Kein Zugriff auf Freigaben ( über VPN)

ruswein
Goto Top
Hallo liebe Admins,

ich stehe auf dem Schlauch und bräuchte euren Rat.

Folgendes Szenario:

Standort 1 Büro (Unitymedia BW -Anschluss) mit Fritzbox 6490
Standort 2 Zuhause (Unitymedia BW -Anschluss) mit Fritzbox 6490

FB2 baut einen VPN Tunnel (Client-to-Side) zu FB1 erfolgreich auf.
Ping geht durch und wird beantwortet.

Nun will ein PC (windows 10 pro) von zuhause auf die Freigaben im Büro (windows 10 pro, kein Server) zugreifen und eben das gelingt nicht.
Per net use bekomme ich den Fehler "Systemfehler 53". Netzwerkpfad wurde nicht gefunden.

Ich sitze schon seit mehreren Tagen am Problem und komme nicht weiter.

1. Beiden FBs haben aktuell OS.
2. Client für MS Netzwerke ist aktiviert.
3. Server Dienst läuft
4. Windows Firewall für alle drei (privat, domain, öffentlich) ist deaktiviert.

Mit dem Wireshark kann ich nachsehen wie die Pakete, beim Versuch den Laufwerk einzubinden, brav über TCP auf Port 139 und 445 ins Tunnel gesendet werden.
Auf der Gegenstelle kommen sie jedoch nie an.

Fremde Firewalllösungen sind nicht installiert.

Nun bin ich voll am Verzweifeln und weiß einfach nicht mehr woran es noch liegen kann.
Ist mir noch zu helfen?

Bin für jede Hilfe dankbar.

Content-Key: 526261

Url: https://administrator.de/contentid/526261

Ausgedruckt am: 04.07.2022 um 20:07 Uhr

Mitglied: emeriks
emeriks 17.12.2019 um 19:29:01 Uhr
Goto Top
Hi,
wir weit kommst Du denn mit TRACERT?

Sind auf beiden Seiten die entsprechenden Routen gesetzt?
- am Client
- am Server
- auf beiden Fritten

E.
Mitglied: aqui
aqui 17.12.2019 aktualisiert um 19:44:09 Uhr
Goto Top
Nutzt du die FQDN Namen oder nackte IP Adressen um das Laufwerk zu mounten ??
Bei FQDN hast du vermutlich ein DNS Problem das dein Client den nicht auflösen kann.
Von remote immer die nackte IP Adresse des Rechners mit den Freigaben verwenden das sollte dann klappen !
Bedenke auch das der remote Zugriff für den Datei Sharing Dienst zwingend in der Firewall des Win 10 "Server" Rechners freigeben werden muss für das remote IP Netz.
Ansonsten blockt die lokale Windows Firewall jeden Zugriff der nicht von lokalen IPs kommt. Ein Fakt der häufig vergessen oder außer Acht gelassen wird !
Mitglied: ruswein
ruswein 17.12.2019 um 19:47:06 Uhr
Goto Top
Ja, routen sind gesetzt.
Ping geht ja auch durch.
Mitglied: ruswein
ruswein 17.12.2019 um 19:47:58 Uhr
Goto Top
Ja klar, dass DNS über vpn nicht funktioniert ist mir bekannt.
Ich greife direkt über IP-Adresse zu
Mitglied: ruswein
ruswein 17.12.2019 um 19:50:01 Uhr
Goto Top
Firewalls an beiden Enden habe ich, nach dem das freigeben von entfernten Netz nicht zum Erfolg geführt hat, habe ich auch komplett deaktiviert.
Zum Testzwecken versteht sich
Mitglied: ruswein
ruswein 17.12.2019 um 19:52:46 Uhr
Goto Top
ah, fast vergessen, mit tracert komme ich bis zum Zielrechner durch.
Mitglied: aqui
aqui 17.12.2019 aktualisiert um 20:13:52 Uhr
Goto Top
Muss das sein das du hier im 2 Minuten Takt immer eine Einzelantwort postest face-sad ?
Das kann man doch intelligent in einer zusammenfassen wenn man mal seine Gedanken in Ruhe geordnet hat ! Geht übrigens auch immer nachträglich noch über den "Bearbeiten" Button im Mehr ... Menü !!
Der Übersichtlichkeit und Verständlichkeit hilft das sehr.
Ja, routen sind gesetzt.
Ist Blödsinn und muss man bei IPsec Site to Site nicht machen ! Das handeln die Router automatisch mit der Phase 2 SA aus !
mit tracert komme ich bis zum Zielrechner durch.
Zeigt dann klar das die lokale Firewall des "Server" Rechners für den Datei- und Drucker Sharing Dienst nicht angepasst wurde und alle fremden IP Adressen blockt was ihr Default Verhalten ist. Der typische (Winblows) Anfänger Fehler....
Mitglied: ruswein
ruswein 17.12.2019 aktualisiert um 20:32:28 Uhr
Goto Top
Ja für die mehrfache posting sorry.
Das mit den Routen stimmt es auch und ich müsste nichts machen. Vorsichtshalber probierte ich jedoch auch die statischen Routen (ohne Erfolg für Zugriff auf Freigaben) zu setzen und zu testen.

Das mit die Firewall dazwischen funkt vermute ich auch. Nur wie soll das gehen wenn es an beiden Enden explizit deaktiviert ist?

Es ist doch nicht so dass im deaktivierten Zustand weiterhin geblockt wird oder?
Mitglied: Henere
Henere 17.12.2019 um 22:53:58 Uhr
Goto Top
Gib das gezielt frei, statt die Firewall zu deaktivieren.Dann klappts auch mit der Nachbarin
Mitglied: fredmy
fredmy 18.12.2019 um 09:32:28 Uhr
Goto Top
Hallo,

und deine FB kann SMB3 ? ..wenn nicht, einfach auf deinen Lokalen Rechner (erstmal) SMB1 Protokoll aktivieren! Steht aber auch so bei AVM ..und die basteln darn daß auch SMB3 (mal) gehen soll face-smile

Fred
Mitglied: aqui
aqui 18.12.2019 um 10:07:30 Uhr
Goto Top
und die basteln darn daß auch SMB3 (mal) gehen soll
Ist ja Quatsch und nur dann relevant wenn man auf die FB als SMB Server (NAS) zugreifen will, was ja hier nun wirklich nicht der Fall ist ! Wer lesen kann....!
Mitglied: ruswein
ruswein 18.12.2019 aktualisiert um 18:04:53 Uhr
Goto Top
Hallo zusammen,

bin wieder da.
Hab den remote subnetz an der Firewall gezielt freigegeben.
Leider immer noch kein Zugriff.

SMB 1 ist auch aktiviert auf beiden.
Irgendwie wird es langsam mysteriös.
Scheint doch kein typische (Winblows) Anfänger Fehler zu sein...

Hat noch jemand Ideen?
Mitglied: aqui
aqui 18.12.2019 um 18:15:38 Uhr
Goto Top
Hab den remote subnetz an der Firewall gezielt freigegeben.
Auch für den richtigen Dienst (Datei und Druckerfreigabe) und vor allem für das richtige Firewall Profil ?
Und...nutzt due die IP Adresse des Servers ? Solltest du um DNS Problematiken aus dem Weg zu gehen !
(Firewall) Vertrauen ist gut Kontrolle ist besser (mit einem Screenshot) !
Klappt der Sharing Zugriff denn im lokalen Netz des Servers ?

Wenn du den Server von remote Pingen kannst wird es ganz sicher ein Winblows Rechte und/oder Firewall Fehler sein !
Mitglied: ruswein
ruswein 18.12.2019 aktualisiert um 20:17:35 Uhr
Goto Top
Ich denke schon. So unerfahren bin ich nun mal auch nicht.
Ich füge paar Screenshots die evtl. zur Aufklärung beitragen können.
Irgendwo ist der Wurm drin.

Im lokalen Netz des Servers habe ich keine Möglichkeit den Zugriff auf Freigaben zu testen da es ein entfernter Standort, weit weg von mir ist. Wenn ich allerdings auf dem Server z.B. im Explorer
\\192.168.179.10\ eingebe so sehe ich alle freigegebene Ordner. Sollten also alle nötigen Dienste gestartet sein.

Woran könnte es nich liegen?
firewall_am_server
vpn
connection
wireshark_on_server
verb.typ
wireshark_on_client
Mitglied: Henere
Henere 18.12.2019 um 20:52:59 Uhr
Goto Top
Auf die Schnelle vom Handy aus. Schau dir dir Firewall an, für welche IP-Ranges du den Zugriff gewährt hast. Lokales Netz, 192.168.irgendwas.....
Von welcher IP kommst Du ?
Mitglied: ruswein
ruswein 18.12.2019 um 21:06:12 Uhr
Goto Top
Server Netz: 192.168.170.0/24
Client Netz: 192.168.180.0/24

Server IP: 192.168.170.10
Client IP: 192.168.180.10
Mitglied: Henere
Henere 18.12.2019 um 21:11:47 Uhr
Goto Top
Und Deine Netzwerkverbindung ist auch im Status privat ? Oder Unternehmensnetzwerk (Domäne) ? Dann musst es dort auch zulassen.
Mitglied: ruswein
ruswein 18.12.2019, aktualisiert am 19.12.2019 um 09:32:39 Uhr
Goto Top
Nein nein. Kein Domain.
Beide Netze sind „privat“.

Zu erwähnen bleibt noch dass ich problemlos auch eine RDP Verbindung von Client zu Server aufbauen kann.
Nur eben auf die Freigaben kann ich immer noch nicht zugreifen.

Was zum Teufel ist da los?

Kann sein das mit der Fritzbox etwas blockt?
Mitglied: aqui
aqui 19.12.2019 aktualisiert um 09:53:56 Uhr
Goto Top
Kann sein das mit der Fritzbox etwas blockt?
Ganz sicher Nein !
Denn dann würde auch RDP und Ping nicht funktionieren. Die FritzBox "sieht" ja nur bis in den Layer 3 also IP Routing Ebene. Was in den von ihr geforwardeten IP Paketen für Applikationsdaten transportiert werden "weiss" sie nicht und ist auch für das was sie machen soll, nämlich nur IP Forwarding, völlig uninteressant.
Es kann also einzig nur am Firewall Setup oder Rechte Setup des "Servers" liegen.
Sinnvoll wäre also hier mal in das Eventlog zu sehen was er mittloggt wenn du versuchst dich einzuloggen mit SMB/CIFS !!
Ein realtiv sicheres Indiz dafür ist dein vorbildlicher Wireshark Trace oben. Es zeigt ja einen SMB Connect Versuch auf den Server mit \\192.168.170.10\<Freigabe>
Wie du klar sehen kannst geht der Connect Request raus aber es kommt keinerlei Antwort vom Server. Wobei auf Pings oder RDP aber Antworten kommen.
Zeigt eigentlich ganz klar das der SMB Sharing Dienst in der lokalen Firewall hängen bleibt. Das Event oder Zugriffs Log wäre also deine Anlaufstelle.
Ganz sicher ist aber noch etwas im Argen in der lokalen Firewall des Servers.
https://administrator.de/forum/windows-10-freigabe-firewall-geht-einmal- ...
https://www.computerbase.de/forum/threads/windows-10-firewall-block-zugr ...
Im Zweifel setzt du die Regel erstmal auf "any any" bei der IP Range.
Mitglied: ruswein
ruswein 19.12.2019 aktualisiert um 12:23:09 Uhr
Goto Top
Hallo und erstmal vielen Dank an alle bisher beteiligten.

Mit Ereignisprotokollierung kenne ich mich nicht aus.
Könntet ihr mir die Richtung geben wo und nach was ich in diesem „Baum“ suchen/schauen muss?
Werde mich heute abends damit beschäftigen.

Kann sein dass mir ein oder andere dienst deaktiviert bzw. nicht gestartet ist?
Welche Dienste müssen überhaupt laufen damit sharing funktioniert?

Danke
Mitglied: Tommi1963
Tommi1963 06.12.2020 aktualisiert um 09:30:02 Uhr
Goto Top
Moin Moin,
habe interessiert heute erst diesen Betrag gelesen.
Habe mit einer Cabel.Box 6591 jetzt das gleiche Problem. Im Prinzip genau das was hier beschrieben wurde, geht bei mir auch nicht. Auch keine Verbindung zu einer QNAP Nass mit SMB3.
Es scheint als wäre da im Netz von Vodafone etwas geblockt was die Verbindung verhindert.
Habt ihr eine Lösung für das Problem gefunden?
Mitglied: aqui
aqui 06.12.2020 aktualisiert um 11:57:20 Uhr
Goto Top
Auch keine Verbindung zu einer QNAP Nass mit SMB3.
Eine NAS sollte man besser nicht nass werden lassen...
Leider ein recht laienhaftes und oberflächliches Statement mit dem man leider technisch nichts anfangen kann außer in die Kristallkugel zu sehen. face-sad
Wichtig wäre ja mal zu erfahren WIE dieser Zugang auf das QNAP realisiert ist ?
Per VPN ? Wenn ja WER realisiert das VPN ? Welches VPN Protokoll ? Usw. usw.
Auch hier kann man zu 98% von einer Fehlkonfiguration ausgehen, denn z.B. wenn man den VPN Zugriff direkt aufs NAS mit dem bordeigenen OpenVPN macht rennt das fehlerlos.
Grundlagen zu OpenVPN wie immer hier:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
Nutzt man die VPN Funktion der FritzBox mit IPsec, filtern sehr viele Billigprovider die IPsec Protokollkomponenten auf den billigen Consumer Accounts da sie VPN Funktionen oft nur auf den teureren Business Accounts ermöglichen.
Hier sollte man immer den Provider kontaktieren und nachfragen bevor man sich einen Wolf versucht mit rumprobieren.
Der Knackpunkt sind oft auch DS-Lite Anschlüsse mit CGN. D.h. der Provider nutzt IPv6 und tunnelt IPv4 mit zentralen NAT (IP Adress Translation) Gateway.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
An solchen DS-Lite Anschlüssen ist ein VPN Zugang von außen generell ohne zusätzlichen Aufwand technisch nicht möglich.
Ein Umstand den viele DS-Lite Kunden leider meist übersehen.
Mitglied: Bodmar
Bodmar 03.03.2021 um 16:11:53 Uhr
Goto Top
Einige schreiben hier von laienhaften Anmerkungen, Anfängerfehler,.... ich halte das für ein wenig überheblich:

Ich hatte eben das gleiche Problem. Interessanterweise, nachdem eine Fritz Box ausgetauscht wurde. Die Lösung ist nicht in der Windows Firewall zu suchen, denn diese lässt standartmäßig den Zugriff auf SMB Freigaben durch (zumindest im privaten und Domänen Netzwerkprofil).

Die Ursache ist, dass in den neueren Fritz OS Versionen bei den VPN-Verbindungen erweiterte Einstellungen dazu gekommen sind. Und eine lautet: "NetBIOS über diese Verbindung zulassen" - das ist im Standart nicht aktiv. Entsprechend kann nicht auf die Freigaben zugegriffen werden. Diese Funktion aktivieren, und es klappt mit dem Zugriff.
Mitglied: aqui
aqui 03.03.2021 aktualisiert um 16:30:09 Uhr
Goto Top
Zu Recht ist das nicht aktiv, damit Laien nicht auf die Idee kommen per ungeschütztem Port Forwarding ihre SMB/CIFS Freigaben öffentlich ins Internet zu exponieren. Gibt ja immer noch Unwissende die solchen Unsinn verzapfen und AVM schützt diese damit vor sich selber.
SMB/CIFS Freigaben ohne ein sicheres VPN machen heute ja nicht einmal mehr Dummies bzw. verhindert aus diesen Gründen zuverlässig der o.a. AVM NetBios Block.
Mitglied: Tommi1963
Tommi1963 03.03.2021 um 20:31:53 Uhr
Goto Top
Das Problem konnte gelöst werden. In der Fritzbox am Ziel des VPN Tunnels, gibt es unter Internet > Freigaben > VPN Verbindung ganz unten einen Haken "NetBIOS über diese Verbindung zulassen".
Dann hat es alle funktioniert
.
vodafone vpn verbindung
Mitglied: aqui
aqui 04.03.2021 um 11:24:35 Uhr
Goto Top
👍