Kein Zugriff auf NAS bei DS Lite

Mitglied: martingerdes

martingerdes (Level 1) - Jetzt verbinden

18.10.2020, aktualisiert 19:31 Uhr, 781 Aufrufe, 14 Kommentare

Hallo liebe Gemeinde,

dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. Leider komme ich nicht weiter.

Problem:
Ich kann mich via Internet nicht auf meine Daten auf dem NAS zugreifen, auf die GUI jedoch schon.

Setup:
Internetanbieter Vodafone mit DS-Lite
FRITZ!Box 6591 Cable, MyFritz aktiviert, Ports 80 und 445 auf NAS weitergeleitet
NAS ist eine Raspberry Pi4 mit OMV5
V-Server mit IPv4 und IPv6 Adresse bei IONOS mit Linux und 6tunnel. Ports 80 und 445 weitergeleitet auf [meineNAS].[meineMyFritzAdresse].myfritz.net
Ports in der Firewall des V-Servers sind offen.

Ergebnis:
Gebe ich auf meinem Smartphone außerhalb des Heimnetzes die IPv4-Adresse in den Browser ein, öffnet sich die GUI der NAS - so soll es sein!
Gebe ich allerdings in einem FileBrowser die Adresse ein und versuche via Samba auf den Server zuzugreifen, passiert nichts.
Auch ein Portscanner bestätigt: Port 80 offen, 445 aber nicht.

Ich probiere seit zwei Tagen rum und bin echt ratlos... Wer kann mir helfen?

Danke im Voraus,

Martin
Mitglied: StefanKittel
18.10.2020, aktualisiert um 20:47 Uhr
Hallo,

wen Port 80 funktioniert, weist Du dass die IP-Adresse und eine Port-Weiterleitung funktioniert.
Das ist schon mal mehr als von man von einem Lite-Zugang erwarten darf.

Wenn also Port 80 geht, 445 aber nicht, heist das:
a) Du hast was falsch gemacht
b) Der Anbieter lässt das schlicht nicht zu (Ende im Gelände)

btw. weder Port 80 noch Port 445 sind wirklich sinnvoll... https und vpn sind Deine Freunde.

Stefan
Bitte warten ..
Mitglied: certifiedit.net
18.10.2020 um 20:02 Uhr
Hallo Martin,

warum 445? Wenn du https willst, nimm 443 und gut, 445 könnte woanders geblockt sein.

Grüße
Bitte warten ..
Mitglied: aqui
18.10.2020 um 20:22 Uhr
TCP 445 ist SMB/CIFS. Das vollkommen ungeschützt ins Internet zu exponieren muss man hier in einem Administrator Forum sicher nicht mehr weiter kommentieren. Sowas machen heutzutage nicht einmal mehr die größten DAUs.
Man kann nur inständig hoffen das der TO hier einen Tippfehler begangen hat und TCP 443 (HTTPS) meint ?!
Offen auf ein NAS zuzugreifen (TCP 80 ist ebenfalls ungeschützt) ist sicherheitstechnischer Wahnsinn. Vernüftige und Verantwortungs bewusste User denen der Schutz der eigenen Daten etwas Wert ist machen sowas natürlich immer mit einem VPN.
Zumal der TO ja auch noch einen vServer betreibt und sowas mit DS-Lite dann sehr einfach, elegant und zudem sicher lösen könnte:
https://administrator.de/forum/zwei-mobilfunkrouter-tp-link-mr200-vpn-ve ...
Mehr muss man dazu sicher nicht sagen...
Bitte warten ..
Mitglied: BirdyB
18.10.2020 um 20:25 Uhr
Moin,
ich würde grundsätzlich nicht empfehlen, den SMB-Port 445 offen ins Netz zu stellen. Hier würde ich auf jeden Fall ein VPN empfehlen.
Auch die unverschlüsselte HTTP-Verbindung (Port 80) ist keine gute Option. Da solltest du dringend auf HTTPS wechseln.

Wenn allerdings die Verbindung über Port 80 funktioniert, muss irgendwo auf dem Weg noch etwas geblockt werden. Checke nochmal die FW von der Fritzbox, vServer und OMV.

Es könnte auch sein, dass dein vServer-Provider einige unsichere Ports per default blockt. Da hilft nur die Analyse über jedes einzelne Verbindungssegment.

VG
Bitte warten ..
Mitglied: certifiedit.net
18.10.2020 um 21:14 Uhr
TCP 445 ist SMB/CIFS. Das vollkommen ungeschützt ins Internet zu exponieren muss man hier in einem Administrator Forum sicher nicht mehr weiter kommentieren. Sowas machen heutzutage nicht einmal mehr die größten DAUs.

Wo du Recht hast, das war aber SO abwegig, dass ich DARAN gar nicht gedacht hab. Nunja, ich hoffe, er hat wirklich HTTPS/443 gemeint, denn SMB blockert jeder halbwegs gute Router sowieso ausgehend.
Bitte warten ..
Mitglied: certifiedit.net
18.10.2020 um 21:15 Uhr
Wenn allerdings die Verbindung über Port 80 funktioniert, muss irgendwo auf dem Weg noch etwas geblockt werden. Checke nochmal die FW von der Fritzbox, vServer und OMV.

Wie an @aqui schon geschrieben, ich nahm nicht an, dass man so verrückt ist. Nunja, aber bzgl. SMB, das wird von, wie schon geschrieben, jedem halbwegs guten Router automatisch geblockt (warum nur ) probier es gerne mal, du wirst nicht raus kommen...
Bitte warten ..
Mitglied: BirdyB
19.10.2020 um 09:54 Uhr
Moin,

ich habe gerade noch den Hinweis gefunden, dass VF bei "ihren" Fritzboxen eine Freigabe von Port 445 garnicht zulässt: https://forum.golem.de/kommentare/security/remote-code-execution-sicherh ...

Die Ausführungen zum Thema Sicherheit wiederhole ich an der Stelle jetzt nicht.

VG
Bitte warten ..
Mitglied: aqui
19.10.2020 um 09:59 Uhr
Das ist der fest aktivierte NetBios Filter:
https://service.avm.de/help/de/FRITZ-Box-7590/019/hilfe_howto_vpn_netbio ...
Sehr sinnvoll von AVM um solche gruseligen DAU Dinge wie SMB freigeben übers Internet sicher zu verhindern. Traurig das einigen die Sicherheit ihrer persönlichen Daten völlig schnurz ist und sie es dennoch immer wieder versuchen. Sind dann die die dann hinterher am lautesten schreien wenn sie Malware Opfer werden....
Bitte warten ..
Mitglied: StefanKittel
19.10.2020 um 10:05 Uhr
Zitat von aqui:
...Traurig das einigen die Sicherheit ihrer persönlichen Daten völlig schnurz ist und sie es dennoch immer wieder versuchen. Sind dann die die dann hinterher am lautesten schreien wenn sie Malware Opfer werden....
Naja, solange im Bereich der medizinischen Software folgende Vorgaben von vielen Herstellern gelten.....
  • Lokale Administratorrechte für jeden Benutzer
  • UAC deaktiviert
  • Windows-Firewall oder vergleichbare Software deaktivieren
  • Windows Updates hart deaktivieren
  • Kein Antivirenprogramm oder vergleichbare Software
  • Keine VLANs zu den medizinischen Geräten
Bitte warten ..
Mitglied: Dilbert-MD
19.10.2020 um 10:21 Uhr
Zitat von martingerdes:

Hallo liebe Gemeinde,

FRITZ!Box 6591 Cable, MyFritz aktiviert, Ports 80 und 445 auf NAS weitergeleitet
[...]
V-Server mit IPv4 und IPv6 Adresse bei IONOS mit Linux und 6tunnel. Ports 80 und 445 weitergeleitet auf [meineNAS].[meineMyFritzAdresse].myfritz.net
Martin

Verbindest Du dich über VPN mit dem NAS ?
Wenn my-fritz-Zugang an sich funktioniert, dann sollte auch VPN funktionieren.

Gruß
Bitte warten ..
Mitglied: BirdyB
19.10.2020 um 23:18 Uhr
Und schon wieder so ein Thema wo der TO nicht mehr gesehen wurde...
Bitte warten ..
Mitglied: TomTomBon
20.10.2020 um 12:15 Uhr
Moin

Naja,
der Start des Thread ist erst 2 Tage her.
Manchmal kommt etwas dazwischen sich hinterher zu hängen.
Vor allem wenn es nicht die Level 4 Prio hat und im privaten ist
Bitte warten ..
Mitglied: martingerdes
20.10.2020 um 12:25 Uhr
Hi,
ich hatte die Ports 80 und 445 nur testweise offen, die Begründung, dass die Hersteller die Ports im Router sperren, klingt aber einleuchtend.
Die Ports 80 und 445 sind nun wieder dicht, dafür aber 443 und der Port 1194 (TCP).
Die Verbindung zum NAS möchte ich via OpenVPN (als Plugin in OMV5 auf den Pi) herstellen. Die Ports habe ich (meiner Meinung nach) auch auf dem vServer, der Fritz!Box und in OMV5 geöffnet. Via 443 kann ich auch auf die Benutzeroberfläche zugreifen, Alldings scheint kein anderer Port offen zu sein.
Kann hier jemand helfen?

Vielen Dank!
Bitte warten ..
Mitglied: aqui
20.10.2020 um 12:40 Uhr
und der Port 1194 (TCP).
Wieder ein fehler denn man sollte aus Performance Gründen niemals eine TCP Encapsulation bei OpenVPN nutzen. OpenVPN selber rät in seinen design Guides dringenst davon ab aus guten Gründen. Performance, Overhead, MTU Probleme usw.
Hier sollte man immer den Standard UDP beibehalten.
Bei der FritzBox und OMV5 ist es sinnfrei den VPN Port zu öffnen, denn diese sind am VPN Traffic ja gar nicht beteiligt. Zudem bedient die FB einen DS-Lite Anschluss wo es eh sinnlos ist.
Der OVPN Client im Heimnetz ist ja VPN Seting immer der Initiator. Er eröffnet die UDP 1194 Session auf den vServer zum OpenVPN Server. Damit ist die Session eröffenent und auch der Rückweg der VPN Pakete etabliert.
Man sollte aber in jedem Falle einen Keepalive aktivieren damit die VPN Sessin zum vServer stabil bleibt.
Das hiesige_Tutorial zeigt eine entsprechende OVPN Server Konfig.
Wie so ein vServer Szenario mit DS-Lite aussieht beschreibt dieser Thread:
https://administrator.de/forum/zwei-mobilfunkrouter-tp-link-mr200-vpn-ve ...
Bitte warten ..
Heiß diskutierte Inhalte
Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia23 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu22 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless18 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1017 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1015 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

Ähnliche Inhalte
Samba
Samba-NAS Zugriff verweigert
gelöst VernoxVernaxFrageSamba15 Kommentare

hallo ich schaffe es einfach nicht meinem User Rechte zum schreiben zu geben. Ich habe dies alles auf nem ...

Netzwerkprotokolle

NAS durch Fritzbox per IPv6 über DS-Lite Anschluss erreichen

gelöst doubleoFrageNetzwerkprotokolle9 Kommentare

Hallo Zusammen, hatte gedacht, dass Thema zu verstehen, muss aber eingestehen, dass ich jetzt nur noch verwirrter bin. Mein ...

SAN, NAS, DAS

NAS Weltweit Zugriff auf Daten

Tommy1416FrageSAN, NAS, DAS19 Kommentare

Hallo, welche NAS hersteller unterstützen den Weltweiten zugriff? (Außer WD und Synology) Danke im voraus

LAN, WAN, Wireless

Zugriff auf den vorgeschalteten NAS

gelöst dbox3FrageLAN, WAN, Wireless6 Kommentare

Hallo, ich habe folgendes Szenario: Standtort1 - Zyxel USG 20 - FritzBox7390 - Internet - FritzBox7490 - Zyxel USG ...

SAN, NAS, DAS

Office NAS Zugriff per Software ?

gelöst TheHydrogenaFrageSAN, NAS, DAS7 Kommentare

Moin , und zwar hat einer meiner Kunden ein Office NAS bei sich stehen auf dem u.a Domänenbenutzer liegen. ...

Netzwerkgrundlagen

Zugriff auf NAS von außen

ShaggomatFrageNetzwerkgrundlagen14 Kommentare

Guten Tag Ich, eine Privatperson und in keinem IT Job tätig, bin neu hier auf der Seite und hätte ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT