Portfreigabe NAS Fritzbox
Hallo zusammen,
ich habe ein Netzwerk eingerichtet (s.Bild) bei dem ich auf dem NAS der FB7490 mit der IP 192.168.200.10 meine Faxe speichere. Den Speicher habe ich freigegeben und als Laufwerk auf dem Server im Remote-NW auf dem Client 192.168.2.2 eingebunden um dann mit einem externen Programm darauf zuzugreifen. Das alles funktioniert soweit, nur ist der Datenzugriff extrem langsam (schlappe 70 KB Fax > 1 min. bei VDSL50/10 auf beiden Seiten). Auf der FB sind Portweiterleitungen zu der Zyxel für VPN (UDP500,4500,1701 und ESP) eingerichtet. Nach meinem Verständlis sind keine weiteren Freigabe nötig. Oder? Komischerweise geht das Ganze jedoch deutlich schneller, wenn die Zyxel auf der NAS-Seite als Exposed Host freigegeben wird. Es läuft dann immer noch etwas verzögert (2-3 sec), man kann aber zumindest arbeiten. Was übersehe ich dabei? VPN-Tunnel geht sonst problemlos und flüssig.
Danke
ich habe ein Netzwerk eingerichtet (s.Bild) bei dem ich auf dem NAS der FB7490 mit der IP 192.168.200.10 meine Faxe speichere. Den Speicher habe ich freigegeben und als Laufwerk auf dem Server im Remote-NW auf dem Client 192.168.2.2 eingebunden um dann mit einem externen Programm darauf zuzugreifen. Das alles funktioniert soweit, nur ist der Datenzugriff extrem langsam (schlappe 70 KB Fax > 1 min. bei VDSL50/10 auf beiden Seiten). Auf der FB sind Portweiterleitungen zu der Zyxel für VPN (UDP500,4500,1701 und ESP) eingerichtet. Nach meinem Verständlis sind keine weiteren Freigabe nötig. Oder? Komischerweise geht das Ganze jedoch deutlich schneller, wenn die Zyxel auf der NAS-Seite als Exposed Host freigegeben wird. Es läuft dann immer noch etwas verzögert (2-3 sec), man kann aber zumindest arbeiten. Was übersehe ich dabei? VPN-Tunnel geht sonst problemlos und flüssig.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 575522
Url: https://administrator.de/forum/portfreigabe-nas-fritzbox-575522.html
Ausgedruckt am: 24.12.2024 um 02:12 Uhr
14 Kommentare
Neuester Kommentar
Moin,
mal ganz davon abgesehen, dass die NAS-Funktion auf einem USB-Stick generell auf einer (nicht mehr ganz aktuellen) FB langsam ist, warum lässt Du Dir die Faxe nicht in ein Postfach per Mail zustellen? Das kannst Du ja (auch automatisiert) auf dem Client 2.2 weiterverabeiten lassen. Oder sind die Faxe so geheim? Oder greifst Du noch auf andere, auf dem USB-Stick ausgelagerte, Daten zu?
Randbemerkung: Die 7390 würde ich zeitnah tauschen, je nachdem was für ein Anschluss (Vectoring oder nicht) das genau ist, sollte die ersetzt werden.
Gruß
cykes
mal ganz davon abgesehen, dass die NAS-Funktion auf einem USB-Stick generell auf einer (nicht mehr ganz aktuellen) FB langsam ist, warum lässt Du Dir die Faxe nicht in ein Postfach per Mail zustellen? Das kannst Du ja (auch automatisiert) auf dem Client 2.2 weiterverabeiten lassen. Oder sind die Faxe so geheim? Oder greifst Du noch auf andere, auf dem USB-Stick ausgelagerte, Daten zu?
Randbemerkung: Die 7390 würde ich zeitnah tauschen, je nachdem was für ein Anschluss (Vectoring oder nicht) das genau ist, sollte die ersetzt werden.
Gruß
cykes
Wie oder was genau wird denn da weiterverarbeitet?
Vielleicht kannst Du noch was vorschlagen, was die PDF-Anhänge einfach nur stumpf lokal speichert und das eigentliche Programm kann dann einfach auf dem lokalen Verzeichnis seine Arbeit verrichten.
Alternativ setzen viele Kunden für Scans und Faxe PDF-Compressor ein, der kann auch direkt E-Mails verarbeiten.
Vielleicht kannst Du noch was vorschlagen, was die PDF-Anhänge einfach nur stumpf lokal speichert und das eigentliche Programm kann dann einfach auf dem lokalen Verzeichnis seine Arbeit verrichten.
Alternativ setzen viele Kunden für Scans und Faxe PDF-Compressor ein, der kann auch direkt E-Mails verarbeiten.
mit der IP 192.168.200.10
Diese IP Adresse existiert aber im gesmaten .200er Netzwerk nicht. Jedenfalls nicht laut Zeichnung oben ?!Du meinst vermutlich das .100.0er Netz und da die .10 als FB Hostadresse richtig. Soclhe Fehler verwirren hier bloss...
Auf der FB sind Portweiterleitungen zu der Zyxel für VPN (UDP500,4500,1701 und ESP)
UDP 1701 ist überflüssig bei native IPsec, denn das verwendet nur L2TP. Ist also ein Sicherheitsloch bei einem rein native IPsec Tunnel.Nach meinem Verständlis sind keine weiteren Freigabe nötig. Oder?
Das ist richtig verstanden. Im Gegenteil, du hast schon zuviel des Guten mit UDP 1701...Das generelle Problem ist erstmal das die NAS Implementation auf der FritzBox per se ziemlich langsam ist. M.W. verwendet sie auch noch SMBv1 was in den meisten moderenn OS nur noch per Konfig Eingriff aktivierbar ist und dann auch sehr langsam arbeitet. Zudem ist es nicht mehr sicher.
Das 2te Problem ist das der NAS Zugriff auf die .100.10 außerhalb des "roten" Ports, sprich des WAN Ports des Zyxels liegt. Damit also für den Zyxel im bösen Internet, denn der Zyxel weiss ja nicht das das nur erstmal rein ein Koppelnetz ist bevor es richtig böse wird.
Mit anderen Worten du brauchst auf dem Zyxel 2 wichtige Dinge:
- 1.) Eine Firewall Regel die dir generell den Zugriff aus RFC 1918 IP Netzen oder speziell dem .100.0er Netz auf die WAN IP Adresse des Zyxel erlaubt, das Traffic aus diesem 100.0er IP Netz auf den WAN Port zulässt. Ggf. kannst du das auf SMB/CIFS Protokoll also mit TCP 445 dichtziehen. Das FB NAS hat die .100.10 als Absender IP und die Zyxel macht NAT auf dem WAN Port so das sämtlicher Traffic aus deinen dort an der Zyxel angeschlossenen IP Netzen (auch VPN) nur mit der WAN Port Absender IP der Zyxel im 100.0er Netz ausgesendet wird. Die FritzBox "denkt" durch das NAT daher also immer der auf ihr NAS zugreifende Client ist einer aus dem lokalen .100.0er Netz.
- 2.) brauchst du in der IPsec Phase 2 einen SA Eintrag auf das .100.0er Netz. Jetzt hast du vermutlich lediglich einen da drin für das .200.er Netz so das die Routing Tabelle des Zyxels auf der .2.0er Clientseite lediglich weiss das sie allen Traffic für das .200.0er Netz in den Tunnel schieben soll aber nicht Traffic für das .100er IP Netz. Folglich routet sie diesen Traffic dann auf der .2.0er Seite Richtung Provider ins Nirwana.
PFSense mit Fritzboxen verbinden
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
Fazit:
4 wichtige Dinge brauchen wir um dein Setup zu kontrollieren und zu troubleshooten:
- Einen Traceroute (tracert) des .2.2er Clients auf die NAS FritzBox .100.10
- Einen Screenshot des Firewall Regelwerkes am WAN Port des NAS seitigen Zyxel
- Einen Screenshot der Phase 2 Einrichtung der Client seitigen FW um zu checken das dort das .100.0er Netzwerk in den Tunnel geroutet wird.
- Um letzteres genau zu checken wäre auch ein Output der Routing Tabelle der Client seitigen FW sehr hilfreich.
Zitat von @dbox3:
Warum ist dann mit Exposed Host auf der Fritte die Geschwindigkeit viel höhen? Muss doch an irgedeinem Port liegen.
Das ist richtig verstanden. Im Gegenteil, du hast schon zuviel des Guten mit UDP 1701...
Warum ist dann mit Exposed Host auf der Fritte die Geschwindigkeit viel höhen? Muss doch an irgedeinem Port liegen.
Das dürfte an der (fehlenden) Rechenleistung der Fritte liegen. Wenn du exposed host hast, muß die Fritte nciht viel überlegen sondern kann als was nicht für sie selbst ist einfach weiterleiten.
Bei dedizierten Portweiterleitungen muß sie erst prüfen, an wen denn das Paket zugestellt werden muß. das kann dann schon die wertvolle Rechenzeit einschränken.
lks
Alternativ setzen viele Kunden für Scans und Faxe PDF-Compressor ein, der kann auch direkt E-Mails verarbeiten.
PDF-Compressor sagt mir vorerst nichts. Mach mich schlau, vllt. ist das die Lösung.
Der kann auch nachträglich durchsuchbare PDFs erzeugen (OCR).
Zitat von @dbox3:
Und das kostet so viel Zeit? Der Unterschied ist ja gewaltig. Übrigens habe ich auf der andereren FB (7390) das gleiche System mit dem Empfang der Faxe (habe ich vorher nicht erwänt, um das Ganze nicht noch mehr zu verkomplizieren). Der Zugriff aus dem 2.0-Netz auf die NAS (.1.10) darauf ist sehr flüssig. Ein gewisser Abschlag auf den Transport durch den Tunnel nehme ich noch in Kauf, aber das es > 1 Min. für 70KB ist? Alleine mit der schwachen FB-Power lässt sich das kaum erklären.
Und das kostet so viel Zeit? Der Unterschied ist ja gewaltig. Übrigens habe ich auf der andereren FB (7390) das gleiche System mit dem Empfang der Faxe (habe ich vorher nicht erwänt, um das Ganze nicht noch mehr zu verkomplizieren). Der Zugriff aus dem 2.0-Netz auf die NAS (.1.10) darauf ist sehr flüssig. Ein gewisser Abschlag auf den Transport durch den Tunnel nehme ich noch in Kauf, aber das es > 1 Min. für 70KB ist? Alleine mit der schwachen FB-Power lässt sich das kaum erklären.
hast Du mal FTP statt SMB/CIFS versucht?
lks