6
SMB Protokoll über VPN - geht das? Wieso Kennwort-Abfrage? Systemfehler 5
Versuch einer Netzwerkfreigabe in ein mittels VPN verbundenes Netzwerk auf einen Samba-Server
Hi.
Ich habe hier ein kleines für mich derzeit unerklärliche Problem. Folgende Situation:
zwei Netzwerke 192.168.0.x und 192.168.2.x sind mittels VPN miteinander verbunden. Dies ist mittels 2er Netgear Router realisiert, die beide als VPN-Gateway fungieren.
Hinter dem 2.x Netzwerk sitzt ein 2ter Router der in das Netzwer 192.168.1.x routet.
In diesem 1.x Netz sitzt mein Client PC mit der IP 192.168.1.45 (fortlaufend B genannt).
Im Netzwerk 0.x sitzt ein Fujitsu Siemens Storagebird LAN. Dies ist eine kleine externe Festplatte, die intern SAMBA (und irgendeinen FTP-Server) laufen hat. Dieses NAS hat die IP 192.168.0.50 (fortlaufend A genannt).
Das VPN funktioniert korrekt, ich kann von B ohne Probleme auf A mittels FTP oder das Web-Interface von A zugreifen und Einstellungen vornehmen oder mittels FTP Daten auf die Festplatte kopieren. Mein Wunsch ist es aber, dass ich auch die normale Netzwerkfreigabe nutzen kann! Im Webinterface der Festplatte lassen sich Verzeichnisse erstellen und für diese Passwörter vergeben (keine Benutzernamen). Greife ich mittels Netzwerkfreigabe auf die Festplatte zu - sprich gebe ich an B ein
"net use x: \\192.168.0.50\test"
erhalte ich nach kurzer Zeit die Meldung: "Geben Sie den Benutzernamen für "192.168.0.50" ein:"
Dies sollte eigendlich schon unsinn sein, denn auf dem NAS sind keine Benutzernamen zu vergeben! Gebe ich irgendeinen Benutzer ein - oder auch admin - erhalte ich anschließend wie man auch vermuten kann die Meldung: "
Geben Sie das Kennwort für "192.168.0.50" ein:" nach beliebiger eingabe hier (das Verzeichnis "test" hat kein Kennwort gesetzt!) kommt die Meldung:
"Systemfehler 5 aufgetreten.
Zugriff verweigert"
Wie kann das sein?
Wenn ich mich per Remote von B auf einen weiteren PC im A-Netzwerk einwähle (z.B. per VNC) und vom dortigen Windows XP aus "net use x: \\192.168.0.50\test" eigebe, geht dies problemlos, ohne Eingabe von Benutzernamen oder Kennwort.
Hat jemand eine Idee? Google hat nichts passendes ergeben. Danke!
Mfg,
Dennis
PS: verzeit meine eventuell falsche Wikitext-Formatierung - habe das schon ewig nicht mehr gemacht... Jeder weiss, wie ich meine "backslashe" gemeint hatte
Ich habe hier ein kleines für mich derzeit unerklärliche Problem. Folgende Situation:
zwei Netzwerke 192.168.0.x und 192.168.2.x sind mittels VPN miteinander verbunden. Dies ist mittels 2er Netgear Router realisiert, die beide als VPN-Gateway fungieren.
Hinter dem 2.x Netzwerk sitzt ein 2ter Router der in das Netzwer 192.168.1.x routet.
In diesem 1.x Netz sitzt mein Client PC mit der IP 192.168.1.45 (fortlaufend B genannt).
Im Netzwerk 0.x sitzt ein Fujitsu Siemens Storagebird LAN. Dies ist eine kleine externe Festplatte, die intern SAMBA (und irgendeinen FTP-Server) laufen hat. Dieses NAS hat die IP 192.168.0.50 (fortlaufend A genannt).
Das VPN funktioniert korrekt, ich kann von B ohne Probleme auf A mittels FTP oder das Web-Interface von A zugreifen und Einstellungen vornehmen oder mittels FTP Daten auf die Festplatte kopieren. Mein Wunsch ist es aber, dass ich auch die normale Netzwerkfreigabe nutzen kann! Im Webinterface der Festplatte lassen sich Verzeichnisse erstellen und für diese Passwörter vergeben (keine Benutzernamen). Greife ich mittels Netzwerkfreigabe auf die Festplatte zu - sprich gebe ich an B ein
"net use x: \\192.168.0.50\test"
erhalte ich nach kurzer Zeit die Meldung: "Geben Sie den Benutzernamen für "192.168.0.50" ein:"
Dies sollte eigendlich schon unsinn sein, denn auf dem NAS sind keine Benutzernamen zu vergeben! Gebe ich irgendeinen Benutzer ein - oder auch admin - erhalte ich anschließend wie man auch vermuten kann die Meldung: "
Geben Sie das Kennwort für "192.168.0.50" ein:" nach beliebiger eingabe hier (das Verzeichnis "test" hat kein Kennwort gesetzt!) kommt die Meldung:
"Systemfehler 5 aufgetreten.
Zugriff verweigert"
Wie kann das sein?
Wenn ich mich per Remote von B auf einen weiteren PC im A-Netzwerk einwähle (z.B. per VNC) und vom dortigen Windows XP aus "net use x: \\192.168.0.50\test" eigebe, geht dies problemlos, ohne Eingabe von Benutzernamen oder Kennwort.
Hat jemand eine Idee? Google hat nichts passendes ergeben. Danke!
Mfg,
Dennis
PS: verzeit meine eventuell falsche Wikitext-Formatierung - habe das schon ewig nicht mehr gemacht... Jeder weiss, wie ich meine "backslashe" gemeint hatte
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 34551
Url: https://administrator.de/contentid/34551
Printed on: April 23, 2024 at 14:04 o'clock
6 Comments
Latest comment
Das problem ist, das dein VPN System vermutlich einige Broadcats verwirft.
Deslagb benutzte ich immer OpenVPN im Bridge Modus. Da kannste alles tunnen was du willst.
Eentuell kommst du weiter, wenn du dir den genauen Datenverkehr per ethereal/wireshark anschaust. Dann solltest du sehen, wo es genau klemmt.
Deslagb benutzte ich immer OpenVPN im Bridge Modus. Da kannste alles tunnen was du willst.
Eentuell kommst du weiter, wenn du dir den genauen Datenverkehr per ethereal/wireshark anschaust. Dann solltest du sehen, wo es genau klemmt.
Das Broadcast Problem wird es geben, ist aber nicht relevant wenn du wie oben die Endgeräte direkt ansprichst. Dadurch das es nach einem Passwort fragt und "Zugriff verweigert" zurückgibt kannst du ganz klar sehen das dein Problem weniger was mit dem Netzwerk als mit den Zugriffsrechten zu tun hat !
UDP Nameservice Broadcasts gehen in der Tat nicht über dein Layer 3 Router. Wenn der keine Möglichkeiten hat mittels IP Helper Adressen diese zu forwarden hilft immer ein kleiner Trick die jeweiligen Maschinen beider Seiten mit dem Editor lokal in die Hosts Datei (hosts und/oder lmhosts ) statisch einzutragen. Die Datei findest du unter \Windows\System32\drivers\etc\. Anhand einiger Beispieleinträge in diesen Dateien erkennst du sofort die Syntax.
UDP Nameservice Broadcasts gehen in der Tat nicht über dein Layer 3 Router. Wenn der keine Möglichkeiten hat mittels IP Helper Adressen diese zu forwarden hilft immer ein kleiner Trick die jeweiligen Maschinen beider Seiten mit dem Editor lokal in die Hosts Datei (hosts und/oder lmhosts ) statisch einzutragen. Die Datei findest du unter \Windows\System32\drivers\etc\. Anhand einiger Beispieleinträge in diesen Dateien erkennst du sofort die Syntax.
Hallo BartSimpson, hallo aqui.
Danke erstmal für eure Beteiligung.
An ein Problem mit den Broadcasts hatte ich ebenfalls gedacht - wusste mir aber nicht zu helfen, falls es soetwas ist. OpenVPN KANN ich nicht einsetzen, da ich leider nicht die Firmware des NAS verändern kann.
Nochmal zur verdeutlichung, wie die Netzstruktur genau aussieht:
Fujitsu-Siemens Storagebird LAN
(NAS, der intern SAMBA laufen hat / und irgendeinen FTP-Server)
192.168.0.50
direkt verbunden mit:
Netgear FVG318
Router - agiert als VPN-Endpunkt A
192.168.0.1
an ihm das DSL-Modem (nur zur verdeutlichung ab wann "das Internet anfängt")
Netgear DG834B (mit DSL-Modem intern...)
Router - agiert als VPN-Endpunkt B
192.168.2.1
verbunden mit einem weiteren Router (WLAN)
Linksys WRT54G
192.168.1.1
per WLAN verbunden mit :
Linksys WET54G (Wireless Ethernet Bridge)
192.168.1.151
an diesem direkt der letzte Client
Client mit Windows XP Prof:
192.168.1.45
Ich hätte ja liebend gerne einen schönen Netzplan gemacht, habe aber hier kein Visio drauf - und "dia" von Linux ließ sich nicht einsetzen, da mein Notebook derzeit streikt (mit Linux).
Ein Eintrag in die hosts/lmhosts Datei hat leider keinen Erfolg gebracht (oder ich habe ewas falsch verstanden). Soweit ich das noch in Erinnerung habe, ist die hosts datei doch nur dafür zuständig, mir lokal zu sagen, welche IP beispielsweise "testpc" hat. Da ich aber doch mein NAS direkt anspreche - wieso brauche ich dann den Eintrag in der hosts-datei?
Google nach "IP-Helper-Adresse" hat leider keinen sinnvollen Treffer erzielt, was das denn überhaupt ist. Ich habe nochmal alle Menüeinträge der beiden Netgear Router und Handbücher (und google) danach durchforstet, jedoch nichts passendes gefunden.
Hat das vielleicht etwas mit dem statischen Routen zu tun? Dass ich den Routern explizit sagen muss, wo ein bestimmter Client zu finden ist? Beide Router haben bei mir aber RIM 2M eingeschaltet - so wie ich das verstanden hatte, wäre das doch damit passé - oder?
Danke erstmal für eure Beteiligung.
An ein Problem mit den Broadcasts hatte ich ebenfalls gedacht - wusste mir aber nicht zu helfen, falls es soetwas ist. OpenVPN KANN ich nicht einsetzen, da ich leider nicht die Firmware des NAS verändern kann.
Nochmal zur verdeutlichung, wie die Netzstruktur genau aussieht:
Fujitsu-Siemens Storagebird LAN
(NAS, der intern SAMBA laufen hat / und irgendeinen FTP-Server)
192.168.0.50
direkt verbunden mit:
Netgear FVG318
Router - agiert als VPN-Endpunkt A
192.168.0.1
an ihm das DSL-Modem (nur zur verdeutlichung ab wann "das Internet anfängt")
Netgear DG834B (mit DSL-Modem intern...)
Router - agiert als VPN-Endpunkt B
192.168.2.1
verbunden mit einem weiteren Router (WLAN)
Linksys WRT54G
192.168.1.1
per WLAN verbunden mit :
Linksys WET54G (Wireless Ethernet Bridge)
192.168.1.151
an diesem direkt der letzte Client
Client mit Windows XP Prof:
192.168.1.45
Ich hätte ja liebend gerne einen schönen Netzplan gemacht, habe aber hier kein Visio drauf - und "dia" von Linux ließ sich nicht einsetzen, da mein Notebook derzeit streikt (mit Linux).
Ein Eintrag in die hosts/lmhosts Datei hat leider keinen Erfolg gebracht (oder ich habe ewas falsch verstanden). Soweit ich das noch in Erinnerung habe, ist die hosts datei doch nur dafür zuständig, mir lokal zu sagen, welche IP beispielsweise "testpc" hat. Da ich aber doch mein NAS direkt anspreche - wieso brauche ich dann den Eintrag in der hosts-datei?
Google nach "IP-Helper-Adresse" hat leider keinen sinnvollen Treffer erzielt, was das denn überhaupt ist. Ich habe nochmal alle Menüeinträge der beiden Netgear Router und Handbücher (und google) danach durchforstet, jedoch nichts passendes gefunden.
Hat das vielleicht etwas mit dem statischen Routen zu tun? Dass ich den Routern explizit sagen muss, wo ein bestimmter Client zu finden ist? Beide Router haben bei mir aber RIM 2M eingeschaltet - so wie ich das verstanden hatte, wäre das doch damit passé - oder?
Ist die IP Adresse am Netgear DG834B ein Tippfehler oder lautet die wirklich .2.1 ?? Dann ist da der Fehler denn die WLAN Bridge in diesem Netz im Endpunkt B ist Layer 2 transparent also arbeitet im .1.0er Netz. Wenn der Netgear DG834B auf dem Ethernet nun das .2.0er Netz konfiguriert hat kann das nicht gehen denn du nutzt ja hier 2 unterschiedliche IP Netzadressen!! Der müsste hier eigentlich auch eine .1.0er Adresse haben damit es IP technisch korrekt ist !
Der Eintrag in die Hosts Datei war nur dafür gedacht das die Master Browser in den beiden Segmenten sich finden und Nameservice Broadcasts tauschen. Damit kann man die Problemtik etwas entschärfen. Du sprichst deine Endgeräte aber direkt über die IP Adresse an, deshalb ist das für dich nicht ganz so relevant.
Der Eintrag in die Hosts Datei war nur dafür gedacht das die Master Browser in den beiden Segmenten sich finden und Nameservice Broadcasts tauschen. Damit kann man die Problemtik etwas entschärfen. Du sprichst deine Endgeräte aber direkt über die IP Adresse an, deshalb ist das für dich nicht ganz so relevant.
Das ist kein Tippfehler. Sowohl WLAN Bridge Linksys WET54G, als auch der Linksys Router WRT54G haben beide eine IP-Adresse im 1er Bereich - sowie alle Clients, die daran hängen (WinXP Rechner mit 192.168.1.45).
Dass Broadcasts nicht über verschiedene Subnetzmasken geleitet werden habe ich inzwischen verstanden - da das ja auch der SINN von Subnetzen ist. Wie aber sage ich meinem Linksys Router, dass er eben doch Broadcasts weiterleiten soll? Eine 2er IP-Adresse kann ich ihm nicht geben, da er sich dann beschwehrt (verständlich), dass LAN und WAN Adresse aus dem selben Subnetz sind. Vermutlich habe ich da etwas prinzipielles noch nicht verstanden und mache da einen Fehler. Funktioniert die Verbindung zwischen Clients (192.168.1.45) und dem Router DG834B, wenn ich den Linksys router DIREKT mit dem Netgear verbinde? Sprich das Kabel nicht in den WAN Port des Routers, sondern in einen der LAN Ports des Routers stecke? Dann müsste ich dem Linksys (und allen dahinter) doch 2er Adressen geben können und der Router wäre mehr oder weniger nurnoch ein Access-Point. Geht das?
Dass Broadcasts nicht über verschiedene Subnetzmasken geleitet werden habe ich inzwischen verstanden - da das ja auch der SINN von Subnetzen ist. Wie aber sage ich meinem Linksys Router, dass er eben doch Broadcasts weiterleiten soll? Eine 2er IP-Adresse kann ich ihm nicht geben, da er sich dann beschwehrt (verständlich), dass LAN und WAN Adresse aus dem selben Subnetz sind. Vermutlich habe ich da etwas prinzipielles noch nicht verstanden und mache da einen Fehler. Funktioniert die Verbindung zwischen Clients (192.168.1.45) und dem Router DG834B, wenn ich den Linksys router DIREKT mit dem Netgear verbinde? Sprich das Kabel nicht in den WAN Port des Routers, sondern in einen der LAN Ports des Routers stecke? Dann müsste ich dem Linksys (und allen dahinter) doch 2er Adressen geben können und der Router wäre mehr oder weniger nurnoch ein Access-Point. Geht das?
So, habe jetzt die Konfiguration geändert um das Subnetz-Problem zu umgehen.
Neue Gonfiguration:
A Netz 192.168.0.x mit dem NAS an der IP 192.168.0.50
B Netz 192.168.2.x mit dem Client an der IP 192.168.2.45
(Genauer: Der Linksys Router (der, zwischen B und dem Client) ist nun nicht mehr per WAN-Port mit dem Netgear Router verbunden, sondern mit einem seiner LAN-Ports. Er fungiert also nurnoch als Access-Point.)
Problem nur, die Netzwerkfreigabe funktioniert trotz etabliertem VPN immernoch nicht - er fragt also nach wie vor nach Benutzernamen und Kennwort.
Das VPN zwischen beiden Netgear Routern ist übrigens (falls nicht schon bekannt) ein IPSEC VPN - also Layer3, wenn mich nicht alles täuscht.
Hast du zufällig noch weitere Lösungs-Vorschläge?
Neue Gonfiguration:
A Netz 192.168.0.x mit dem NAS an der IP 192.168.0.50
B Netz 192.168.2.x mit dem Client an der IP 192.168.2.45
(Genauer: Der Linksys Router (der, zwischen B und dem Client) ist nun nicht mehr per WAN-Port mit dem Netgear Router verbunden, sondern mit einem seiner LAN-Ports. Er fungiert also nurnoch als Access-Point.)
Problem nur, die Netzwerkfreigabe funktioniert trotz etabliertem VPN immernoch nicht - er fragt also nach wie vor nach Benutzernamen und Kennwort.
Das VPN zwischen beiden Netgear Routern ist übrigens (falls nicht schon bekannt) ein IPSEC VPN - also Layer3, wenn mich nicht alles täuscht.
Hast du zufällig noch weitere Lösungs-Vorschläge?
