FritzBoxen per VPN Koppeln - SMB "Probleme"
Guten Tag alle miteinander und vor allem die Experten von euch.
Ich habe mal wieder eine nette Frage (die 2. hier), bei der ihr vielleicht etwas mehr Licht ins Dunkel bringen könnte. AVM selbst habe ich schon angefragt, doch die wollen das Problem nicht nachstellen, schade.
Ich habe die Suchfunktion hier schon genutzt, habe aber leider für dieses spezielle Prolem keine passenden Einträge finden können. Falls es doch eine Lösung gibt möge man mir bitte verzeihen und den Link einfach posten, ansonsten immer her mit den Infos.
Folgendes Szenario:
Zwei FritzBox an zwei verschiedenen Standort sollen per VPN gekoppelt werden. An sich kein Ding und vorab gesagt, es funktioniert mittlerweile auch. Dennoch ist da eine Ecke noch ohne Licht.
Eine LAN LAN Kopplung funktioniert so wie ich es gerne hätte, inkl. Zugriff auf in beiden Netzen liegenden SMB Freigaben. Alles gut.
Ich lege einen VPN User auf einer FritzBox und wähle mich per ShrewSoft Client dort ein. Alles gut und ich komme an alle SMB Freigaben in diesem Netz und der sonst noch daran angeschlossenen Netze (ist für später wichtig) ran.
Nun wähle ich mich mit einer anderen FritzBox (Clientmodus) in die vorbereitete FritzBox (wo auch der ShrewSoft Client funktionioert) ein. Die Einwahl klappt und ich kann zumindest im Einwahlnetz alle Geräte anpingen. Allerdings erhalte ich keinen Zugriff auf die SMB Freigaben, welche ja mit der Einwahl per ShrewSoft funktionieren. Ups! Warum funktioniert das nun nicht mehr? Was ist da nun anders im Vergleich zur LAN LAN Kopplung oder der Einwahl per ShrewSoft Client?
War's das? Nee.... Durch Zufall viel die LAN LAN Kopplung auf einer Seite aus. Zufällig die Seite, von der aus nicht auf das entfernte Netz zugegriffen wurde. Es bestand aber nocht die andere Hälfte der LAN LAN Kopplung und es waren keine Probleme bezgl. SMB festzustellen. Ich dachte Anfangs immer, dass es an der "Rückroute" lag, aber dem ist ja anscheinend nicht so, denn in diesem Szenario ist das ja ähnlich zur Einwahl einer FritzBox in das Fremdnetz. Sehr seltsam.
Nach der Pflicht kommt nun die Kür. Wenn ich per ShrewSoft auf das Fremdnetz zugreife, welches noch weitere Subnetze hat, komme ich von dort auch in alle anderen Netze. Das Routing funktioniert also, zumindest so. Mache ich nun eine funktionierende LAN LAN Kopplung, dann komme ich über das Einwahlnetz nicht mehr hinaus. Ich habe schon versucht die VPN Config der einwählenden FritzBox (die kennt die anderen Netze ja nicht) anzupassen (Anleitung von AVM). Hat leider nicht funktioniert. Warum tut das nicht und wie kann ich das Routing so machen, dass es auch bei einer LAN LAN Kopplung funktioniert? Das wäre die Kür.
Warum FritzBox und nix professionelles? Weil die FritzBox nun mal vorhanden ist und kein Budget für andere Hardware da ist. Sicher kann ich das auch mit einer Bintec realisieren oder ich stell da etwas von Cisco, HP, Juniper, whatever hin. Wenn das nicht geht, dann geht es halt nicht. Allerdings ist die FritzBox im Privatbereich halt die Kiste und sie kann es ja auch irgendwie.
So, bin gespannt auf eure Antworten.
Ich habe mal wieder eine nette Frage (die 2. hier), bei der ihr vielleicht etwas mehr Licht ins Dunkel bringen könnte. AVM selbst habe ich schon angefragt, doch die wollen das Problem nicht nachstellen, schade.
Ich habe die Suchfunktion hier schon genutzt, habe aber leider für dieses spezielle Prolem keine passenden Einträge finden können. Falls es doch eine Lösung gibt möge man mir bitte verzeihen und den Link einfach posten, ansonsten immer her mit den Infos.
Folgendes Szenario:
Zwei FritzBox an zwei verschiedenen Standort sollen per VPN gekoppelt werden. An sich kein Ding und vorab gesagt, es funktioniert mittlerweile auch. Dennoch ist da eine Ecke noch ohne Licht.
Eine LAN LAN Kopplung funktioniert so wie ich es gerne hätte, inkl. Zugriff auf in beiden Netzen liegenden SMB Freigaben. Alles gut.
Ich lege einen VPN User auf einer FritzBox und wähle mich per ShrewSoft Client dort ein. Alles gut und ich komme an alle SMB Freigaben in diesem Netz und der sonst noch daran angeschlossenen Netze (ist für später wichtig) ran.
Nun wähle ich mich mit einer anderen FritzBox (Clientmodus) in die vorbereitete FritzBox (wo auch der ShrewSoft Client funktionioert) ein. Die Einwahl klappt und ich kann zumindest im Einwahlnetz alle Geräte anpingen. Allerdings erhalte ich keinen Zugriff auf die SMB Freigaben, welche ja mit der Einwahl per ShrewSoft funktionieren. Ups! Warum funktioniert das nun nicht mehr? Was ist da nun anders im Vergleich zur LAN LAN Kopplung oder der Einwahl per ShrewSoft Client?
War's das? Nee.... Durch Zufall viel die LAN LAN Kopplung auf einer Seite aus. Zufällig die Seite, von der aus nicht auf das entfernte Netz zugegriffen wurde. Es bestand aber nocht die andere Hälfte der LAN LAN Kopplung und es waren keine Probleme bezgl. SMB festzustellen. Ich dachte Anfangs immer, dass es an der "Rückroute" lag, aber dem ist ja anscheinend nicht so, denn in diesem Szenario ist das ja ähnlich zur Einwahl einer FritzBox in das Fremdnetz. Sehr seltsam.
Nach der Pflicht kommt nun die Kür. Wenn ich per ShrewSoft auf das Fremdnetz zugreife, welches noch weitere Subnetze hat, komme ich von dort auch in alle anderen Netze. Das Routing funktioniert also, zumindest so. Mache ich nun eine funktionierende LAN LAN Kopplung, dann komme ich über das Einwahlnetz nicht mehr hinaus. Ich habe schon versucht die VPN Config der einwählenden FritzBox (die kennt die anderen Netze ja nicht) anzupassen (Anleitung von AVM). Hat leider nicht funktioniert. Warum tut das nicht und wie kann ich das Routing so machen, dass es auch bei einer LAN LAN Kopplung funktioniert? Das wäre die Kür.
Warum FritzBox und nix professionelles? Weil die FritzBox nun mal vorhanden ist und kein Budget für andere Hardware da ist. Sicher kann ich das auch mit einer Bintec realisieren oder ich stell da etwas von Cisco, HP, Juniper, whatever hin. Wenn das nicht geht, dann geht es halt nicht. Allerdings ist die FritzBox im Privatbereich halt die Kiste und sie kann es ja auch irgendwie.
So, bin gespannt auf eure Antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 375647
Url: https://administrator.de/forum/fritzboxen-per-vpn-koppeln-smb-probleme-375647.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
jede Antwort kann eigentlich nur sein: Benutze das richtige Werkzeug für die Aufgabe! Auch wenn es weh tut das imerm wieder zu hören. Fritzboxen sind zwar schön und gut für die 08/15-Aufgaben aber sobald es spezieller wird, muß das System passen, weil eben es von AVM nicht vorgesehen ist daß man etwas anders macht, als AVM "relaubt" hat.
Mit freetz kann man das zwar umgehen, aber für die neueren Fritzboxen sind keine stabilen versionen verfügbar.
Der beste Rat, dem man Dir geben kann, ist entweder sich gleich den "richtigen" Router zu holen oder sich einen ddwrt oder Mikrotik für 20@ "hinter" die Fritzbox zu stellen.
Der Zeit-Aufwand den Du reinsteckst, um das mit Fritzboxen zum Laufen zu bringen d+ürfete die paar Euro übersteigen, die andere Router kosten.
Wenn Du aber trotzdem nicht die Finge rdavon lassen kannst, solltest Du einfach auf den Fritzboxen oder dahinter mit wireshark mitsniffen, welche Pakete da überhaupt durchgehen. Dann sieht man, an welcher Fritzbox die Pakte hängenbleiben (oder auch nicht) . Danach sieht man weiter.
Ich tippe, daß hängt mit der Fritzbox-Firewall zusammen, die verhindert, daß smb-Pakete ins weite Internet entfleuchen. leider kann man die aber nicht allzuarg manuell justieren.
lks
Weil AVM das ganze so eigentlich gar nicht vorgesehen hatte.
Wäre also noch die Pflicht, welche mich wirklich brennenden interessiert. Warum kann ich per VPN Client Software alles so machen, wie wenn ich mich direkt in das entfernte Netz einstöpsel, was ja auch Sinn der Sache ist, und wenn ich das über die FritzBox mache, steh ich vor der Katzenklappe, kann zwar reinsehen aber nix produktives in Bezug auf SMB machen.
Der Unterschied ist, daß der shrewclient sich wie ein Client im Zielnetz verhält im Gegensatz zu einem Client in einem LAN-LAN-gekoppelten Netz, der in einem anderen Netz hängt. Da greifen dann ggf. Filterregeln von IP-tables, wie z.b. die o.g. SMB-Sperre die Datenlecks verhindern soll. Da man aber selbst keinen direkten Einfluß auf die Regeln nehmen kann, ist man darauf angewiesen,. daß AVM alles richtig gemacht hat.
lks
Man kann es auch statisch über die hosts oder lmhosts Dateien machen:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Ist aber aufwändiger als NetBios freizugeben.
Man sollte sich aber bewusst sein das damit der gesamte NetBios Broadcast Traffic @@beider@@ Seiten den VPN Tunnel und dessen Performance belastet.
Wer damit leben kann kann es so belassen. Wer nicht, löst es besser statisch oder über einen DNS.
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Ist aber aufwändiger als NetBios freizugeben.
Man sollte sich aber bewusst sein das damit der gesamte NetBios Broadcast Traffic @@beider@@ Seiten den VPN Tunnel und dessen Performance belastet.
Wer damit leben kann kann es so belassen. Wer nicht, löst es besser statisch oder über einen DNS.
Extra ein Account gemacht, um hier danke zu sagen!
Dies hier ist genau DIE Lösung für SMB unter der Option "[...] mit Firmen-VPN verbinden".
Ich habe heute den ganzen Tag rumprobiert und der Tipp mit dem manuellen Edit der Config-Datei für den NetBIOS-Filter taucht gefühlt im gesamten Internet nur in diesem einen Thread auf.
Dies hier ist genau DIE Lösung für SMB unter der Option "[...] mit Firmen-VPN verbinden".
Ich habe heute den ganzen Tag rumprobiert und der Tipp mit dem manuellen Edit der Config-Datei für den NetBIOS-Filter taucht gefühlt im gesamten Internet nur in diesem einen Thread auf.
Nur um das bei aller Euphorie nochmal technisch klarzustellen:
SMB Traffic wird auch in der Default Konfig NICHT gefiltert und funktioniert fehlerlos wenn man statisch die IP Adresse des SMB Ziels angibt !
AVM / Fritz hat aus gutem Grund einen Filter drin, denn der blockiert die SMB Naming Broadcasts die für Laien die Namen ins Netz blasen so das auch ein technisch Unkundiger diese Freigaben "sieht" und einfach draufklicken kann.
Hatt man mehrere solcher Broadcast basierten freigaben belastet man die auch so schon sehr Performance schwache Tunnel Verbindung der FritzBox.
Aus genau diesem Grund lässt AVM es zu Recht deaktiviert um die Bandbreite nicht zu schwächen. In Firmen wird so oder so in der Regel ein DNS Server basiertes SMB verwendet was dann solche Broadcasts eh obsolet macht.
Der technisch besser Weg ist also bei Broadcasts immer die statische Definition über die hosts oder lmhosts Datei zu nehmen oder die nackten IPs.
Gut für den Zugriff auf Oma Grete's Heimnetz und Netze in solchen Größenordnung kann man auch den Broadcast Filter deaktiveren und die ganz großen Einbrüche oder wenn man mit einem Editor und den Host Dateien oder IP Adressen wissenstechnisch überfordert ist.
SMB Traffic wird auch in der Default Konfig NICHT gefiltert und funktioniert fehlerlos wenn man statisch die IP Adresse des SMB Ziels angibt !
AVM / Fritz hat aus gutem Grund einen Filter drin, denn der blockiert die SMB Naming Broadcasts die für Laien die Namen ins Netz blasen so das auch ein technisch Unkundiger diese Freigaben "sieht" und einfach draufklicken kann.
Hatt man mehrere solcher Broadcast basierten freigaben belastet man die auch so schon sehr Performance schwache Tunnel Verbindung der FritzBox.
Aus genau diesem Grund lässt AVM es zu Recht deaktiviert um die Bandbreite nicht zu schwächen. In Firmen wird so oder so in der Regel ein DNS Server basiertes SMB verwendet was dann solche Broadcasts eh obsolet macht.
Der technisch besser Weg ist also bei Broadcasts immer die statische Definition über die hosts oder lmhosts Datei zu nehmen oder die nackten IPs.
Gut für den Zugriff auf Oma Grete's Heimnetz und Netze in solchen Größenordnung kann man auch den Broadcast Filter deaktiveren und die ganz großen Einbrüche oder wenn man mit einem Editor und den Host Dateien oder IP Adressen wissenstechnisch überfordert ist.
Ich weiß alter Thread, gleiches Problem, alternative Lösung:
Ich widerspreche hiermit meinem Vorredner.
Firmen-Fritzbox mit fester, statischer IP
Fritzbox Privat mit myfritz-Adresse
Früher habe ich die Privat-Fritzbox per AVM-Tool Fernzugang einrichten und den erstellten config-files miteinander verbunden, das hat problemlos viele Jahre funktioniert. Ich kenne die notwendigen Voraussetzungen und es werden echte IP-Adressen für Geräte hinter der Firmen-Fritzbox verwendet.
Ich habe mir gedacht, bei den neueren Fritzboxen nutze ich die Routinen der Weboberflächen:
Problem Nr. 1: Bei der Verbindung zweier Fritzboxen per Weboberfläche ist es nicht möglich, bei einer der beiden Fritzboxen eine statische IP einzugeben, KEIN Verbindungsaufbau möglich.
Problem Nr. 2: Neuer Versuch, private Fritzbox als Client eingerichtet gemäß AVM Anleitung analog einem z.B. Android-Gerät. Die Verbindung wird aufgebaut, Zugriff auf das Firmennetzwerk funktioniert inkl. E-Mail-Abruf vom Linux-Server, Samba-Share Zugriff jedoch nicht.
Die oben beschriebene Extraktion der VPN-Konfiguration aus den Sicherungsdateien der Fritzbox ist umständlich. Ich empfehle einfach das inzwischen 10 Jahre alte Tool "Fritz!Fernzugang einrichten" zu verwenden.
Die erzeugten VPN-Konfigurationsdateien enthalten STANDARDMÄSSIG die Zeile
dont_filter_netbios = yes
die offenbar notwendig ist, um auf Samba-Shares per IP-Adresse des Servers zugreifen zu können.
Diese Einstellung ist mittels den VPN-Einstellungen der Weboberfläche der Fritzbox NICHT veränderbar.
Damit funktioniert der Samba-Zugriff auf Anhieb.
Warum ich im Jahr 2021 auf solche Probleme stoße (Fritzbox 3390 und 7390), kann ich nicht nachvollziehen.
Ich widerspreche hiermit meinem Vorredner.
Firmen-Fritzbox mit fester, statischer IP
Fritzbox Privat mit myfritz-Adresse
Früher habe ich die Privat-Fritzbox per AVM-Tool Fernzugang einrichten und den erstellten config-files miteinander verbunden, das hat problemlos viele Jahre funktioniert. Ich kenne die notwendigen Voraussetzungen und es werden echte IP-Adressen für Geräte hinter der Firmen-Fritzbox verwendet.
Ich habe mir gedacht, bei den neueren Fritzboxen nutze ich die Routinen der Weboberflächen:
Problem Nr. 1: Bei der Verbindung zweier Fritzboxen per Weboberfläche ist es nicht möglich, bei einer der beiden Fritzboxen eine statische IP einzugeben, KEIN Verbindungsaufbau möglich.
Problem Nr. 2: Neuer Versuch, private Fritzbox als Client eingerichtet gemäß AVM Anleitung analog einem z.B. Android-Gerät. Die Verbindung wird aufgebaut, Zugriff auf das Firmennetzwerk funktioniert inkl. E-Mail-Abruf vom Linux-Server, Samba-Share Zugriff jedoch nicht.
Die oben beschriebene Extraktion der VPN-Konfiguration aus den Sicherungsdateien der Fritzbox ist umständlich. Ich empfehle einfach das inzwischen 10 Jahre alte Tool "Fritz!Fernzugang einrichten" zu verwenden.
Die erzeugten VPN-Konfigurationsdateien enthalten STANDARDMÄSSIG die Zeile
dont_filter_netbios = yes
die offenbar notwendig ist, um auf Samba-Shares per IP-Adresse des Servers zugreifen zu können.
Diese Einstellung ist mittels den VPN-Einstellungen der Weboberfläche der Fritzbox NICHT veränderbar.
Damit funktioniert der Samba-Zugriff auf Anhieb.
Warum ich im Jahr 2021 auf solche Probleme stoße (Fritzbox 3390 und 7390), kann ich nicht nachvollziehen.
Zitat von @eisbaer75:
Die oben beschriebene Extraktion der VPN-Konfiguration aus den Sicherungsdateien der Fritzbox ist umständlich. Ich empfehle einfach das inzwischen 10 Jahre alte Tool "Fritz!Fernzugang einrichten" zu verwenden.
Die oben beschriebene Extraktion der VPN-Konfiguration aus den Sicherungsdateien der Fritzbox ist umständlich. Ich empfehle einfach das inzwischen 10 Jahre alte Tool "Fritz!Fernzugang einrichten" zu verwenden.
Ich empfehle, das VPN der Fritzbox links liegenzulassen und was "ordentliches" hinter die Fritzbox als VPON-Router zu hängen, wenn man auf diese nicht verzichten will. Das kann z.B. ein Mikrtotik hAP/hEX oder eine 20-Euro-TP-Link mit OpenWRT sein, oder gar nur ein rasPi.
Macht deutlich weniger Probleme als die Fritten.
lks
PS: Lange einwandfrei funktionierende IPSEC-VPNs bei den Fritten haben in den letzten Monate immer mal wieder die Funktion eingestellt, nachdem ein Firmware-Update gemacht wurde.