geocast
Goto Top

Netzlaufwerk über VPN hat Probleme

Hallo Zusammen

Ich habe hier ein QNAP TS-269 Pro (aktuellste Firmware) NAS in einem entfernten Standort, der über VPN in einem zweiten Standort an die Domäne eingebunden ist (Server2012R2)

Funktioniert wunderbar, habe Ordner freigegeben mit Gruppen von der Domäne als Berechtigung. Soweit so gut. Die Ordner sind mit einer Ordner Aggregation zusammengefasst (ähnlich wie ein DFS Stamm bei Windows)
Wenn ich allerdings einen Laptop (Windows 10 Pro 1709) außerhalb vom Standort starte (cached credentials) und per OpenVPN mich einwähle in das Netzwerk vom NAS und das Netzlaufwerk anklicke, fragt er nach den Benutzerdaten und es kommt die Meldung "Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden"

Wenn ich diese eingebe komme ich zwar in die Übersicht, aber ich sehe ich kann dann nicht auf die Ordner darunter zugreifen, da er behauptet, dass diese nicht auffindbar sind.

Kennt von euch jemand diese Problematik?

Danke für eure Hilfe

Content-Key: 377830

Url: https://administrator.de/contentid/377830

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: Pjordorf
Pjordorf 22.06.2018 um 13:10:19 Uhr
Goto Top
Hallo,

Zitat von @geocast:
Wenn ich diese eingebe komme ich zwar in die Übersicht, aber ich sehe ich kann dann nicht auf die Ordner darunter zugreifen, da er behauptet, dass diese nicht auffindbar sind.
SMB Version geprüft?

Gruß,
Peter
Mitglied: emeriks
emeriks 22.06.2018 um 13:13:46 Uhr
Goto Top
Hi,
bei VPN ist doch auch ein Router und/oder eine Firewall dazwischen?

E.
Mitglied: geocast
geocast 22.06.2018 um 13:21:38 Uhr
Goto Top
Wireshark sagt mir SMB2. Eingestellt ist das die höchste Version SMB3 sein kann.

Ja es ist eine PfSense Firewall als VPN Gateway dazwischen. Es gibt fälle wo ich einmal durchkomme auf Netzlaufwerk stelle ich gerade fest. Wenn ich z.B. die Zugangsdaten bei der Abfrage eingeben und dann manuell oben im Explorer den Servername (\\servername) und den Ordner dann wähle geht es. Wenn ich danach das verbundene Netzlaufwerk auswähle dann funktioniert es auch... merkwürdigerweise...
Mitglied: Pjordorf
Pjordorf 22.06.2018 um 13:29:54 Uhr
Goto Top
Hallo,

Zitat von @geocast:
Eingestellt ist das die höchste Version SMB3 sein kann.
Wo ist das eingestellt - Wireshark, NAS, Client, Switch(es), Server, VN Software? Höher als SMBv3 gibt es zur Zeit auch nicht.

Ja es ist eine PfSense Firewall als VPN Gateway dazwischen.
Scheint das du Netzwerkprobleme has, Was sagt Wireshark dazu? Wie sieht deine Netzwerkstruktur denn überhaupt aus. Aus deine vielen Standorten und deren unterschiedlichen bezeichnungen wird man ja nicht wirklich schlau.

Es gibt fälle wo ich einmal durchkomme auf Netzlaufwerk stelle ich gerade fest.
Z.B. dieser Satz sagt uns was?

Wenn ich z.B. die Zugangsdaten bei der Abfrage eingeben und dann manuell oben im Explorer den Servername (\\servername) und den Ordner dann wähle geht es.
Oder dieser Satz?

Vielleicht hilft uns ja eine Zeichnung? face-smile

Gruß,
Peter
Mitglied: geocast
geocast 22.06.2018 um 13:50:35 Uhr
Goto Top
Im QNAP kann man festlegen welche SMB Version als höchstes Verwendet werden soll. Eben da ist es auf SMB3. Verwendet wird laut Wireshark SMB2

Von der Aufteilung ist es. Es gibt zwei Standorte. In Standort A steht ein DC mit Server 2012R2. In Standort B steht nur ein NAS, das aber in die AD integriert ist. Verbunden sind die beiden Standorte mit PfSense IPSEC Site2Site.
Das Laptop ist außerhalb von beiden Standorten und greift per OpenVPN auf Standort B zu.

Wireshark gibt mir viele Meldungen. Einer davon ist "Status Object Name not Found", bin da noch am durchstöbern warum das so ist.

Das Netzlaufwerk ist persistent verbunden über den Explorer (\\servername\share). Wenn ich darauf klicke kommt nach einer Weile die oben genannte Meldung. Da gebe ich nun die Zugangdaten ein von meinem Benutzer. Danach sehe ich die Ordner im Stamm. Sobald ich eine davon anklicke kommt die Meldung "Auf ... konnte nicht zugegriffen werden"

Wenn ich aber hingehe und in der Leiste oben \\servername eingebe listet er mir alle Vorhandenen Ornder auf. Wenn ich auf den Ordner \share doppelklicke listet er mir wieder alle Ordner auf wie oben. Wenn ich jetzt aber auf einen klicke öffnet er diesen ganz normal.

Wenn ich dann wieder über den persistent verbundenen Laufwerk gehe im Explorer auf \\servername\share, dann kommt wieder die Meldung "Auf ... konnte nicht zugegriffen werden"

Hoffe das ist verstädnlicher
Mitglied: geocast
geocast 22.06.2018 um 15:05:15 Uhr
Goto Top
Ist es nötig, dass das Laptop Zugriff auf den DC braucht während er versucht sich gegen den Ordner zu Authentifizieren? Der Traffic wird nämlich nicht geroutet an Standort A, wenn er von extern darauf zugreift.
Mitglied: Pjordorf
Pjordorf 22.06.2018 um 15:22:10 Uhr
Goto Top
Hallo,

Zitat von @geocast:
Ist es nötig, dass das Laptop Zugriff auf den DC braucht während er versucht sich gegen den Ordner zu Authentifizieren?
Zu welchen Ordner will er sich verbinden und wie ist dort die Authtifizierung gemacht. Der Client selbst (das Laptop) hat gespeicherte Anmeldedaten und nutzt diese wenn er eben keinen DC findet bzw. einfach nicht erreichen kann. (Zwischengespeicherte Anmeldedaten). Wenn der Ordner auf den dein Laptop zugreien will eben auf eine DC angewiesen ist und dieser beim DC nachfragt ob Domänenbenutzer XYZ eben darf oder nicht darf... face-smile

Der Traffic wird nämlich nicht geroutet an Standort A, wenn er von extern darauf zugreift.
Hat das einen besonderen Grund warum du ihm nicht lässt? Deine Standorte haben doch schon alles was es bedarf und nur dein OpenVPN hindert ... Schau dir an wie du dein OopenVPN konfiguriert hast... Und dies greift doch auch nur wenn dein Laptop eben eine OpenVPN Verbindung zu deine Standort A hergestellt hat, ansonsten nicht.

Gruß,
Peter
Mitglied: geocast
geocast 22.06.2018 um 16:19:18 Uhr
Goto Top
Also ich glaube ich habe es gelöst, wobei ich es noch etwas am laufen halten werde.

Ich habe ein Routing aufgebaut vom Roadwarrior über Standort B nach Standort A, damit der Client sich gegen den DC Authentifizieren kann. Scheint wohl so nötig zu sein bei QNAP, dass ihm die Cached Credentials nicht ausreichen. Die bisherigen Tests waren erfolgreich, werde es aber noch beobachten.