enriqe
Goto Top

Zugriff auf SMB Freigabe vom WAN aus

Hallo Admins,

ich muß mich heute mal wieder mit einem kleinen Problemchen an Euch wenden. Und zwar möchte ich eine Verbindung mit einer SMB freigabe hinter einer NAT Firewall herstellen.
Der Hintergrund ist folgender:
Auf einem Terminalserver, der vom Internet aus für unsere Kunden erreichbar ist, äuft ein Programm, welches Zugriff auf Daten in unserer Domäne benötigt. Der Terminalserver ist nun mit unserem Firmennetz über einen Router verbunden (Terminalserver hängt am WAN- Port) und ich müsste irgendwie Zugriff auf die SMB Freigabe bekommen auf der die benöigten Daten liegen. (Zur Info für die, die sich mit Tomato auskennen: Tomato läuft auf meinem inksys Router und würde mir ein mounten der entsprechenden Freigabe gestatten. Also ein Zugriff auf die in Tomato gemountete SMB Freigabe von der WAN Seite aus würde mir auch helfen.)
Nun habe ich es mit einer Weiterleitung des Ports 445 auf den entsprechenden Server in unserem Netz versucht aber es tut nicht. Bei der Syntax zum Verbinden bin ich mir auch nicht sicher, deswegen gebe ich euch mal an wie ich das versucht habe. Vielleicht liegt der Fehler ja auch hier begraben. Also, ich benutzte: net use X: \\Router-WAN-IP\Freigabename-des-SMB ist das so richtig?
SMB ist auf den Firewalls beider Server freigegeben.
Leider finde ich so gut wie keine Infos darüber im Netz. entweder ich benutze die falschen Suchbegriffe oder mein Plan ist so ungewöhnlich. Ich weiß es auch nicht.
Natürlich bin ich auch für alternative Vorschläge offen. Ich habe auch schon daran gedacht, das in der Form von WebDAV zu machen aber ich habe mich damit bis jetzt noch gar nicht beschäftigt, da ich, sollte nichts dagegen sprechen, die SMB- Verbindung vorziehen würde.
Ich freue mich auf Eure Antworten und bedanke mich schon einmal im Voraus dafür, dass Ihr Euch Gedanken macht.

Viele Grüße

Enriqe

Content-Key: 171166

Url: https://administrator.de/contentid/171166

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: 101352
101352 09.08.2011 um 13:28:40 Uhr
Goto Top
du hast doch den port 445 umgeleitet. da brauchst du nur "wan-ip:445" in den browser eingeben.
Mitglied: aqui
aqui 09.08.2011, aktualisiert am 18.10.2012 um 18:47:48 Uhr
Goto Top
Nein, das ist Unsinn, denn SMB/CIFS benutzt ja den Port TCP 445 per Standard im Filesharing also muss er den auch nicht explizit angeben !
Die Syntax mit dem net use Kommando ist also schon richtig so. Auch die WAN IP des Routers, denn der leitet diese Anfrage ja per Port Forwarding weiter, ist folglich also virtuell ja das Ziel.
Vermutlich benötigt der Server aber noch ein paar mehr Ports. Oder, was noch wahrscheinlicher ist das wie immer die Firewall nicht angepasst ist um SMB Zugriffe aus fremden IP Netzen zuzulassen. Normalerweise blocken die alles ab was nicht vom lokalen Netz kommt da solltest du also nochmal auf Nummer sicher gehen um das ganz sicher ausschliessen zu können.

Ansonsten gehe wie immer strategisch vor:
Lad dir den MS NetMonitor oder den Wireshark Sniffer auf den Server und baue erst einmal lokal eine SMB Verbindung von einem Client mit dem Server auf. Sniffer diesen Verbindungsaufbau mit und sehe dir genau an welche Ports der Server benötigt.
Danach machst du das gleiche mit der Port Forwarding Einstellung über deinem NAT Router. Das hat den Vorteil das du überhaupt erstmal sehen kannst ob die geforwardeten TCP 445 Pakete vom Router bzw. Client überhaupt generell am Server ankommen oder ob da schon ein Problem ist.
Ggf. besserst du dann mit den zu forwardenden Ports nach.

Generell ist es immer sinnvoller den Router statt im NAT Modus im transparenten Routing zu betreiben. Dann hast du diese Problematik mit Port Forwarding gar nicht erst.
Wenn der Linksys mit DD-WRT betrieben würde dann ist das mit einem Mausklick ganz simpel abschaltbar wie du hier an diesem Beispiel sehen kannst:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Router Modus statt des Gateway Modus der NAT macht.
Ob das bei "Tomato" auch so konfigurierter ist musst du nachsehen. Bei DD-WRT ist es kein Problem. Zur Not kannst du den Router halt schnell umflashen. DD-WRT bietet eh ein paar mehr Features als Tomato.
Mitglied: mrtux
mrtux 10.08.2011 um 03:08:59 Uhr
Goto Top
Hi !

Zitat von @aqui:
Ob das bei "Tomato" auch so konfigurierter ist musst du nachsehen. Bei DD-WRT ist es kein Problem. Zur Not kannst du

Soweit ich mich gerade erinnern kann, geht das bei "Tomato" auch. Siehe unter: Advanced -> Routing -> Misc.

mrtux
Mitglied: Enriqe
Enriqe 10.08.2011 um 09:52:02 Uhr
Goto Top
Hallo aqui,

Vielen Dank für Deinen aufschlussreichen Beitrag.

ja, mrtux hat Recht, das geht mit Tomato auch. (vielen Dank an dieser Stelle auch für Deinen Beitrag mrtux). Leider war ich an der Stelle auch schon und ich habe den Routermodus auch probiert und in Augenblick ist es so konfiguriert. Ich war mir nur nicht sicher, ob das bedeutet, dass NAT ganz abgeschalten ist. Wenn ich nun, nachdem ich Eure Beiträge gelesen habe, davon ausgehe, dass mein Router im transparenten Modus arbeitet, dann könnte ich daraus folgern, dass es doch eine Firewall auf einem der Server ist - oder?
Kann es sein, dass das Portforwarding im transparenten Modus stört?
Wenn Dir dazu noch etwas einfällt, dann würde ich mich freuen, wenn Du mich teilhaben lässt. Währenddessen gehe ich mal Deinen Tipps nach und analysiere den Netzverkehr.
Vielen Dank noch einmal

Gruß
Enriqe
Mitglied: aqui
aqui 11.08.2011 um 12:37:10 Uhr
Goto Top
Im transparenten Modus gibt es doch gar kein NAT mehr da ist NAT ja deaktiviert, folglich ist dann auch ein Port Forwarding unsinnig und überflüssig, denn das braucht man ja einzig und allein nur um eine NAT Firewall überwinden zu können !
Im transparenten Modus kannst du gar kein Port Forwarding mehr benutzen bzw. ist das dann sinnigerweise inaktiv !
Es kann dann in der Tat nur noch an einer lokalen Firewall der Rechner selber liegen. Der Sniffer Trace wird dir das dann auch sofort zeigen !
Mitglied: Enriqe
Enriqe 15.08.2011 um 11:47:31 Uhr
Goto Top
Hallo Aqui,

das verstehe ich schon aber der Eintrag des Portforwardings bleibt stehen, auch wenn ich den Router in den Gatewaymodus setze. Ich meinte nur, dass das vielleicht störend ist und es besser wäre den Eintrag zu löschen. Aber auch das hilft nicht.
Es gelingt mir einfach nicht über den Router hinweg eine Verbindung zu meiner Freigabe herzustellen. Weder im Gatewaymodus noch mit Portforwarding im Routermode. Ich bin echt verzweifelt da ich den Sch... fertigkriegen muss und es nur daran scheitert. Ich habe auch die Netztraffic- Analyse gemacht und alle Ports die angegeben waren durchgeleitet -- nichts, nicht einmal, wenn ich die komplette Portrange auf den Server umleite. Auch explizit die Ports für NetBT 137 - 139 dazu anzugeben führt zu keinem anderen Ergebnis. Immer bekomme ich die selbe Fehlermeldung: Systemfehler 53 aufgetreten Netzwerkpfad wurde nicht gefunden.
hast Du noch eine Idee was ich übersehen haben könnte? (Andersherum geht es übrigens.) Ich denke also schon, dass es der Router ist, der blockiert und nicht etwa eine Firewall auf einem der Server. Hier habe ich jeweils für SMB in allen Profilen Edgeausnahmen zugelassen. Richtig?
Während ich nun auf eine Antwort und den entscheidenden Tipp von Dir warte, werde ich den Router mal mit DD-WRT füttern. Vielleicht tut ja meine Tomate nicht richtig. Letzte wage Hoffnung face-sad
Vielen Dank schon mal.

Gruß
Enriqe
Mitglied: aqui
aqui 15.08.2011 um 11:58:37 Uhr
Goto Top
Port Forwarding muss im Router natürlich zwingend entfernt werden wenn dieser im Router Modus arbeitet, denn dann routet er transparent OHNE eine NAT Firewall. PFW ist damit dann logischerweise unsinnig.
Ein Testaufbau mit einem DD-WRT finktioniert hier im Router Modus einwandfrei und eine SMB/CIFS Verbindung über ihn ist mit Windows OS und Mac OS-X sowohl auf ein NAS als auch auf einen Win 2003 Server absolut problemlos möglich. Es liegt also de facto NICHT am DD-WRT.
Mit an Sicherheit grenzender Wahrscheinlichkeit rennst du wie immer in ein Firewall Problem !!
Bedenke bitte das du im Router Modus durch das fehlende NAT nun eine Absender IP aus dem Client Netz hast. Die lokale Firewall am Zielsystem blockoert also solche pakete und verhindert den Zugriff.
Du musst diese zwingend für SMB Zugriffe customizen, das das IP Netzwerk des Clients erlaubt ist (Bereich) oder eben mit "alle Computer inklusive Internet" die Scheunentor Regel in der Firewall aktivieren !
2ter Fehler ist das du vermutlich falsche Routen gesetzt hast !
Im "Router Modus" auf dem DD-WRT MUSS ein Ping zwischen Client und Ziel und auch andersrum zwischen Ziel und Clietn sauber möglich sein ! Auch das solltest du vorher sicherstellen !!
Mitglied: Enriqe
Enriqe 16.08.2011 um 18:33:42 Uhr
Goto Top
Hallo Aqui,

vielen Dank für Deine Antwort. Ich habe in der Zwischenzeit DD-WRT auf den Router geladen und sehr viel rumprobiert. Am DD-WRT bezw. an Tomato hat es nicht gelegen. Auch nicht an der Firewall sondern an den localen IP Einstellungen.
Dein Tipp mit der Routing Tabelle hat mich darauf gebracht. Ich war wohl fälschlicherweise davon ausgegangen, dass ein IP Paket seinen Rückweg findet, indem es jeden Hop im Header speichert. Das kann aber nicht ganz richtig sein da es sonst möglich gewesen wäre, dass die Pakete über meinen Router zurück kommen und nicht über das am PC eingestellte Gateway versucht hätten ihren Weg zu finden. Nachdem ich an beiden Rechnern die Gateways geändert habe, lief es dann auch. Allerdings hat das gleich das nächste, wenn auch weitaus kleinere Problem aufgeworfen. Ich kann jetzt zwar zwischen den beiden Server kommunizieren aber der am LAN- port hängende Server kann natürlich nicht mehr ins Internet. face-sad Dafür bräuchte er ja das andere Gateway.
Also, darüber werde ich mir jetzt mal Gedanken machen. Aber wenn Du einen Lösungsansatz hast, wäre ich Dir auch dankbar, wenn Du es mich wissen lässt.
Ansonsten noch einmal tausend Dank dafür, dass Du mich mit viel Geduld auf eine Lösung gebracht hast.

Gruß
Mitglied: aqui
aqui 17.08.2011 um 10:25:11 Uhr
Goto Top
Ja, das ist natürlich Blödsinn mit der Wegespeicherung im IP Header das hast du ja mitlwerweile selber eingesehen. Ggf. also besser nochmal das hier lesen:
http://de.wikipedia.org/wiki/Routing
damit du es versehst. Im IP Header steht immer nur Quell- und Zielnetzwerk und die Router im Wegepfad lesen das und entscheiden anhand ihrer eigenen Routingtabelle auf welchem Port sie dieses Paket weiterleiten !
Dein "kleines" Problem kann man ganz einfach in 1 Minute lösen indem du auf dem Router eine Default Route zu deinem Internet Router einträgt...fertig.
Dann werden Pakete die nicht für die lokalen Netze sind dahin weitergeleitet und alles rennt wie es soll !
Leider ist dein Design nicht ganz klar, da du oben etwas oberflächlich in der Beschreibung bist. Ein sinnvolles Design wo der TS für die Kunden vom Firmennetz sicher abgetrennt ist sähe dann aber so aus:

229b4fa4d1192e80dfa5519ef06b2449

Die Lösung ist dann aber kinderleicht:
  • Default Route am Tomato / DD-WRT auf den Internet Router
  • Statische Route ins Firmennetz auf dem Internet Router
Fertig ist der Lack !
Mitglied: Enriqe
Enriqe 29.08.2011 um 11:54:17 Uhr
Goto Top
Hallo Aqui,

vielen Dank für Deinen Tipps, auch für das Installationsschema. Ich habe die Sache jetzt so einigermaßen am Laufen. Jetzt heißt es noch den Terminalserver abzusichern und dann kanns los gehen.
Ich werde den Thread hiermit abschließen und Danke Dir und allen Anderen, die sich Gedanken gemacht haben noch einmal für die Hilfe.

Grüße
Enriqe


keep on rocking!