dbox3
Goto Top

Portfreigabe NAS Fritzbox

Hallo zusammen,
ich habe ein Netzwerk eingerichtet (s.Bild) bei dem ich auf dem NAS der FB7490 mit der IP 192.168.200.10 meine Faxe speichere. Den Speicher habe ich freigegeben und als Laufwerk auf dem Server im Remote-NW auf dem Client 192.168.2.2 eingebunden um dann mit einem externen Programm darauf zuzugreifen. Das alles funktioniert soweit, nur ist der Datenzugriff extrem langsam (schlappe 70 KB Fax > 1 min. bei VDSL50/10 auf beiden Seiten). Auf der FB sind Portweiterleitungen zu der Zyxel für VPN (UDP500,4500,1701 und ESP) eingerichtet. Nach meinem Verständlis sind keine weiteren Freigabe nötig. Oder? Komischerweise geht das Ganze jedoch deutlich schneller, wenn die Zyxel auf der NAS-Seite als Exposed Host freigegeben wird. Es läuft dann immer noch etwas verzögert (2-3 sec), man kann aber zumindest arbeiten. Was übersehe ich dabei? VPN-Tunnel geht sonst problemlos und flüssig.
Danke
vpn_site_to_site

Content-ID: 575522

Url: https://administrator.de/forum/portfreigabe-nas-fritzbox-575522.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

cykes
Lösung cykes 29.05.2020 um 07:32:39 Uhr
Goto Top
Moin,

mal ganz davon abgesehen, dass die NAS-Funktion auf einem USB-Stick generell auf einer (nicht mehr ganz aktuellen) FB langsam ist, warum lässt Du Dir die Faxe nicht in ein Postfach per Mail zustellen? Das kannst Du ja (auch automatisiert) auf dem Client 2.2 weiterverabeiten lassen. Oder sind die Faxe so geheim? Oder greifst Du noch auf andere, auf dem USB-Stick ausgelagerte, Daten zu?
Randbemerkung: Die 7390 würde ich zeitnah tauschen, je nachdem was für ein Anschluss (Vectoring oder nicht) das genau ist, sollte die ersetzt werden.

Gruß
cykes
dbox3
dbox3 29.05.2020 um 08:06:39 Uhr
Goto Top
Über Email lief es bislang sehr gut (ich habe auch einen eigenen Exch2013). Das Problem war das besagte externe Programm, das ständig nach Verarbeitung der Email-Eingänge mehrmals täglich abstürzt. Die Betreuerfirma ist anscheinend nicht in der Lage seit 6 Monaten das Problem zu lösen. Über direkten Zugriff über Dateien geht es jedoch.
cykes
Lösung cykes 29.05.2020 um 08:21:47 Uhr
Goto Top
Wie oder was genau wird denn da weiterverarbeitet?
Vielleicht kannst Du noch was vorschlagen, was die PDF-Anhänge einfach nur stumpf lokal speichert und das eigentliche Programm kann dann einfach auf dem lokalen Verzeichnis seine Arbeit verrichten.

Alternativ setzen viele Kunden für Scans und Faxe PDF-Compressor ein, der kann auch direkt E-Mails verarbeiten.
aqui
Lösung aqui 29.05.2020 um 08:40:59 Uhr
Goto Top
mit der IP 192.168.200.10
Diese IP Adresse existiert aber im gesmaten .200er Netzwerk nicht. Jedenfalls nicht laut Zeichnung oben ?!
Du meinst vermutlich das .100.0er Netz und da die .10 als FB Hostadresse richtig. Soclhe Fehler verwirren hier bloss... face-sad
Auf der FB sind Portweiterleitungen zu der Zyxel für VPN (UDP500,4500,1701 und ESP)
UDP 1701 ist überflüssig bei native IPsec, denn das verwendet nur L2TP. Ist also ein Sicherheitsloch bei einem rein native IPsec Tunnel.
Nach meinem Verständlis sind keine weiteren Freigabe nötig. Oder?
Das ist richtig verstanden. Im Gegenteil, du hast schon zuviel des Guten mit UDP 1701...

Das generelle Problem ist erstmal das die NAS Implementation auf der FritzBox per se ziemlich langsam ist. M.W. verwendet sie auch noch SMBv1 was in den meisten moderenn OS nur noch per Konfig Eingriff aktivierbar ist und dann auch sehr langsam arbeitet. Zudem ist es nicht mehr sicher.
Das 2te Problem ist das der NAS Zugriff auf die .100.10 außerhalb des "roten" Ports, sprich des WAN Ports des Zyxels liegt. Damit also für den Zyxel im bösen Internet, denn der Zyxel weiss ja nicht das das nur erstmal rein ein Koppelnetz ist bevor es richtig böse wird.
Mit anderen Worten du brauchst auf dem Zyxel 2 wichtige Dinge:
  • 1.) Eine Firewall Regel die dir generell den Zugriff aus RFC 1918 IP Netzen oder speziell dem .100.0er Netz auf die WAN IP Adresse des Zyxel erlaubt, das Traffic aus diesem 100.0er IP Netz auf den WAN Port zulässt. Ggf. kannst du das auf SMB/CIFS Protokoll also mit TCP 445 dichtziehen. Das FB NAS hat die .100.10 als Absender IP und die Zyxel macht NAT auf dem WAN Port so das sämtlicher Traffic aus deinen dort an der Zyxel angeschlossenen IP Netzen (auch VPN) nur mit der WAN Port Absender IP der Zyxel im 100.0er Netz ausgesendet wird. Die FritzBox "denkt" durch das NAT daher also immer der auf ihr NAS zugreifende Client ist einer aus dem lokalen .100.0er Netz.
  • 2.) brauchst du in der IPsec Phase 2 einen SA Eintrag auf das .100.0er Netz. Jetzt hast du vermutlich lediglich einen da drin für das .200.er Netz so das die Routing Tabelle des Zyxels auf der .2.0er Clientseite lediglich weiss das sie allen Traffic für das .200.0er Netz in den Tunnel schieben soll aber nicht Traffic für das .100er IP Netz. Folglich routet sie diesen Traffic dann auf der .2.0er Seite Richtung Provider ins Nirwana.
Du findest solche Phase 2 Designs mit 2 remoten IP Netzen via VPN z.B. in diesen Threads:
PFSense mit Fritzboxen verbinden
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client

Fazit:
4 wichtige Dinge brauchen wir um dein Setup zu kontrollieren und zu troubleshooten:
  • Einen Traceroute (tracert) des .2.2er Clients auf die NAS FritzBox .100.10
  • Einen Screenshot des Firewall Regelwerkes am WAN Port des NAS seitigen Zyxel
  • Einen Screenshot der Phase 2 Einrichtung der Client seitigen FW um zu checken das dort das .100.0er Netzwerk in den Tunnel geroutet wird.
  • Um letzteres genau zu checken wäre auch ein Output der Routing Tabelle der Client seitigen FW sehr hilfreich.
dbox3
dbox3 29.05.2020 um 14:06:59 Uhr
Goto Top
Zitat von @cykes:

Wie oder was genau wird denn da weiterverarbeitet?

Die PDF-Anhänge werden einfach mit einem Archvierungsmodul in eine Datenbank eingelesen und anschließend gelöscht. Ziehmlich simpler Vorgang, verursacht jedoch laufend Abstürze.
Vielleicht kannst Du noch was vorschlagen, was die PDF-Anhänge einfach nur stumpf lokal speichert und das eigentliche Programm kann dann einfach auf dem lokalen Verzeichnis seine Arbeit verrichten.

Das habe ich auch überlegt und bereits ausprobiert mit EEAttachment bzw. MailStore-Server. Einfacher erschien mir das neue Szenario.


Alternativ setzen viele Kunden für Scans und Faxe PDF-Compressor ein, der kann auch direkt E-Mails verarbeiten.

PDF-Compressor sagt mir vorerst nichts. Mach mich schlau, vllt. ist das die Lösung.
dbox3
dbox3 29.05.2020 aktualisiert um 14:50:11 Uhr
Goto Top
Zitat von @aqui:

Diese IP Adresse existiert aber im gesmaten .200er Netzwerk nicht. Jedenfalls nicht laut Zeichnung oben ?!
Du meinst vermutlich das .100.0er Netz und da die .10 als FB Hostadresse richtig. Soclhe Fehler verwirren hier bloss... face-sad

Sorry, stimmt! Das ist die 100.10-Box

UDP 1701 ist überflüssig bei native IPsec, denn das verwendet nur L2TP. Ist also ein Sicherheitsloch bei einem rein native IPsec Tunnel.

Stimmt und ist mir auch bewusst. Nur brauche ich hin und wieder Zugang aus dem Mobilnetz vom Android.

Das ist richtig verstanden. Im Gegenteil, du hast schon zuviel des Guten mit UDP 1701...

Warum ist dann mit Exposed Host auf der Fritte die Geschwindigkeit viel höhen? Muss doch an irgedeinem Port liegen.

Das generelle Problem ist erstmal das die NAS Implementation auf der FritzBox per se ziemlich langsam ist. M.W. verwendet sie auch noch SMBv1 was in den meisten moderenn OS nur noch per Konfig Eingriff aktivierbar ist und dann auch sehr langsam arbeitet. Zudem ist es nicht mehr sicher.

Das kommende Update (derzeit noch Laborversion) kann SMB 3

Das 2te Problem ist das der NAS Zugriff auf die .100.10 außerhalb des "roten" Ports, sprich des WAN Ports des Zyxels liegt. Damit also für den Zyxel im bösen Internet, denn der Zyxel weiss ja nicht das das nur erstmal rein ein Koppelnetz ist bevor es richtig böse wird.
Mit anderen Worten du brauchst auf dem Zyxel 2 wichtige Dinge:
  • 1.) Eine Firewall Regel die dir generell den Zugriff aus RFC 1918 IP Netzen oder speziell dem .100.0er Netz auf die WAN IP Adresse des Zyxel erlaubt, das Traffic aus diesem 100.0er IP Netz auf den WAN Port zulässt.

In Richtung FB -> Zyxel? Das ist doch dann "Exposed Host", was auch einigermassen geht. Nur wollte ich nur die notwendigen Ports öffnen. Oder verstehe ich da was falsch? In Richtung Zyxel(VPN) -> WAN-Port(100.0-er Netz) ist in der Zyxel ein Routing und entsprechende Policy-Controll-Regeln eingerichtet.

Ggf. kannst du das auf SMB/CIFS Protokoll also mit TCP 445 dichtziehen. Das FB NAS hat die .100.10 als Absender IP und die Zyxel macht NAT auf dem WAN Port so das sämtlicher Traffic aus deinen dort an der Zyxel angeschlossenen IP Netzen (auch VPN) nur mit der WAN Port Absender IP der Zyxel im 100.0er Netz ausgesendet wird. Die FritzBox "denkt" durch das NAT daher also immer der auf ihr NAS zugreifende Client ist einer aus dem lokalen .100.0er Netz.

Eine Routing-Regel in der Zyxel habe ich eingerichtet.

* 2.) brauchst du in der IPsec Phase 2 einen SA Eintrag auf das .100.0er Netz. Jetzt hast du vermutlich lediglich einen da drin für das .200.er Netz so das die Routing Tabelle des Zyxels auf der .2.0er Clientseite lediglich weiss das sie allen Traffic für das .200.0er Netz in den Tunnel schieben soll aber nicht Traffic für das .100er IP Netz. Folglich routet sie diesen Traffic dann auf der .2.0er Seite Richtung Provider ins Nirwana.

War anfangs das Problem. Mittlerweile habe ich durch die VPN-Regel in Phase 2: Netz-2.2 (lokal) auf Range 100.1-200.254 (remote) und auf der Gegenseite umgekehrt, gelöst.
Die Frage für mich bleibt die Selbe: Grundsätzlich funktioniert meine Kommunikation auch dann, wenn ich auf der FB-100.10 nur die VPN-Ports auf die Zyxel weiterleite. Nur ist die Performance dabei miserabel. Und wenn bei genereller Öffnung (Exsposed Host) es viel schneller geht, muss doch nach meinem Verständnis irgendein Portblock zw. FB und Zyxel daran schuld sein. Welcher kann das nur sein?
Lochkartenstanzer
Lösung Lochkartenstanzer 29.05.2020 um 14:57:52 Uhr
Goto Top
Zitat von @dbox3:

Das ist richtig verstanden. Im Gegenteil, du hast schon zuviel des Guten mit UDP 1701...

Warum ist dann mit Exposed Host auf der Fritte die Geschwindigkeit viel höhen? Muss doch an irgedeinem Port liegen.



Das dürfte an der (fehlenden) Rechenleistung der Fritte liegen. Wenn du exposed host hast, muß die Fritte nciht viel überlegen sondern kann als was nicht für sie selbst ist einfach weiterleiten.

Bei dedizierten Portweiterleitungen muß sie erst prüfen, an wen denn das Paket zugestellt werden muß. das kann dann schon die wertvolle Rechenzeit einschränken.

lks
cykes
Lösung cykes 29.05.2020 um 16:37:35 Uhr
Goto Top
Alternativ setzen viele Kunden für Scans und Faxe PDF-Compressor ein, der kann auch direkt E-Mails verarbeiten.

PDF-Compressor sagt mir vorerst nichts. Mach mich schlau, vllt. ist das die Lösung.
Bevor Du Dich im Dschungel der PDF-Tools verirrst face-wink Ich meine den Foxit PDF Compressor: https://www.foxitsoftware.com/de/enterprise-automation/pdf-compressor/
Der kann auch nachträglich durchsuchbare PDFs erzeugen (OCR).
dbox3
dbox3 29.05.2020 um 16:38:48 Uhr
Goto Top
Das dürfte an der (fehlenden) Rechenleistung der Fritte liegen. Wenn du exposed host hast, muß die Fritte nciht viel überlegen sondern kann als was nicht für sie selbst ist einfach weiterleiten.

Bei dedizierten Portweiterleitungen muß sie erst prüfen, an wen denn das Paket zugestellt werden muß. das kann dann schon die wertvolle Rechenzeit einschränken.

Und das kostet so viel Zeit? Der Unterschied ist ja gewaltig. Übrigens habe ich auf der andereren FB (7390) das gleiche System mit dem Empfang der Faxe (habe ich vorher nicht erwänt, um das Ganze nicht noch mehr zu verkomplizieren). Der Zugriff aus dem 2.0-Netz auf die NAS (.1.10) darauf ist sehr flüssig. Ein gewisser Abschlag auf den Transport durch den Tunnel nehme ich noch in Kauf, aber das es > 1 Min. für 70KB ist? Alleine mit der schwachen FB-Power lässt sich das kaum erklären.
dbox3
dbox3 29.05.2020 um 17:24:07 Uhr
Goto Top
Nachdem ich mehrere Möglichkeiten durchgespielt habe und mehrfach von exposed host auf der Fritte wieder auf die VPN-Portweiterleitung umgeschaltet habe und zurück läuft der Zugriff auf wundersame Weise plötzlich nicht langsamer als mit exsposed host. Also habe ich anscheinend mir selbst und allen anderen umsonst den Kopf zerbrechen lassen. Sorry, war keine Absicht!
Vielen Dank jedoch für die Beiträge und Denkanstöße!
Lochkartenstanzer
Lochkartenstanzer 29.05.2020 um 18:03:51 Uhr
Goto Top
Zitat von @dbox3:

Und das kostet so viel Zeit? Der Unterschied ist ja gewaltig. Übrigens habe ich auf der andereren FB (7390) das gleiche System mit dem Empfang der Faxe (habe ich vorher nicht erwänt, um das Ganze nicht noch mehr zu verkomplizieren). Der Zugriff aus dem 2.0-Netz auf die NAS (.1.10) darauf ist sehr flüssig. Ein gewisser Abschlag auf den Transport durch den Tunnel nehme ich noch in Kauf, aber das es > 1 Min. für 70KB ist? Alleine mit der schwachen FB-Power lässt sich das kaum erklären.

hast Du mal FTP statt SMB/CIFS versucht?

lks
dbox3
dbox3 29.05.2020 aktualisiert um 21:16:29 Uhr
Goto Top
Dateien sollen als Laufwerk/Freigabeordner vorliegen, damit ich mit dem besagten Programm darauf zugreifen kann. Einen Versuch ist es Wert.
aqui
aqui 29.05.2020 aktualisiert um 21:31:18 Uhr
Goto Top
Dateien sollen als Laufwerk/Freigabeordner vorliegen,
Geht ja außer SMB/CIFS auch mit FTP oder SCP !
dbox3
dbox3 30.05.2020 aktualisiert um 07:22:41 Uhr
Goto Top
Irgendwie kriege ich die Anbindung im eigenen Netz mit FTP (ftp://benutzer:passwort@192.168.100.10) als Laufwerk nicht hin.
Zugriff über einen FTP-Client klappt dagegen ohne Murks. Nur hilft mir das nicht weiter. Also bleibt mir nur SMB face-sad