Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriff auf SMB Freigabe vom WAN aus

Frage Linux Samba

Mitglied: Enriqe

Enriqe (Level 1) - Jetzt verbinden

09.08.2011, aktualisiert 18.10.2012, 9219 Aufrufe, 10 Kommentare

Hallo Admins,

ich muß mich heute mal wieder mit einem kleinen Problemchen an Euch wenden. Und zwar möchte ich eine Verbindung mit einer SMB freigabe hinter einer NAT Firewall herstellen.
Der Hintergrund ist folgender:
Auf einem Terminalserver, der vom Internet aus für unsere Kunden erreichbar ist, äuft ein Programm, welches Zugriff auf Daten in unserer Domäne benötigt. Der Terminalserver ist nun mit unserem Firmennetz über einen Router verbunden (Terminalserver hängt am WAN- Port) und ich müsste irgendwie Zugriff auf die SMB Freigabe bekommen auf der die benöigten Daten liegen. (Zur Info für die, die sich mit Tomato auskennen: Tomato läuft auf meinem inksys Router und würde mir ein mounten der entsprechenden Freigabe gestatten. Also ein Zugriff auf die in Tomato gemountete SMB Freigabe von der WAN Seite aus würde mir auch helfen.)
Nun habe ich es mit einer Weiterleitung des Ports 445 auf den entsprechenden Server in unserem Netz versucht aber es tut nicht. Bei der Syntax zum Verbinden bin ich mir auch nicht sicher, deswegen gebe ich euch mal an wie ich das versucht habe. Vielleicht liegt der Fehler ja auch hier begraben. Also, ich benutzte: net use X: \\Router-WAN-IP\Freigabename-des-SMB ist das so richtig?
SMB ist auf den Firewalls beider Server freigegeben.
Leider finde ich so gut wie keine Infos darüber im Netz. entweder ich benutze die falschen Suchbegriffe oder mein Plan ist so ungewöhnlich. Ich weiß es auch nicht.
Natürlich bin ich auch für alternative Vorschläge offen. Ich habe auch schon daran gedacht, das in der Form von WebDAV zu machen aber ich habe mich damit bis jetzt noch gar nicht beschäftigt, da ich, sollte nichts dagegen sprechen, die SMB- Verbindung vorziehen würde.
Ich freue mich auf Eure Antworten und bedanke mich schon einmal im Voraus dafür, dass Ihr Euch Gedanken macht.

Viele Grüße

Enriqe
Mitglied: 101352
09.08.2011 um 13:28 Uhr
du hast doch den port 445 umgeleitet. da brauchst du nur "wan-ip:445" in den browser eingeben.
Bitte warten ..
Mitglied: aqui
09.08.2011, aktualisiert 18.10.2012
Nein, das ist Unsinn, denn SMB/CIFS benutzt ja den Port TCP 445 per Standard im Filesharing also muss er den auch nicht explizit angeben !
Die Syntax mit dem net use Kommando ist also schon richtig so. Auch die WAN IP des Routers, denn der leitet diese Anfrage ja per Port Forwarding weiter, ist folglich also virtuell ja das Ziel.
Vermutlich benötigt der Server aber noch ein paar mehr Ports. Oder, was noch wahrscheinlicher ist das wie immer die Firewall nicht angepasst ist um SMB Zugriffe aus fremden IP Netzen zuzulassen. Normalerweise blocken die alles ab was nicht vom lokalen Netz kommt da solltest du also nochmal auf Nummer sicher gehen um das ganz sicher ausschliessen zu können.

Ansonsten gehe wie immer strategisch vor:
Lad dir den MS NetMonitor oder den Wireshark Sniffer auf den Server und baue erst einmal lokal eine SMB Verbindung von einem Client mit dem Server auf. Sniffer diesen Verbindungsaufbau mit und sehe dir genau an welche Ports der Server benötigt.
Danach machst du das gleiche mit der Port Forwarding Einstellung über deinem NAT Router. Das hat den Vorteil das du überhaupt erstmal sehen kannst ob die geforwardeten TCP 445 Pakete vom Router bzw. Client überhaupt generell am Server ankommen oder ob da schon ein Problem ist.
Ggf. besserst du dann mit den zu forwardenden Ports nach.

Generell ist es immer sinnvoller den Router statt im NAT Modus im transparenten Routing zu betreiben. Dann hast du diese Problematik mit Port Forwarding gar nicht erst.
Wenn der Linksys mit DD-WRT betrieben würde dann ist das mit einem Mausklick ganz simpel abschaltbar wie du hier an diesem Beispiel sehen kannst:
http://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ...
Router Modus statt des Gateway Modus der NAT macht.
Ob das bei "Tomato" auch so konfigurierter ist musst du nachsehen. Bei DD-WRT ist es kein Problem. Zur Not kannst du den Router halt schnell umflashen. DD-WRT bietet eh ein paar mehr Features als Tomato.
Bitte warten ..
Mitglied: mrtux
10.08.2011 um 03:08 Uhr
Hi !

Zitat von aqui:
Ob das bei "Tomato" auch so konfigurierter ist musst du nachsehen. Bei DD-WRT ist es kein Problem. Zur Not kannst du

Soweit ich mich gerade erinnern kann, geht das bei "Tomato" auch. Siehe unter: Advanced -> Routing -> Misc.

mrtux
Bitte warten ..
Mitglied: Enriqe
10.08.2011 um 09:52 Uhr
Hallo aqui,

Vielen Dank für Deinen aufschlussreichen Beitrag.

ja, mrtux hat Recht, das geht mit Tomato auch. (vielen Dank an dieser Stelle auch für Deinen Beitrag mrtux). Leider war ich an der Stelle auch schon und ich habe den Routermodus auch probiert und in Augenblick ist es so konfiguriert. Ich war mir nur nicht sicher, ob das bedeutet, dass NAT ganz abgeschalten ist. Wenn ich nun, nachdem ich Eure Beiträge gelesen habe, davon ausgehe, dass mein Router im transparenten Modus arbeitet, dann könnte ich daraus folgern, dass es doch eine Firewall auf einem der Server ist - oder?
Kann es sein, dass das Portforwarding im transparenten Modus stört?
Wenn Dir dazu noch etwas einfällt, dann würde ich mich freuen, wenn Du mich teilhaben lässt. Währenddessen gehe ich mal Deinen Tipps nach und analysiere den Netzverkehr.
Vielen Dank noch einmal

Gruß
Enriqe
Bitte warten ..
Mitglied: aqui
11.08.2011 um 12:37 Uhr
Im transparenten Modus gibt es doch gar kein NAT mehr da ist NAT ja deaktiviert, folglich ist dann auch ein Port Forwarding unsinnig und überflüssig, denn das braucht man ja einzig und allein nur um eine NAT Firewall überwinden zu können !
Im transparenten Modus kannst du gar kein Port Forwarding mehr benutzen bzw. ist das dann sinnigerweise inaktiv !
Es kann dann in der Tat nur noch an einer lokalen Firewall der Rechner selber liegen. Der Sniffer Trace wird dir das dann auch sofort zeigen !
Bitte warten ..
Mitglied: Enriqe
15.08.2011 um 11:47 Uhr
Hallo Aqui,

das verstehe ich schon aber der Eintrag des Portforwardings bleibt stehen, auch wenn ich den Router in den Gatewaymodus setze. Ich meinte nur, dass das vielleicht störend ist und es besser wäre den Eintrag zu löschen. Aber auch das hilft nicht.
Es gelingt mir einfach nicht über den Router hinweg eine Verbindung zu meiner Freigabe herzustellen. Weder im Gatewaymodus noch mit Portforwarding im Routermode. Ich bin echt verzweifelt da ich den Sch... fertigkriegen muss und es nur daran scheitert. Ich habe auch die Netztraffic- Analyse gemacht und alle Ports die angegeben waren durchgeleitet -- nichts, nicht einmal, wenn ich die komplette Portrange auf den Server umleite. Auch explizit die Ports für NetBT 137 - 139 dazu anzugeben führt zu keinem anderen Ergebnis. Immer bekomme ich die selbe Fehlermeldung: Systemfehler 53 aufgetreten Netzwerkpfad wurde nicht gefunden.
hast Du noch eine Idee was ich übersehen haben könnte? (Andersherum geht es übrigens.) Ich denke also schon, dass es der Router ist, der blockiert und nicht etwa eine Firewall auf einem der Server. Hier habe ich jeweils für SMB in allen Profilen Edgeausnahmen zugelassen. Richtig?
Während ich nun auf eine Antwort und den entscheidenden Tipp von Dir warte, werde ich den Router mal mit DD-WRT füttern. Vielleicht tut ja meine Tomate nicht richtig. Letzte wage Hoffnung
Vielen Dank schon mal.

Gruß
Enriqe
Bitte warten ..
Mitglied: aqui
15.08.2011 um 11:58 Uhr
Port Forwarding muss im Router natürlich zwingend entfernt werden wenn dieser im Router Modus arbeitet, denn dann routet er transparent OHNE eine NAT Firewall. PFW ist damit dann logischerweise unsinnig.
Ein Testaufbau mit einem DD-WRT finktioniert hier im Router Modus einwandfrei und eine SMB/CIFS Verbindung über ihn ist mit Windows OS und Mac OS-X sowohl auf ein NAS als auch auf einen Win 2003 Server absolut problemlos möglich. Es liegt also de facto NICHT am DD-WRT.
Mit an Sicherheit grenzender Wahrscheinlichkeit rennst du wie immer in ein Firewall Problem !!
Bedenke bitte das du im Router Modus durch das fehlende NAT nun eine Absender IP aus dem Client Netz hast. Die lokale Firewall am Zielsystem blockoert also solche pakete und verhindert den Zugriff.
Du musst diese zwingend für SMB Zugriffe customizen, das das IP Netzwerk des Clients erlaubt ist (Bereich) oder eben mit "alle Computer inklusive Internet" die Scheunentor Regel in der Firewall aktivieren !
2ter Fehler ist das du vermutlich falsche Routen gesetzt hast !
Im "Router Modus" auf dem DD-WRT MUSS ein Ping zwischen Client und Ziel und auch andersrum zwischen Ziel und Clietn sauber möglich sein ! Auch das solltest du vorher sicherstellen !!
Bitte warten ..
Mitglied: Enriqe
16.08.2011 um 18:33 Uhr
Hallo Aqui,

vielen Dank für Deine Antwort. Ich habe in der Zwischenzeit DD-WRT auf den Router geladen und sehr viel rumprobiert. Am DD-WRT bezw. an Tomato hat es nicht gelegen. Auch nicht an der Firewall sondern an den localen IP Einstellungen.
Dein Tipp mit der Routing Tabelle hat mich darauf gebracht. Ich war wohl fälschlicherweise davon ausgegangen, dass ein IP Paket seinen Rückweg findet, indem es jeden Hop im Header speichert. Das kann aber nicht ganz richtig sein da es sonst möglich gewesen wäre, dass die Pakete über meinen Router zurück kommen und nicht über das am PC eingestellte Gateway versucht hätten ihren Weg zu finden. Nachdem ich an beiden Rechnern die Gateways geändert habe, lief es dann auch. Allerdings hat das gleich das nächste, wenn auch weitaus kleinere Problem aufgeworfen. Ich kann jetzt zwar zwischen den beiden Server kommunizieren aber der am LAN- port hängende Server kann natürlich nicht mehr ins Internet. Dafür bräuchte er ja das andere Gateway.
Also, darüber werde ich mir jetzt mal Gedanken machen. Aber wenn Du einen Lösungsansatz hast, wäre ich Dir auch dankbar, wenn Du es mich wissen lässt.
Ansonsten noch einmal tausend Dank dafür, dass Du mich mit viel Geduld auf eine Lösung gebracht hast.

Gruß
Bitte warten ..
Mitglied: aqui
17.08.2011 um 10:25 Uhr
Ja, das ist natürlich Blödsinn mit der Wegespeicherung im IP Header das hast du ja mitlwerweile selber eingesehen. Ggf. also besser nochmal das hier lesen:
http://de.wikipedia.org/wiki/Routing
damit du es versehst. Im IP Header steht immer nur Quell- und Zielnetzwerk und die Router im Wegepfad lesen das und entscheiden anhand ihrer eigenen Routingtabelle auf welchem Port sie dieses Paket weiterleiten !
Dein "kleines" Problem kann man ganz einfach in 1 Minute lösen indem du auf dem Router eine Default Route zu deinem Internet Router einträgt...fertig.
Dann werden Pakete die nicht für die lokalen Netze sind dahin weitergeleitet und alles rennt wie es soll !
Leider ist dein Design nicht ganz klar, da du oben etwas oberflächlich in der Beschreibung bist. Ein sinnvolles Design wo der TS für die Kunden vom Firmennetz sicher abgetrennt ist sähe dann aber so aus:

229b4fa4d1192e80dfa5519ef06b2449 - Klicke auf das Bild, um es zu vergrößern

Die Lösung ist dann aber kinderleicht:
  • Default Route am Tomato / DD-WRT auf den Internet Router
  • Statische Route ins Firmennetz auf dem Internet Router
Fertig ist der Lack !
Bitte warten ..
Mitglied: Enriqe
29.08.2011 um 11:54 Uhr
Hallo Aqui,

vielen Dank für Deinen Tipps, auch für das Installationsschema. Ich habe die Sache jetzt so einigermaßen am Laufen. Jetzt heißt es noch den Terminalserver abzusichern und dann kanns los gehen.
Ich werde den Thread hiermit abschließen und Danke Dir und allen Anderen, die sich Gedanken gemacht haben noch einmal für die Hilfe.

Grüße
Enriqe



keep on rocking!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Welche Ports für eine SMB-Freigabe?
Frage von 117455Router & Routing2 Kommentare

Hallo, ich betreibe hjetzt zwei getrennete Netzwerke voneinander. Netzwerk A: 10.0.0.0/16 Netzwerk B: 192.168.120.0/24 In Netzwerk A habe ich ...

Netzwerke
SMB Freigabe mit Router DMZ
gelöst Frage von danielr1996Netzwerke6 Kommentare

Hallo Leute, ich habe eine Fake Router DMZ mit zwei Fritzboxen aufgebaut die folgendermaßen aussieht Jetzt möchte ich von ...

Windows Netzwerk
Win 10 und SMB Freigaben
Frage von lts14.04userWindows Netzwerk4 Kommentare

Hallo Forum, da meine Suche leider nicht den gewünschten Erfolg brachte, versuche ich es jetzt hier. Ich betreue an ...

Linux Netzwerk
Keine Freigaben sichtbar über smb
gelöst Frage von Peter007Linux Netzwerk2 Kommentare

Hallo zusammen, habe das Problem das ich über SMB keine freigaben im Konqueror angezeigt bekomme. Die Freigabe liegt auf ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 10 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 14 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...