6
SMB-Netzlaufwerk über Internet verbinden
Hallo zusammen,
zunächst eine kurze Vorgeschichte: ein Neukunde von mir hat bei einem Provider einen Root-Server angemietet. Da der Kunde mehrere Aussenstellen hat, will er auf diesem Server die Datenablage (Word-, Excel-, PDF-Dokumente etc.) zentralisieren. Das Ganze hat - bevor der "alte" Server gehackt wurde - super funktioniert, und zwar über "Netzlaufwerk verbinden" (SMB). Zusammengefasst: der Kunde will über Internet direkt eine Netzlaufwerksverbindung zu den Windows-Freigaben des Root-Servers aufbauen. Ich halte das aus sicherheitstechnischer Sicht her zwar für äußerst bedenklich, doch wenn der Kunde das will...
Meine Frage an euch: ist es wirklich möglich, über Internet ein Netzlaufwerk zu verbinden? Ich habs bei mir zu Hause getestet, meinen PC "offen" ins Internet gestellt (bei meinem Netgear-Router gibt's die Einstellung "DMZ-Server"), aber auch da konnte ich keine Verbindung aufbauen. Zuständig für SMB ist Port 445, doch ein Versuch über "telnet 213.22.22.45 445" (IP ist ein Beispiel) scheitert mit einer Zeitüberschreitung, während "telnet localhost 445" jedoch funktioniert. Kann es sein, dass von Seiten des Betriebssystems her der Zugriff über das Internet auf Port 445 geblockt wird? Ich hab gelesen, dass auch ISP "von Haus aus" den Zugriff auf diesen Port sperren.
Wie gesagt: mein Kunde behauptet felsenfest, dass es schon so funktioniert hat, ich kanns mir aber nicht vorstellen (und wenn wär's purer Leichtsinn).
Eine Möglichkeit wäre, dass vorher WebDAV zum Einsatz kam. Andere Lösung wäre natürlich den Root-Server als VPN-Server einzurichten, dann muss jede Aussenstelle sich zum Server verbinden und kann dann das Netzlaufwerk mappen.
Wer kann dazu was sagen?
Vielen Dank!
Flo
zunächst eine kurze Vorgeschichte: ein Neukunde von mir hat bei einem Provider einen Root-Server angemietet. Da der Kunde mehrere Aussenstellen hat, will er auf diesem Server die Datenablage (Word-, Excel-, PDF-Dokumente etc.) zentralisieren. Das Ganze hat - bevor der "alte" Server gehackt wurde - super funktioniert, und zwar über "Netzlaufwerk verbinden" (SMB). Zusammengefasst: der Kunde will über Internet direkt eine Netzlaufwerksverbindung zu den Windows-Freigaben des Root-Servers aufbauen. Ich halte das aus sicherheitstechnischer Sicht her zwar für äußerst bedenklich, doch wenn der Kunde das will...
Meine Frage an euch: ist es wirklich möglich, über Internet ein Netzlaufwerk zu verbinden? Ich habs bei mir zu Hause getestet, meinen PC "offen" ins Internet gestellt (bei meinem Netgear-Router gibt's die Einstellung "DMZ-Server"), aber auch da konnte ich keine Verbindung aufbauen. Zuständig für SMB ist Port 445, doch ein Versuch über "telnet 213.22.22.45 445" (IP ist ein Beispiel) scheitert mit einer Zeitüberschreitung, während "telnet localhost 445" jedoch funktioniert. Kann es sein, dass von Seiten des Betriebssystems her der Zugriff über das Internet auf Port 445 geblockt wird? Ich hab gelesen, dass auch ISP "von Haus aus" den Zugriff auf diesen Port sperren.
Wie gesagt: mein Kunde behauptet felsenfest, dass es schon so funktioniert hat, ich kanns mir aber nicht vorstellen (und wenn wär's purer Leichtsinn).
Eine Möglichkeit wäre, dass vorher WebDAV zum Einsatz kam. Andere Lösung wäre natürlich den Root-Server als VPN-Server einzurichten, dann muss jede Aussenstelle sich zum Server verbinden und kann dann das Netzlaufwerk mappen.
Wer kann dazu was sagen?
Vielen Dank!
Flo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 113971
Url: https://administrator.de/contentid/113971
Printed on: April 16, 2024 at 04:04 o'clock
6 Comments
Latest comment
Und wie währs mit FTP?
Das kann man doch auch leicht gemacht und mann kanns im normalen Explorer einbinden
Das kann man doch auch leicht gemacht und mann kanns im normalen Explorer einbinden
die Ausenstelle sollen eine VPN Verbindung zum Server aufbauen und der Samba soll nur auf die VPN Netzwerkadresse hören.
Dann ist das ganze schonmal bissel sicherer.
Sonst würde ich dir auch zu FTP raten.
Zu deiner Frage, ja wenn der Samba auf die Internet IP Adresse hört, dann kann man direkt damit verbinden.
Dann ist das ganze schonmal bissel sicherer.
Sonst würde ich dir auch zu FTP raten.
Zu deiner Frage, ja wenn der Samba auf die Internet IP Adresse hört, dann kann man direkt damit verbinden.
Danke für eure Antworten.
FTP - hm. Wär eine Überlegung wert, aber ob der "Komfort" gegeben ist, dass ich dann in Word hergehen kann und sage "Speicher unter" und wähle da dann den FTP-Server aus... ich schau's mir mal an, ist zumindest mal ein Anhaltspunkt.
Der Server "hört" auf die Internet-IP, wie gesagt: ist ein Root-Server (Windows Server, KEIN Linux mit Samba, sondern SMB = Server Message Block). Aber selbst wenn man alles "auf" macht: es geht nicht. Aus dem Grund ja die Frage, ob es über Internet überhaupt geht oder ob der ISP das schon blockt - konnte mir bisher keine Auskunft geben.
Für die Netzwerkkarte ist die externe IP eingetragen, drum weiß ich nicht, ob das mit VPN dann so funktionieren würde; ist ja kein "LAN" dahinter, oder mach ich gerade einen Denkfehler? (hab' unter Windows noch nie ein VPN eingerichtet, nur über OpenVPN unter Linux ^^).
Nochmals Danke für eure Antworten!
FTP - hm. Wär eine Überlegung wert, aber ob der "Komfort" gegeben ist, dass ich dann in Word hergehen kann und sage "Speicher unter" und wähle da dann den FTP-Server aus... ich schau's mir mal an, ist zumindest mal ein Anhaltspunkt.
Der Server "hört" auf die Internet-IP, wie gesagt: ist ein Root-Server (Windows Server, KEIN Linux mit Samba, sondern SMB = Server Message Block). Aber selbst wenn man alles "auf" macht: es geht nicht. Aus dem Grund ja die Frage, ob es über Internet überhaupt geht oder ob der ISP das schon blockt - konnte mir bisher keine Auskunft geben.
Für die Netzwerkkarte ist die externe IP eingetragen, drum weiß ich nicht, ob das mit VPN dann so funktionieren würde; ist ja kein "LAN" dahinter, oder mach ich gerade einen Denkfehler? (hab' unter Windows noch nie ein VPN eingerichtet, nur über OpenVPN unter Linux ^^).
Nochmals Danke für eure Antworten!
Aso, sorry ne gemerkt das es sich hier um Windows handelt.
Wenn die öffentliche IP Adresse in der Netzwerkkarte steht bzw. eine 1 zu 1 weiterleitung der öffentlichen IP zum Server besteht, dann klappt auch die Netzwerkfreigabe.
Sicherheitstechnisch hätte ich aber da rießen bedenken.
Kannst natürlich eine VPN auf dem WIndows Server einrichten und deiner Firewall sagen das alles lockiert werden soll außer die IP Adresse der VPN Verbindung. (Vorsicht vorm Aussperren)
Wenn die öffentliche IP Adresse in der Netzwerkkarte steht bzw. eine 1 zu 1 weiterleitung der öffentlichen IP zum Server besteht, dann klappt auch die Netzwerkfreigabe.
Sicherheitstechnisch hätte ich aber da rießen bedenken.
Kannst natürlich eine VPN auf dem WIndows Server einrichten und deiner Firewall sagen das alles lockiert werden soll außer die IP Adresse der VPN Verbindung. (Vorsicht vorm Aussperren)
Ja, die Bedenken hab ich auch. Fühl mich auch nicht wohl dabei, das so umzusetzen, aber den User von einer anderen Lösung zu überzeugen ist halt immer so eine Sache. Egal. Ich schau mir das jetzt mit VPN an und werde hier dann die Umsetzung präsentieren.
Ich will kurz die "Lösung für meine Wünsche" (Netzlaufwerk über Internet verbinden) präsentieren. Das Ganze funktioniert über WebDAV. Hierzu muss am Windows Server 2003 Computer über "Software", "Windows-Komponenten hinzufügen/entfernen", "Anwendungsserver" (Haken setzen), „Details“-Button, „Internetinformationsdienste (IIS)“ (Haken setzen), „Details“-Button, runter zu „WWW-Dienste“ (Haken setzen), „Details“-Button und noch ein Häkchen bei „WebDav-Veröffentlichung“ die WebDav-Funktionalität installiert werden.
Wenn man jetzt hergeht und z. B. einen Ordner D:\\Daten für die Verbindung freigeben will, wie gewohnt rechte Maustaste auf den Ordner D:\\Daten, „Freigabe und Sicherheit“, Registerkarte „Webfreigabe“. Den Radio-Button auf „Diesen Ordner freigeben“ setzen, dann auf den Button „Hinzufügen...“, im Feld „Alias“ den Freigabenamen eingeben, Zugriffsberechtigungen setzen - fertig. Wenn jetzt Port 80 (!) zu diesem Server geforwarded wird, kann man - sofern der Dienst „Web Client“ am Client-PC läuft - eine Verbindung über „Netzlaufwerk verbinden“ herstellen. Um einen „anonymen Zugriff“ zu untersagen, muss man am Server unter „Verwaltung“ den „Internetinformationsdienste-Manager“ öffnen. Unterhalb der „Standardwebsite“ wurde ein virtuelles Verzeichnis mit dem oben angegebenen Freigabenamen angelegt. Rechte Maus auf das virtuelle Verzeichniks, „Eigenschaften“, Registerkarte „Verzeichnissicherheit“ und bei „Authentifizierung und Zugriffsteuerung“ den anonymen Zugriff deaktivieren (Haken raus) und z. B. die „Integrierte Windows-Authentifizierung“ einschalten.
Ob das aber aus sicherheitstechnischer Sicht her unbedenklich ist, wage ich mal zu bezweifeln. Freilich kann ich die Authentifizierung einschalten, doch so wie ich das Ganze sehe, werden alle Daten unverschlüsselt (Port 80 = http) übertragen.
Danke nochmals für eure Antworten!
Wenn man jetzt hergeht und z. B. einen Ordner D:\\Daten für die Verbindung freigeben will, wie gewohnt rechte Maustaste auf den Ordner D:\\Daten, „Freigabe und Sicherheit“, Registerkarte „Webfreigabe“. Den Radio-Button auf „Diesen Ordner freigeben“ setzen, dann auf den Button „Hinzufügen...“, im Feld „Alias“ den Freigabenamen eingeben, Zugriffsberechtigungen setzen - fertig. Wenn jetzt Port 80 (!) zu diesem Server geforwarded wird, kann man - sofern der Dienst „Web Client“ am Client-PC läuft - eine Verbindung über „Netzlaufwerk verbinden“ herstellen. Um einen „anonymen Zugriff“ zu untersagen, muss man am Server unter „Verwaltung“ den „Internetinformationsdienste-Manager“ öffnen. Unterhalb der „Standardwebsite“ wurde ein virtuelles Verzeichnis mit dem oben angegebenen Freigabenamen angelegt. Rechte Maus auf das virtuelle Verzeichniks, „Eigenschaften“, Registerkarte „Verzeichnissicherheit“ und bei „Authentifizierung und Zugriffsteuerung“ den anonymen Zugriff deaktivieren (Haken raus) und z. B. die „Integrierte Windows-Authentifizierung“ einschalten.
Ob das aber aus sicherheitstechnischer Sicht her unbedenklich ist, wage ich mal zu bezweifeln. Freilich kann ich die Authentifizierung einschalten, doch so wie ich das Ganze sehe, werden alle Daten unverschlüsselt (Port 80 = http) übertragen.
Danke nochmals für eure Antworten!