Sinn der Sache ist, und wenn ich das über die FritzBox mache, steh ich vor der Katzenklappe, kann zwar reinsehen aber nix produktives in Bezug auf SMB machen.

Der Unterschied ist, daß der shrewclient sich wie ein Client im Zielnetz verhält im Gegensatz zu einem Client in einem LAN-LAN-gekoppelten Netz, der in einem anderen Netz hängt. Da greifen dann ggf. Filterregeln von IP-tables, wie z.b. die o.g. SMB-Sperre die Datenlecks verhindern soll. Da man aber selbst keinen direkten Einfluß auf die Regeln nehmen kann, ist man darauf angewiesen,. daß AVM alles richtig gemacht hat.

lks
yamaha0815
yamaha0815 31.05.2018 aktualisiert um 20:39:03 Uhr
Goto Top
Sodele, hab jetzt alles selbst gelöst und ich weiß woran es lag und wie man das alles in der Zukunft umgehen kann.

Die freigebende FritzBox ist bzgl. VPN offen wie ein Scheunentor im Sinne alles ist erlaubt. So hat es zumindest den Anschein. Deswegen funktioniert auch alles ganz super mit einem externen Client.

Die einwählende FritzBox ist das Problem, denn hier werden, je nach Einwahlmodus, Filter gesetzt (NetBIOS) und hier wird auch das Routing in andere Netz möglich. Erst durch letzten Punkt bin ich überhaupt auf die Lösung gekommen.

Also hier die Lösung, sofern es jemanden interessiert:
Wenn man eine LAN LAN Kopplung macht, dann ist der NetBIOS filter inaktiv, deswegen kann man sich auf SMB Freigaben verbinden.
Wenn man den Punkt "Diese FRITZ!Box mit einem Firmen-VPN verbinden " wählt, dann wird der NetBIOS Filter gesetzt und man hat keinen Zugriff auf SMB Freigaben.

Ändern kann man das alles, wenn man sich eine Sicherung der FritzBox zieht, nachdem man die VPNs eingerichtet hat oder man erstellt diese eben mit dem externen Programm, wobei hier nur ein Configfile für eine LAN LAN Kopplung erzeugt werden kann.
Im ersten Fall muss man nun den Teil der VPN Konfiguration aus dem Gesamtfile, welches die FritzBox erteugt extrahieren. Dazu einfach nach vpncfg suchen. Diesen Abschnitt nun komplett in ein eigenes File kopieren oder eben den ganzen anderen Rest löschen.
Die Zugangsdaten im Bereich vpnconfig sind verschlüsselt, so dass man diese hier oder auch später, wenn das File in die FirtzBox zurück geschrieben wurde, ändern.

Nun kommt der interessante Teil
Es gibt pro Verbindungseintrag den Punkt
dont_filter_netbios = welchen man mit yes oder no bestücken kann. Wenn man SMB Zugriff haben möchte, dann kommt hier ein yes rein und schon funktionierts.

Das Routing in Subnetze im externen Netz werden auch hier eingestellt, im Bereich accesslist. Standardmässig steht hier immer nur das externe Einwahlnetz. Um in andere Subnetze zu kommen, müssen diese hier explizit eingetragen werden.
accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"permit ip any 192.168.20.0 255.255.255.0";
Das ganze funktioniert aber auch nur dann, wenn das Routing im Einwahlnetz selbst funktioniert. Sollte klar sein, oder?
Dies findet man auch auf der AVM Homepage, allerdings fehlt eben der Hinweis mit dem NetBIOS Filter, was sehr schade ist. Auch eben die Tatsache (nochmal!), dass man das nicht einfach auch auf der Web-Oberfläche der FritzBox einstellen kann.

@Lochkartenstanzer
Ob nun AVM will oder nicht, es funktioniert. Ich versteh eben nur nicht, weswegen man, wenn diese Funktionien generell möglich sind, nicht auch auf der Oberfläche entsprechend zur Verfügung stellt. Wegen wir schraub ich auch in Configfiles rum, doch muss das wirklich sein, vor allem weil es doch ein wenig umständlich ist an die entsprechenden Configparameter zu kommen.

Egal, es geht und gut ist und ich habe wieder was dazu gelernt.
aqui
aqui 01.06.2018 aktualisiert um 16:43:19 Uhr
Goto Top
Man kann es auch statisch über die hosts oder lmhosts Dateien machen:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Ist aber aufwändiger als NetBios freizugeben.
Man sollte sich aber bewusst sein das damit der gesamte NetBios Broadcast Traffic @@beider@@ Seiten den VPN Tunnel und dessen Performance belastet.
Wer damit leben kann kann es so belassen. Wer nicht, löst es besser statisch oder über einen DNS.
yamaha0815
yamaha0815 01.06.2018 um 16:59:16 Uhr
Goto Top
So viel Traffic ist das jetzt nicht. Auf der einen Seite hängt ne NAS und auf den beiden anderen Seiten jeweils 2-3 Rechner, die darauf zugreifen. Fertig. Bisher läuft das super stabil und auch recht zügig.
aqui
aqui 01.06.2018 um 17:05:26 Uhr
Goto Top
Das ist dann tolerabel face-wink
le-adm
le-adm 14.04.2019 um 21:20:07 Uhr
Goto Top
Extra ein Account gemacht, um hier danke zu sagen!
Dies hier ist genau DIE Lösung für SMB unter der Option "[...] mit Firmen-VPN verbinden".

Ich habe heute den ganzen Tag rumprobiert und der Tipp mit dem manuellen Edit der Config-Datei für den NetBIOS-Filter taucht gefühlt im gesamten Internet nur in diesem einen Thread auf. face-wink
aqui
aqui 15.04.2019 um 09:40:41 Uhr
Goto Top
Nur um das bei aller Euphorie nochmal technisch klarzustellen:
SMB Traffic wird auch in der Default Konfig NICHT gefiltert und funktioniert fehlerlos wenn man statisch die IP Adresse des SMB Ziels angibt !
AVM / Fritz hat aus gutem Grund einen Filter drin, denn der blockiert die SMB Naming Broadcasts die für Laien die Namen ins Netz blasen so das auch ein technisch Unkundiger diese Freigaben "sieht" und einfach draufklicken kann.
Hatt man mehrere solcher Broadcast basierten freigaben belastet man die auch so schon sehr Performance schwache Tunnel Verbindung der FritzBox.
Aus genau diesem Grund lässt AVM es zu Recht deaktiviert um die Bandbreite nicht zu schwächen. In Firmen wird so oder so in der Regel ein DNS Server basiertes SMB verwendet was dann solche Broadcasts eh obsolet macht.
Der technisch besser Weg ist also bei Broadcasts immer die statische Definition über die hosts oder lmhosts Datei zu nehmen oder die nackten IPs.
Gut für den Zugriff auf Oma Grete's Heimnetz und Netze in solchen Größenordnung kann man auch den Broadcast Filter deaktiveren und die ganz großen Einbrüche oder wenn man mit einem Editor und den Host Dateien oder IP Adressen wissenstechnisch überfordert ist.
eisbaer75
eisbaer75 20.05.2021 aktualisiert um 10:48:25 Uhr
Goto Top
Ich weiß alter Thread, gleiches Problem, alternative Lösung:
Ich widerspreche hiermit meinem Vorredner.

Firmen-Fritzbox mit fester, statischer IP
Fritzbox Privat mit myfritz-Adresse

Früher habe ich die Privat-Fritzbox per AVM-Tool Fernzugang einrichten und den erstellten config-files miteinander verbunden, das hat problemlos viele Jahre funktioniert. Ich kenne die notwendigen Voraussetzungen und es werden echte IP-Adressen für Geräte hinter der Firmen-Fritzbox verwendet.

Ich habe mir gedacht, bei den neueren Fritzboxen nutze ich die Routinen der Weboberflächen:

Problem Nr. 1: Bei der Verbindung zweier Fritzboxen per Weboberfläche ist es nicht möglich, bei einer der beiden Fritzboxen eine statische IP einzugeben, KEIN Verbindungsaufbau möglich.

Problem Nr. 2: Neuer Versuch, private Fritzbox als Client eingerichtet gemäß AVM Anleitung analog einem z.B. Android-Gerät. Die Verbindung wird aufgebaut, Zugriff auf das Firmennetzwerk funktioniert inkl. E-Mail-Abruf vom Linux-Server, Samba-Share Zugriff jedoch nicht.

Die oben beschriebene Extraktion der VPN-Konfiguration aus den Sicherungsdateien der Fritzbox ist umständlich. Ich empfehle einfach das inzwischen 10 Jahre alte Tool "Fritz!Fernzugang einrichten" zu verwenden.
Die erzeugten VPN-Konfigurationsdateien enthalten STANDARDMÄSSIG die Zeile

dont_filter_netbios = yes

die offenbar notwendig ist, um auf Samba-Shares per IP-Adresse des Servers zugreifen zu können.
Diese Einstellung ist mittels den VPN-Einstellungen der Weboberfläche der Fritzbox NICHT veränderbar.
Damit funktioniert der Samba-Zugriff auf Anhieb.

Warum ich im Jahr 2021 auf solche Probleme stoße (Fritzbox 3390 und 7390), kann ich nicht nachvollziehen.
Lochkartenstanzer
Lochkartenstanzer 20.05.2021 aktualisiert um 13:41:52 Uhr
Goto Top
Zitat von @eisbaer75:

Die oben beschriebene Extraktion der VPN-Konfiguration aus den Sicherungsdateien der Fritzbox ist umständlich. Ich empfehle einfach das inzwischen 10 Jahre alte Tool "Fritz!Fernzugang einrichten" zu verwenden.

Ich empfehle, das VPN der Fritzbox links liegenzulassen und was "ordentliches" hinter die Fritzbox als VPON-Router zu hängen, wenn man auf diese nicht verzichten will. Das kann z.B. ein Mikrtotik hAP/hEX oder eine 20-Euro-TP-Link mit OpenWRT sein, oder gar nur ein rasPi.

Macht deutlich weniger Probleme als die Fritten.

lks

PS: Lange einwandfrei funktionierende IPSEC-VPNs bei den Fritten haben in den letzten Monate immer mal wieder die Funktion eingestellt, nachdem ein Firmware-Update gemacht wurde.