6
Zugriff auf den vorgeschalteten NAS
Hallo,
ich habe folgendes Szenario:
Standtort1 - Zyxel USG 20 - FritzBox7390 - Internet - FritzBox7490 - Zyxel USG 20 - Standort2 ( s.Bild)
Es sollte doch prinzipiell möglich sein, vom Client im Standort1 auf die Web-Oberfläche und auf den NAS der FB7490 im Standort2 zuzugreifen. Ich habe alle möglichen Freigaben in den beiden USG ausprobiert. Leider ohne Erfolg. Vom Client im Standort2, den ich über VPN erreiche, ist das problemlos möglich.
Hat jemand eine Lösung?
Danke
ich habe folgendes Szenario:
Standtort1 - Zyxel USG 20 - FritzBox7390 - Internet - FritzBox7490 - Zyxel USG 20 - Standort2 ( s.Bild)
Es sollte doch prinzipiell möglich sein, vom Client im Standort1 auf die Web-Oberfläche und auf den NAS der FB7490 im Standort2 zuzugreifen. Ich habe alle möglichen Freigaben in den beiden USG ausprobiert. Leider ohne Erfolg. Vom Client im Standort2, den ich über VPN erreiche, ist das problemlos möglich.
Hat jemand eine Lösung?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 574159
Url: https://administrator.de/contentid/574159
Printed on: April 26, 2024 at 04:04 o'clock
6 Comments
Latest comment
Moin,
Hast Du auf den Fritzboxen denn die korrekten statischen Routen eingetragen, damit die die Antwortpakete zu der jeweiligen USG statt ins Internet schicken?
lks
Hast Du auf den Fritzboxen denn die korrekten statischen Routen eingetragen, damit die die Antwortpakete zu der jeweiligen USG statt ins Internet schicken?
lks
Hallo,
1.
für die USG ist die FB mit NAS ja auf der "bösen" WAN-Seite.
Vermutlich gibt es dort Filter für LAN-IP-Adressen.
2. die USG weiß wohin, aber woher soll die FB mit NAS wissen wo 192.168.2.2 ist?
Stichwort Route.
1.
für die USG ist die FB mit NAS ja auf der "bösen" WAN-Seite.
Vermutlich gibt es dort Filter für LAN-IP-Adressen.
2. die USG weiß wohin, aber woher soll die FB mit NAS wissen wo 192.168.2.2 ist?
Stichwort Route.
Auf der FB7490 mit NAS ist die statische Route für das Netz 192.168.2.0 mit Gateway 192.168.100.1 (USG) eingetragen. Auf dieser USG gehört das 2-er Netz zu der IPSec-Zone
Eine Regel für die Firewall IPSecTunnel Richtung WAN für das 2-er Netz ist eingetragen und eine Route VPN_Tunnel -> IPderFB7490mitNAS auch. Ist das nicht ausreichend?
Eine Regel für die Firewall IPSecTunnel Richtung WAN für das 2-er Netz ist eingetragen und eine Route VPN_Tunnel -> IPderFB7490mitNAS auch. Ist das nicht ausreichend?
vom Client im Standort1 auf die Web-Oberfläche und auf den NAS der FB7490 im Standort2 zuzugreifen.
Welcher ist denn 1 und 2 ??? Das ist in der Zeichnung ja nicht beschrieben ?! 
Prinzipiell ist das aber natürlich mit dem richtigen Firewall Regelwerk möglich. Zum Sinn auf das unsichere Netzwerk vor der FW zuzugreifen und der Performance des FritzBox NAS mal keinen Kommentar.
Ich habe alle möglichen Freigaben in den beiden USG ausprobiert.
Zeugt nicht gerade von einem sinnvollen Vorgehen. Warum machst du dir den Paket Flow solcher Pakete nicht klar und gehst strategisch vor ? Zudem hast du mit keinem Wort erwähnt mit welchem Protokoll du auf das NAS zugreifen willst ?? Es gibt derer ja viele und das Regelwerk ist davon abhängig. Vermutlich SMB/CIFS mit TCP 445, richtig ?Die 2te Frage zu der es keine Antwort oder Beschreibung gibt ist ob beide lokalen IP Netze via VPN gekoppelt sind (Site to Site VPN) ? Auch das hat eine Einfluss.
Auf der FB7490 mit NAS ist die statische Route für das Netz 192.168.2.0 mit Gateway 192.168.100.1 (USG) eingetragen
Statische Routen auf der FritzBox sind völliger Unsinn und überflüssig. Die Zyxels machen NAT (IP Adress Translation) am WAN Port und "sehen" deshalb keinerlei Absender IPs aus ihren internen LAN IP Netzen da Sie am jeweiligen FritzBox Koppelnetz rein nur mit ihrer .1.1er bzw. .100.1er IP Adresse auftauchen. .2.0er oder .200.0er IP Adressen sind dort vollkommen unsichtbar und nicht existent durch das NAT. Folglich kann ein Router diese IP Adressen dort niemals "sehen" und damit auch niemals routen.In dem Falle sind also statische Routen auf den FritzBoxen Unsinn und zudem völlig konraproduktiv und sollten dringenst gelöscht werden.
Das Problem wird ganz sicher sein das die Zyxels generell eine RFC 1918 IP Netz Blocking List am WAN Port haben und generell RFC 1918 Traffic dort blocken. Das wäre mal der erste Ansatz zur Lösung.
Melde mich wieder. War eipaar Tage weg und konnte nicht antworten.
Zeugt nicht gerade von einem sinnvollen Vorgehen. Warum machst du dir den Paket Flow solcher Pakete nicht klar und gehst strategisch vor ?
Hast sicher Recht. Nehme mir jetzt Zeit detailierte Paketverfolgung an jeder Station.Zudem hast du mit keinem Wort erwähnt mit welchem Protokoll du auf das NAS zugreifen willst ?? Es gibt derer ja viele und das Regelwerk ist davon abhängig. Vermutlich SMB/CIFS mit TCP 445, richtig ?
Das soll SMB mit Port 445 sein. Die FB7390 unterstützt nuf FTP und SMB1. In der Laborversion ist SMB2/3 geplant.Die 2te Frage zu der es keine Antwort oder Beschreibung gibt ist ob beide lokalen IP Netze via VPN gekoppelt sind (Site to Site VPN) ? Auch das hat eine Einfluss.
Das wird vermutlich der Entscheidende Punkt sein. Die VPN-Kopplungsregel umfasst das Netzt der angepeilten FB garnicht. Also landen alle Anfragen vom Client im Internet/Nirvana. SObald ich wieder Zuhause bin, prüfe ich die Konfiguration zuerst.Statische Routen auf der FritzBox sind völliger Unsinn und überflüssig. Die Zyxels machen NAT (IP Adress Translation) am WAN Port und "sehen" deshalb keinerlei Absender IPs aus ihren internen LAN IP Netzen da Sie am jeweiligen FritzBox Koppelnetz rein nur mit ihrer .1.1er bzw. .100.1er IP Adresse auftauchen. .2.0er oder .200.0er IP Adressen sind dort vollkommen unsichtbar und nicht existent durch das NAT. Folglich kann ein Router diese IP Adressen dort niemals "sehen" und damit auch niemals routen.
OK. Klingt sehr logisch. Darüber habe ich garnicht nachgedacht.In dem Falle sind also statische Routen auf den FritzBoxen Unsinn und zudem völlig konraproduktiv und sollten dringenst gelöscht werden.
Mache ich sofort.Das Problem wird ganz sicher sein das die Zyxels generell eine RFC 1918 IP Netz Blocking List am WAN Port haben und generell RFC 1918 Traffic dort blocken. Das wäre mal der erste Ansatz zur Lösung.
Die Zyxel arbeitet objektorientiert und ich glaube, man kann die generellen Regeln durch eigene problemlos ersetzen/umgehen. Auf jeden Fall Vielen Dank für den Denkansatz. Ich melde mich sobald ich kann.
Die Vermutung war richtig: das Netzwerk der FB7490mitNAS war von der Policy für VPN nicht erfasst. Pakete aus dem .2.0-Netz in das .100.0-Netz wurden folglich ins Internet geschickt. Nach der anpassung der Policy und Routing-Korrektur in der Ziel-USG geht alles wie gewünscht.
Vielen Dank
) !!!
Vielen Dank
) !!!