LAN LAN Kopplung -- WinExplorer Einbindung funzt nicht

[Jen1909]

Hallo,

ich habe schon einigen Stunden das sehr umfangreiche Forum durchforst, aber ich kann mein Problem einfach nicht lösen.

Worum geht es:
2 Fritzboxen sind per LAN LAN Kopplung verbunden.
Netz A: x.x.178.x --> hier steht eine DS (x.x.178.x)
Netz B: x.x.177.x

Netz A --> Netzwerkadresse von DS in WinExplorer einbinden funzt einwandfrei.
Netz B --> Netzwerkadresse von DS in WinExplorer einbinden funzt überhaupt nicht. DS anpingen funzt. Zugriff per Webbrowser auf DS funzt auch.

Habe schon verschiedene Dinge versucht wie z.B. Regel in Firewall IP Bereich von Netz B eingetragen und Zugriff gegeben, aber nix hat funktioniert.

Kann mir jemand vielleicht einen Tipp geben, was ich noch machen kann, damit die Einbindung in WinExplorer im Netz B funzt?

Vielen Dank.

 

[the other]

Moinsen,
Mal die Windows eigene Firewall versuchsweise deaktiviert?

 

[Jen1909]

Nein, aber das würde ich eher ungern machen zwecks Sicherheit...aber wenn Win Firewall aktiv, dann dürfte doch das Pingen auch nicht funktionieren, oder?

 

[blurrrr]

NAS-FW mal temporär deaktivieren, testen, danach auf beiden Seiten temporär mal "Remote-LAN -> any -> NAS -> allow" (sofern extra Firewall vorhanden (Router/Firewall/was auch immer)) und auch nochmal testen, irgendwo wird der Hund schon begraben sein.

 

[c0smo]

Prüfe mal den Client im 177er Netz, ob dieser beibfolgendem Schlüssel den Wert "0" stehen hat. Mit "0" sind die SMB Signaturen deaktiviert und der Zugriff sollte funktionieren.

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

 

[Jen1909]

Hi,
der Wert stand auf "1". Die Änderung auf "0" hat aber auch nichts bewirkt.

NAS-FW mal temporär deaktivieren, testen, danach auf beiden Seiten temporär mal "Remote-LAN -> any -> NAS -> allow" (sofern extra Firewall vorhanden (Router/Firewall/was auch immer)) und auch nochmal testen, irgendwo wird der Hund schon begraben sein.

Das Ausschalten der NAS FW hat leider auch nichts bewirkt.

 

[c0smo]

Welches Gateway und Subnet ist im 177er Netz hinterlegt? Gibt es eine Route in der fritzbox?

Edit:/
Bei dem Regwert 0 sollte die maximale SMB Version in DSM auf 2 stehen!
Der Hinweis von blurrrr betrifft unter Umständen auch die Fritzbox. Vielleicht werden hier die Ports blockiert.

 

[Jen1909]

Gateway: x.x.177.1
Es ist keine Route in der Fritzbox hinterlegt.

SMB Version --> wo stellt man das in der DSM ein?

In der Fritzbox gibt es keine Portweiterleitung. Wenn welche Ports müsste man freischalten?

 

[c0smo]

Also dein Hauptproblem ist, SMB/CIF funktioniert, soweit ich weiß, nicht über ein NAT hinweg. Ausserdem wird NETBIOS für den Transport benötigt.
Kann es sein, dass der netbios Filter in beiden Boxen aktiviert ist? (Internet / Filter / Listen / Globale Filtereinstellungen)
Um ein Portproblem ausschließen zu können, könntest du zum Testen mal die Exposed Host Funktion in den Boxen aktivieren.

SMB Versionen werden im NAS bei den Diensten und den erweiterten Einstellungen geändert, ich denke aber, dein Hauptproblem ist der obere Punkt.

 

[Jen1909]

Also ich habe beide Dinge getestet.
Wenn NetBios deaktiviert und Exposed Host Funktion aktiviert ist, dann funktioniert der Zugriff von Netz 177 WinExplorer auf die DS im 178 Netz.
Wenn Exposed Host aber aktiv ist, dann ist die DS komplett ungeschützt laut Fritzbox Hinweis.
Was kann man hier nun tun um den Zugriff zu gewähren, aber dabei geschützt im Internet zu sein?

 

[c0smo]

Das muss ich jetzt mal sacken lassen.
Sind beide Boxen als Router konfiguriert oder als Bridge (wenn bridge überhaupt machbar ist). Sollen alle Geräte im 177er Netz online gehen können?

Auf alle Fälle Exposed Host deaktivieren und schauen ob das deaktivierte NETBIOS der beider Boxen ausreichend ist.
Falls das nicht hilft, müssen wir schauen wie wir am besten TCP 445 NUR für die 178er Box weiterleiten können.
Muss msl in meine Box schauen

 

[Jen1909]

Nur NetBios Deaktivierung reicht nicht aus. Es muss Exposed Host zusätzlich aktiviert sein.

Beide Boxen sind Router.

 

[blurrrr]

Exposed Host ist auch total sinnvoll, wenn es durch's VPN gehen soll... (nicht!) K.A. was bei Dir da schief hängt, aber hier funktioniert es einwandfrei (und auch ältere Einrichtung mit S2S-FB-VPN mit entsprechenden NAS-Geräten dahinter funktionieren (bis dato) noch einwandfrei).

 

[c0smo]

Wo steht was von VPN?
Es sind 2 interne Netze in denen SMB/CIF nicht geroutet wird. Oder was meinst du?
Ahh.. Meinst du die LAN to LAN Kopplung in der FB unter VPN einrichten?
Die Funktion kannte ich bisher gar nicht
Dachte er meint das Sinnbildlich.

@Jen1909
Hast du die aktiviert?

 

[blurrrr]

Ach, es geht garnicht um ein S2S-VPN? Achsoooo.... ? Das erklärt natürlich wieder so einiges... Dann frag ich mal ganz doof, da das ja anscheinend noch nicht geklärt wurde... WO steht bitte WAS und in welcher Reihenfolge?! Mutmaßend mit diesem "exposed Host"-Unsinn, rate ich jetzt einfach mal:

<Internet>-|-<FB1 (177)>-|-<FB2 (178)>--<NAS>

Kommt das so ungefähr hin? Wenn ja, wäre das schon recht unsinnig, da sollte man das NAS einfach direkt ins 177er Netz werfen, schon allein aufgrund der NAT-Thematik...

Alternativ hat Deine DS 2 NICs, dann schmeiss eine Strippe direkt ins 177er Netz (die andere kannste ja im 178er lassen), Firewall auf der DS entsprechend den Netzzugriffswünschen (pro Netz/NIC) anpassen und fertig.

Ansonsten, wenn Dir der Netzaufbau so gefällt, schmeiss die eine (mittige) Fritzbox komplett raus und pack was vernünftiges dahin und jut ist, dann funktioniert sowas nämlich auch... (irgendwas mit 2 NICs und einem System, was nicht zwingend NAT vorschreibt und "freier" konfigurierbar ist und für diesen Einsatzzweck auch gedacht ist, z.B. Hardware mit pfSense oder dergleichen).

EDIT:

Was kann man hier nun tun um den Zugriff zu gewähren, aber dabei geschützt im Internet zu sein?

Zum einen - wie gehabt - Firewall der Syno benutzen, zum anderen hängt sowieso noch die Firewall der ersten Fritzbox davor (sofern das o.g. Konstrukt korrekt ist).

 

[c0smo]

Der Exposed Host Blödsinn wurde initiert, weil ICH schauen wollte ob es ein Port Problem ist - was es ja ist
Das soll natürlich keine Dauerlösung sein!
Es geht nur noch darum, wie er die SMB Ports nur für die 178er Box freimachen kann.
Das mit den 2 NICs und einer zusätzlichen Leitung ist vermutlich die schnellste Lösung.

 

[blurrrr]

Najo, wenn alles so bleiben soll, dann muss halt exposed Host + entsprechende Firewallregeln auf der Syno - ganz normal halt.

 

[Jen1909]

Also der Aufbau ist wie folgt:

<FB2 (177)> | -- VPN -- | <FB1 (178)> -- NAS

FB2 und FB1 sind örtlich ca. 5 km getrennt in unterschiedlichen Haushalten.

 

[blurrrr]

Wo steht was von VPN?

? ? ? (sorry, dat musste nu sein ??)

 

[blurrrr]

@Jen1909 Also dann mal ganz trocken: Alles an Portweiterleitungen (bzgl. SMB, etc.) RAUS (beide Seiten), alles bzgl. exposed Host RAUS (beide Seiten), VPN nochmal komplett wegschmeissen und nochmal komplett neu einrichten die Site-to-Site-Strecke. Ich hab das erst vor ein paar Monaten gemacht und das hat direkt einwandfrei funktioniert. Ich nutze das selbst auch und hab bisher "nie" Probleme damit gehabt (ausser falsche Firewall-Regeln auf dem NAS vllt (vertippt)).

EDIT: Kannst mal hier schauen: https://www.synology.com/de-de/knowledgebase/DSM/tutorial/File_Sharing/Why_cant_access_shared_folder aber tu Dir bitte selbst einen Gefallen und lass diesen Schwachsinn von wegen:

Wenn Sie über das Internet auf den Synology NAS zugreifen möchten, müssen die Portweiterleitungsregeln für SMB oder AFP auf dem Router korrekt konfiguriert sein. 2

Das lass bitte bloss sein, das ist völliger Blödsinn. Durch die Site-to-Site-Verbindung können sich sämtliche Geräte beider Netzwerke eigentlich ohne wenn und aber erreichen (lediglich Broadcasts gehen nicht, da wird aber auch keine Portweiterleitung etwas dran ändern).

Zugriff dann testen via Datei-Explorer: "\\<IP Remote-NAS>\<Name gemeinsamer Ordner>"

Alternativ geht auch einfach nur: "\\<IP Remote-NAS\", dann sollten die zur Verfügung stehenden gemeinsamen Ordner direkt aufgelistet werden

Wenn nicht... gib nochmal Bescheid ??