torgee
Goto Top

VPN Zugang zu SMB Server

Moin zusammen,

Ich möchte gerne meinen SMB Server über das Internet erreichbar machen (Nur über VPN!). Nun gibt es allerdings folgendes Problem, Zunächst beschreibe ich einmal die Topologie:
der SMB Server befindet sich in einem Kaskadierten Netzwerk nennen wir es Netzwerk2 mit dem Router2. Dieser Router ist an Router1 angeschlossen. Router1 ist über eine Dynamische Domain erreichbar, VPN ist eingerichtet und Funktioniert.

Ich habe um den SMB Server zu erreichen 2 Portweiterleitungen eingerichtet:
Router1: 445 TCP -> Router2: 445 TCP -> SMB Server

Das hat leider nicht funktioniert. Hat jemand eine Idee wie ich das ganze Lösen kann? Bzw umsetzen kann das ich den SMB erreichen kann, ohne ihn in das Netzwerk1 machen zu müssen?

LG,
Torge

Content-ID: 12914755411

Url: https://administrator.de/contentid/12914755411

Printed on: December 6, 2024 at 16:12 o'clock

Spirit-of-Eli
Spirit-of-Eli Feb 08, 2024 at 15:33:13 (UTC)
Goto Top
Moin,

das mit dem VPN ist ja lobenswert. Aber wieso gibts du dann 445 frei??? Damit ist SMB ja im Internet erreichbar.
Was für VPN können deine Router denn?

Gruß
Spirit
em-pie
em-pie Feb 08, 2024 at 15:36:00 (UTC)
Goto Top
Moin,

Neben der nicht erforderlichen Portweiterleitung an FW1:
Hast du dir mal die Firewall deines SMb-Servers angeschaut?
Sollte es eine Windows-Büchse sein, blockt die erstmal alles, was nicht aus dem eigenen Subnetz kommt…
TorgeE
TorgeE Feb 08, 2024 at 15:44:21 (UTC)
Goto Top
Firewall am SMB Server werde ich mir nochmal genauer anschauen danke für den Hinweis, als kleine Ergänzung, es handelt sich bei dem SMB Server um OMV.
TorgeE
TorgeE Feb 08, 2024 at 15:52:53 (UTC)
Goto Top
Ja da hatte ich einen Kleinen Denkfehler, die Portweiterleitung an Router1 ist natürlich absolut unnötig...😅 Danke für den Hinweis, da hätte ich beinahe selbst ein Bein gestellt.

Bei beiden Routern handelt es sich um fritzboxen (7360), die verfügen beide soweit ich das erkennen konnte, nur über IpSec Xauth psk als vpn, Side to Side, Site to End... etc, die basics halt.
TorgeE
TorgeE Feb 08, 2024 at 16:43:30 (UTC)
Goto Top
Update:

FW ist so eingestellt das erstmal alle Anfragen reinkommen können. Desweiteren hab ich einmal eine Portweiterleitung für den Port 3670(TCP) eingerichtet, über diesen Port ist der web File Browser erreichbar.
Ich habe versucht diesen über IP_von_Router2:3670/ zu erreichen während ich mit dem VPN mit Router1 verbunden war. Das hat leider auch nicht funktioniert, mir wurde anders als sonst direkt ein Error angezeigt: ERR_ADRESS_UNREACHBLE, das ist neu, ansonsten wurde mir im Browser nur der typische Ladebalken angezeigt, ich weiß nicht ob das etwas zu sagen hat..
An der VPN Verbindung liegt es nicht, ich habe das gleiche einmal getestet während ich normal mit dem Netz1 verbunden war.
Ich hab auch einmal NetBios auf dem SMB Server aktiviert und Port 139 weitergeleitet, das hat auch nicht funktioniert.
em-pie
em-pie Feb 08, 2024 at 16:49:19 (UTC)
Goto Top
Warum hast du eigentlich diese Kaskade?
Kannst du Router 2 nicht „normal“ ins Netz hängen?
the.other
Solution the.other Feb 08, 2024 at 17:12:55 (UTC)
Goto Top
Moinsen,
entweder ohne Kaskade (wenn in dem setting möglich?) oder aber: als Router belassen (Kaskade), dann DynDNS auf Router 1, PWL der VPN Ports auf Router 2 (als VPN Server), dann ohne weiteren Schnickschnack am Router Zugriff auf OMV (so denn dort die Erlaubnis besteht).
Zumindest hier in der Kaskade Fritzbox : transfernetz : *sense : LAN problemlos so möglich (ist aber auch reiner privater Gebrauch im Heimnetzchen, wo auch doppel NAT kein wirkliches Problem im Alltag darstellt)
TorgeE
TorgeE Feb 08, 2024 at 17:16:56 (UTC)
Goto Top
Die Kaskade hab ich aus mehreren Gründen eingerichtet, einmal zum experimentieren, basteln etc.. ein weiterer Grund wäre der Sicherheits Aspekt, die Sicherheit wird zwar nicht deutlich erhöht, da so eine Kaskade für die meisten Cybergriffe kein Hinderniss darstellt, also theoretisch könnte ich den SMB Server ins Netz1 verschieben und es würde alles funktionieren. Die Lösung erachte ich allerdings als ungeeignet, da ich gerne Clients von Servern separiert hätte, ist so eine Persönliche Referenz. 😄
TorgeE
TorgeE Feb 08, 2024 at 17:23:51 (UTC)
Goto Top
@the.other

Das hört sich ganz gut an sowas ähnliches habe ich (glaube ich) schon einmal versucht. Es gab in dem Samsung VPN Conector Client die Option die VPN Verbindung direkt weiter zu routen, das hab ich dann auf den Router2 angewendet, das hat leider nicht funktioniert, vermutlich hab ich da irgendwas falsch gemacht.. wie dem auch sei... Welchen Port müsste ich denn für VPN forwarden, 4500? Von Router1 zu Router2?
the.other
Solution the.other Feb 08, 2024 at 17:27:19 (UTC)
Goto Top
Moinsen,
kommt auf dein VPN an... ;)
Findest du aber auch auf den offiziellen Hilfeseiten von AVM: einfach auch mal Dr. G befragen nach zB "Fritzbox VPN Ports" oder "Fritzbox wireguard Ports"...die haben eigentlich eine ganz gute Dokumentation bei AVM (auch wenn sie beim Registrieren lassen von Domainnames nicht die hellsten, äh..., schnellsten sind. :D
em-pie
em-pie Feb 08, 2024 updated at 17:47:08 (UTC)
Goto Top
ein weiterer Grund wäre der Sicherheits Aspekt, die Sicherheit wird zwar nicht deutlich erhöht, da so eine Kaskade für die meisten Cybergriffe kein Hinderniss darstellt
Du hast eine FRITZ!Box aus der Modellreihe 7300
Die Dinger dürften bereits 10 Jahre alt sein und AVM bietet keine Updates mehr.

Schmeiß das Teil raus, setz nen Mikrotik oder sowas dahin und separiere die Netze über den Router.
Die Fritten kannst du maximal als AccessPoint und Tk-Anlage einsetzen…


B2B
schmeiss Wireshark an und schaue, was wo ankommt…
TorgeE
Solution TorgeE Feb 08, 2024 at 18:34:38 (UTC)
Goto Top
Zitat von @the.other:

Moinsen,
entweder ohne Kaskade (wenn in dem setting möglich?) oder aber: als Router belassen (Kaskade), dann DynDNS auf Router 1, PWL der VPN Ports auf Router 2 (als VPN Server), dann ohne weiteren Schnickschnack am Router Zugriff auf OMV (so denn dort die Erlaubnis besteht).
Zumindest hier in der Kaskade Fritzbox : transfernetz : *sense : LAN problemlos so möglich (ist aber auch reiner privater Gebrauch im Heimnetzchen, wo auch doppel NAT kein wirkliches Problem im Alltag darstellt)

Alles klar, hab das ganze umgesetzt funktioniert einwandfrei, mir ist auch der Fehler aufgefallen den ich scheinbar gemacht haben muss... ich habe TCP 4500 weitergeleitet anstatt UDP.. 😅naja wie dem auch sei.

Vielen Dank! an alle die geholfen haben, das die Fritzboxen eigentlich zu nix mehr zu gebrauchen sind weiß ich, bis dato war mir der MikroTik nicht bekannt, sieht aufjedenfall interessant aus, das wird dann wohl die nächste Investition 😁

Liebe Grüße,
Torge
aqui
aqui Feb 08, 2024 updated at 19:00:53 (UTC)
Goto Top
"Fritzbox VPN Ports" oder "Fritzbox wireguard Ports"...
Die findet man auch wenn man man die hiesige Suchfunktion zu Router Kaskaden befragt.
Dort steht alles was man wissen muss zur Thematik VPN Ports!

Es ist designtechnisch auch nicht intelligent das VPN auf den ersten Router zu legen. Besser wäre den zweiten zu verwenden, denn erstpart man sich die überflüssige Frickelei mit den Ports und muss nur die VPN Protokollports beachten.
Wenn man das richtige VPN Protokolle für mobile Clients verwendet geht es auch mit allen vorhandenen onboard VPN Clients.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Mikrotik L2TP VPN Server.

Fritzbox spezifische VPN Infos:
IPsec:
Fritzbox IPsec.
Wireguard:
Fritzbox Wireguard Tücken umschiffen.