Kein SMB-Zugriff auf Synology NAS über FritzBox-VPN – trotz Verbindung und Webzugriff

[JoeSonique]

Hallo zusammen,
ich habe ein Problem, das mich seit Tagen beschäftigt, und hoffe auf eure Hilfe. Ich möchte möglichst genau beschreiben, was ich erreichen will, wie mein Netzwerk aufgebaut ist und was ich bereits alles erfolglos ausprobiert habe.

Zielsetzung
Ich möchte von meinem Windows-10-PC zuhause auf eine SMB-Freigabe meiner Synology NAS in der Firma zugreifen – konkret auf:
Die Verbindung soll über eine bestehende VPN-Verbindung zwischen den beiden FritzBoxen (Zuhause & Firma) laufen.

Netzwerkaufbau
Zuhause (192.168.1.0/24):
- FritzBox 7590 mit IP 192.168.1.10
- Windows 10 PC

Firma (192.168.0.0/24):
- FritzBox 7590 mit IP 192.168.0.10
- Synology NAS DS216j mit IP 192.168.0.3 (DSM 7.1.1-42962 Update 8)

Die VPN-Verbindung zwischen den FritzBoxen ist eingerichtet und funktioniert stabil.

Was funktioniert bereits:
- Die VPN-Verbindung ist aktiv.
- Ich kann von zuhause im Browser auf das Webinterface der NAS zugreifen: http://192.168.0.3:5000
- Auf einem PC in der Firma funktioniert der Zugriff auf \\192.168.0.3\Mein Ordner problemlos.
- SMB ist auf der NAS korrekt konfiguriert (SMB2/SMB3, Benutzerrechte, keine Signaturpflicht etc.)

Was nicht funktioniert:
- Von zuhause kann ich nicht auf \\192.168.0.3\Mein Ordner zugreifen.
- Auch das Einbinden als Netzlaufwerk funktioniert nicht. Fehlermeldungen z. B.: - Fehlercode 53 (Netzwerkpfad nicht gefunden) - Fehlercode 0x80070043 (Netzwerkname wurde nicht gefunden)
- Der Befehl `Test-NetConnection -ComputerName 192.168.0.3 -Port 445` ergibt: TcpTestSucceeded = False (also: Port 445 ist über die VPN-Verbindung offenbar nicht erreichbar)

Was ich alles bereits ausprobiert habe:
Windows:
- Netzwerkprofil des VPNs auf "Privat" gestellt (per PowerShell)
- SMB 1.0/CIFS aktiviert- NetBIOS über TCP/IP aktiviert
- Unsichere Gastanmeldung erlaubt (Registry)
- Windows-Firewall deaktiviert
- Zugriff per IP-Adresse statt Hostname
- net use versucht: auch gescheitert
NAS:
- SMB2/SMB3 aktiv- Server-Signierung deaktiviert
- Benutzer hat Zugriff auf den Ordner
- Freigabe wurde bereits im Firmennetz erfolgreich getestet
- Schutzfunktion (IP-Liste) erweitert: VPN-Netz 192.168.1.0/24 ist erlaubt

Ergänzend möchte ich noch erwähnen, dass ich auf der FritzBox in der Firma bereits eine manuelle Portfreigabe für TCP-Port 445 zur IP-Adresse der NAS eingerichtet habe. Ebenso habe ich testweise WebDAV auf der NAS aktiviert und die entsprechenden Ports (5005/5006) ebenfalls freigegeben. Auch darüber habe ich versucht, ein Netzlaufwerk zu verbinden – allerdings ohne Erfolg. Die Verbindung wurde entweder verweigert oder mit einem Fehler (404 oder Gerät nicht gefunden) abgebrochen.

Meine Vermutung:
Ich vermute, dass SMB über die FritzBox-VPN-Verbindung grundsätzlich nicht funktioniert, da Port 445 geblockt wird – obwohl andere Dienste wie HTTP (DSM-Webinterface) über das VPN erreichbar sind.

Meine Fragen:
1. Hat jemand SMB-Zugriff über FritzBox-VPN (Site-to-Site) erfolgreich im Einsatz?
2. Gibt es eine Möglichkeit, Port 445 im VPN freizugeben oder zu umgehen?
3. Gibt es sonst noch Ideen, wie man diesen Zugriff zum Laufen bekommt?

Ich bin für jede Rückmeldung dankbar!
Viele Grüße
Hanno

 

[Hagen2000]

Hallo Hanno, willkommen im Forum!

Zunächst einmal sollten bei einer Site-2-Site-Kopplung, wie Du sie eingerichtet hast, alle Ports der Gegenseite erreichbar sein.
Freigaben auf der FRITZ!Box sind nicht erforderlich bzw. bewirken eine allgemeine Freigabe vom Internet. Das willst Du nicht, also wieder rausnehmen!

Netzwerkprofil des VPNs auf "Privat" gestellt (per PowerShell)

Das Detail müsstest Du erläutern: Wieso weiß Windows überhaupt etwas von der VPN-Verbindung, wenn sie doch auf dem Router eingerichtet ist?

Was ich noch prüfen würde, ist die Firewall auf dem NAS, vielleicht lässt diese keine Zugriffe aus fremden Netzen zu.
Die Schutzfunktion (Du müsstest mal die Einstellung genau beschreiben) dient m. E. nur für das Anmelden an der DSM-Oberfläche.

 

[plang.pl]

Du musst in den Einstellungen der VPN-Verbindung NetBIOS zulassen, sonst geht kein SMB über den Tunnel

 

[JoeSonique]

Anhang anzeigen 105571


Du musst in den Einstellungen der VPN-Verbindung NetBIOS zulassen, sonst geht kein SMB über den Tunnel

Das war es tatsächlich. 1000 Dank! Ich hatte den Haken nur bei der einen FritzBox gesetzt...

 

[Kachelkaiser]

PS: deine 216j lässt dich manuell noch auf DSM 7.2.2 heben

 

[IT-Tüftler]

Ich hatte dieses Problem auch und es mit 2 Fritzbox Routern versucht, die bereits eingerichtet waren.

Die NAS war über die Weboberfläche im Heimnetz erreichbar. Im Heimnetz hat alles funktioniert, alle Laufwerke/Ordner vorhanden.

Als VPN habe ich Wireguard als Einzelgerät eingerichtet.

Die NAS war außerhalb des Heimnetz über die Webobferfläche erreichbar, aber keine Laufwerke vorhanden. Die Laufwerke lassen sich
nur über die IP Adresse einbinden. Hat bei mir nicht funktioniert.
Hinweis: Die Auflösung des Namen der NAS und Laufwerke funktioniert über VPN nicht. Es werden keine Namen in der Netzwerkumgebung angezeigt. Funktioniert nur im Heimnetz. Daher über VPN nur mit IP Adresse arbeiten.

Lösung zum Problem: Falls die NAS Oberfläche per VPN erreichbar ist, ist das schon mal ein gutes Zeichen.
Meistens liegt es daran, das Port 445 über VPN nicht erreichbar ist, wenn die Laufwerke über VPN sich nicht einbinden lassen oder nicht angezeigt werden.

Das könnt ihr wie folgt testen: In der PowerShell dazu folgenden Befehl eingeben: "Test-NetConnection 192.168.178.101 -Port 445". Natürlich ohne Anführungszeichen. Für die IP muss die IP Eurer eigenen NAS eingegeben werden.
Als Ergebnis kommt dann false oder true zurück. Falls ihr "false" als Ergebnis erhaltet, ist Port 445 nicht erreichbar.
Kommt jetzt bitte nicht auf die Idee und gebt Port 445 manuell frei. Das ist ein Sicherheitsrisiko und löst Euer Problem nicht.

Die beste, sicherste und schnellste mögliche Lösung ist:

1. Konfiguration der Fritzbox sichern
2. Router zurücksetzen auf Werkseinstellungen
3. Internetzugang einrichten
4. NAS anschließen
5. Testen ob VPN im Heimnetz erreichbar ist
6. VPN als Einzelgerät in der Fritzbox einrichten
7. Zugriff außerhalb des Heimnetzwerk testen. z.B. über Gastzugang, ob NAS über Weboberfläche erreichbar ist.
8. Test in der PowerShell ob Port 445 erreichbar ist.

Wenn ihr als Wert "true" zurückbekommt, ist Port 445 erreichbar.
Die Laufwerke/Ordner sollten sich einbinden und anzeigen lassen.
Dann habt ihr das Problem gelöst.

Grundsatz: Viele Fehler lassen sich leicht eingrenzen, wenn man den Router auf Werkseinstellungen zurücksetzt.
Viel probieren in den Router Einstellungen bringt aus Erfahrung nichts. Wenn Ihr probieren wollt, dann macht es nach den Werkseinstellungen.

 

[Ronny1978]

Viele Fehler lassen sich leicht eingrenzen, wenn man den Router auf Werkseinstellungen zurücksetzt.

Naja, das sehe ich nicht ganz so. Wenn man nicht weiß was man tut oder man den Fehler nicht ansich nicht findet, was soll denn da das zurücksetzen des Routers bringen, außer das man ggf. die ganzen IP Zuweisungen vom DHCP im schlimmsten Fall überarbeiten muss? Die Familie, die gern Netflix/Disney+ schauen oder auf der XBox/Playstation zocken möchte, ist da bestimmt "dankbar" für den 20 minütigen Ausfall (oder länger).

Bei der Fritzbox bin ich mir nämlich nicht sicher, ob dort nur die Einstellungen gesichert werden oder auch dynamische DHCP Zuweisungen.

Viel probieren in den Router Einstellungen bringt aus Erfahrung nichts.

Auch hier teile ich diese Meinung nicht ganz. Option einstellen und testen ist die Devise und dann ggf. die Option wieder deaktivieren oder zurücksetzen. Was definitiv aber nichts bringt, ist, an allen Einstellungen gleichzeitig zu "schrauben". Da hast du recht.