Datei- und Duckerfreigabe nach VPN-Einwahl reagiert nicht

Norn

Cadet 3rd Year
Registriert
Aug. 2013
Beiträge
32
Hallo Leute!

Ich habe zwei 7490er Fritz!Boxen per VPN miteinander verbunden. Das heißt, dass sich die eine Fritz!Box (Zuhause) bei Bedarf mit dem LAN der anderen Fritz!Box (Firma) verbindet. Soweit so gut. Alles klappt prima.

An der Fritz!Box in der Firma hängt eine Festplatte, welche als NAS dient. Nun möchte ich von meinem PC Zuhause (Windows 7 64-Bit) eine Verbindung zum NAS als Netzwerklaufwerk herstellen, was allerdings mit folgender Fehlermeldung fehlschlägt:

"Datei- und Druckerfreigaberessource (192.168.10.1) ist online, antwortet jedoch nicht auf Verbindungsversuche."

Die obige IP gehört zur Fritz!Box in der Firma.

Im Tooltip der Fehlermeldung steht noch folgender Hinweis.

"Der Remotecomputer antwortet nicht auf Verbindungen an Port 445. Dies kann an den Firewall- und Sicherheitseinstellungen liegen oder daran, dass er temporär nicht verfügbar ist. Es wurden keine Probleme mit der Firewall des Computers festgestellt."

Hat jemand eine Idee, was noch falsch läuft?

Eine Bemerkung noch. Ich habe den ganzen Spaß schon einmal mit zwei Fritz!Boxen auf das gleiche NAS erfolgreich(!) durchgeführt. Damals allerdings als LAN-LAN-Koppelung und nicht als VPN-Einwahl. Das klappt bis heute prima.

Danke für eure Hilfe.
 
Also... hast du überhaupt eine vpn Verbindung herstellen können? Und kannst du mit vpn auf das andere vpn zugreifen?

sind beide interne ip genug „auseinander „ damit kein Konflikt entsteht? Z.b. Home : 192.168.155.xx (noch besser wäre 10.10.0.xx) und Büro: 192.168.10.xx?
 
chrigu schrieb:
Also... hast du überhaupt eine vpn Verbindung herstellen können? Und kannst du mit vpn auf das andere vpn zugreifen?

Ja, die Verbindung steht. Ich kann den Firmenrouter anpingen und mein Heimrouter bekommt auch eine IP aus dem Firmen-LAN zugewiesen.


chrigu schrieb:
sind beide interne ip genug „auseinander „ damit kein Konflikt entsteht? Z.b. Home : 192.168.155.xx (noch besser wäre 10.10.0.xx) und Büro: 192.168.10.xx?

Ja, dies habe ich beachtet. Das Heimnetz ist 192.168.0.0/24. Das Firmennetz ist 192.168.10.0/24.

Die VPN-Verbindung ist nicht das Problem. Diese funktioniert.

Heimrouter:
Heimrouter.jpg

Firmenrouter:
Firmenrouter.jpg

Ping:
Ping.jpg
 
Zuletzt bearbeitet:
Warum steht beim heimrouter „entferntes Netz. 0.0.0.0“ .... könnte da der fehler liegen?
 
chrigu schrieb:
Warum steht beim heimrouter „entferntes Netz. 0.0.0.0“ .... könnte da der fehler liegen?

Darüber bin ich auch schon gestolpert. Sehe es allerdings nicht als Problem an. Aber vielleicht es das ja doch. Keine Ahnung!

Ich erkläre es mir so, dass es eine Art Platzhalter ist. Die aufgebaute VPN-Verbindung des Heimrouters bekommt vom Firmenrouter eine IP (192.168.10.2) aus dem Firmennetz zugewiesen. Da die VPN-Verbindung nun zum entfernten Firmennetzwerk gehört, gibt es für sie kein entferntes LAN mehr.

Im Firmenrouter ist der Eintrag umgekehrt. Hier fällt es mir richtig schwer zu beschreiben, was der Eintrag in Worten ausgedrückt bedeuten soll.

Ich weiß nicht, ob dies der Fehler ist und ich weiß auch nicht was ich dagegen tun könnte.

Jemand eine Idee?
Ergänzung ()

Ich habe soeben festgestellt, dass ich per Browser (http://192.168.10.1/nas/) sehr wohl auf das NAS des Firmenrouters zugreifen kann. Nur über die Netzwerkfreigabe (also als Netzwerklaufwerk) funkioniert es weiterhin nicht. :(
 
Zuletzt bearbeitet:
Hab selbst keine Fritzbox, aber die Fehlermeldung deutet auf eine Firewall hin. Port 445 gehört zur Netzlaufwerk - Kommunikation. Sofern die NAS Platte in der Firma direkt via Netzlaufwerk erreichbar ist, via VPN aber nicht, scheint die Fritzbox in der Firma intern das NAS per Firewall zu blockieren. Inwiefern das mit dem VPN-Modus zu tun hat, kann ich nicht beurteilen.

Was für eine Firma ist das denn bzw wie groß ist sie? Fritzboxxen und das Fritz-NAS sind vorwiegend für den privaten Einsatz gedacht. Evtl sollte man eine geeignetere Lösung in Betracht ziehen.
 
Wie hast du denn jetzt die beiden FritzBoxen miteinander verbunden?

Hast du auf der Heim-FritzBoxebei der Einrichtung der VPN-Verbindung den
Punkt "Diese FRITZ!Box mit einem Firmen-VPN verbinden" ausgewählt!?

Bei dieser Einrichtung musst du ja unter anderem einen VPN-Benutzernamen für die VPN-Einwahl angeben.

Diesem Benutzer muss auf der anderen FritzBox der Zugriff auf das NAS erlaubt sein.

In den Einstellungen dieses Benutzers auf der Firmen-FritzBox muss also der Punkt "Zugang zu NAS-Inhalten" aktiviert sein.

Die VPN-Konfiguration sieht aber auch noch dazu merkwürdig aus.

Auf der Firmen-FritzBox steht als entferntes Netzwerk die 192.168.10.2,
was ja gar kein Netzwerk ist und noch dazu eine IP-Adresse aus dem eigenen Subnetz.

Da sollte doch eigentlich das entfernte Netzwerk stehen,
also wenn überhaupt müsste dort 192.168.0.0/24 stehen.

Auf der Heim-FritzBox müsste als entferntes Netzwerk 192.168.10.0/24 stehen.

Die Konfiguration des VPNs auf beiden FritzBoxen würde ich nochmal überprüfen,
sieht komisch aus, finde ich.

Gruß, Datax
 
Zuletzt bearbeitet:
@Raijin
Ich sehe das ähnlich. Es scheint ein Firewallproblem zu sein. Allerdings nicht unbedingt des Routers in der Firma, sondern eher des Heimrouters. Mir erscheint es so als ob der Heimrouter den Port 445 nicht an meinen Heim-PC weiterleitet. Ach ja, die Firewall auf dem Heim-PC hatte ich übrigens testweise schon mal deaktiviert - ohne Ergebnis.

Es stimmt nicht ganz, dass das NAS über VPN nicht erreichbar ist. Innerhalb des Firmennetzes, also wenn ich zwei Fritz!Boxen über LAN-LAN koppele, funktioniert die Netzwerkfreigabe hervorragend.

Raijin schrieb:
Was für eine Firma ist das denn bzw wie groß ist sie? Fritzboxxen und das Fritz-NAS sind vorwiegend für den privaten Einsatz gedacht. Evtl sollte man eine geeignetere Lösung in Betracht ziehen.

Es handelt sich um einen kleinen Pflegedienst mit drei Standorten/Büros. Wenn zwei Leute/PCs gleichzeitig auf das NAS zugreifen, dann ist das schon viel. Mir wäre eine andere Lösung auch lieber, aber dafür muss ich meinen Chefs noch etwas bearbeiten. :)
Ergänzung ()

@Datax
Datax schrieb:
Hast du auf der Heim-FritzBoxe bei der Einrichtung der VPN-Verbindung den
Punkt "Diese FRITZ!Box mit einem Firmen-VPN verbinden" ausgewählt!?

Ja, genau.


Datax schrieb:
Bei dieser Einrichtung musst du ja unter anderem einen VPN-Benutzernamen für die VPN-Einwahl angeben.
Diesem Benutzer muss auf der anderen FritzBox der Zugriff auf das NAS erlaubt sein.
In den Einstellungen dieses Benutzers auf der Firmen-FritzBox muss also der Punkt "Zugang zu NAS-Inhalten" aktiviert sein.

Richtig. Beides habe ich beachtet.


Datax schrieb:
Die VPN-Konfiguration sieht aber auch noch dazu merkwürdig aus.
Auf der Firmen-FritzBox steht als entferntes Netzwerk die 192.168.10.2,
was ja gar kein Netzwerk ist und noch dazu eine IP-Adresse aus dem eigenen Subnetz.

Obige IP ist die IP, welche der Firmenrouter der VPN-Einwahl des Heimrouters zuweist. Es macht schon Sinn, dass das eine IP aus dem Subnetz des Firmennetzes ist und es stimmt auch, dass diese IP "entfernt" ist. Dein Punkt, dass das ja kein Netz, sondern eben nur eine einzelne IP ist, ist natürlich richtig.


Datax schrieb:
Da sollte doch eigentlich das entfernte Netzwerk stehen,
also wenn überhaupt müsste dort 192.168.0.0/24 stehen.

Sehe ich genauso. Tut es aber leider nicht.


Datax schrieb:
Auf der Heim-FritzBox müsste als entferntes Netzwerk 192.168.10.0/24 stehen.

Im Heimrouter steht unter entferntes Netz "0.0.0.0", worin ich kein großes Problem sehe. Klar wäre "192.168.10.0/24" schöner.


Datax schrieb:
Die Konfiguration des VPNs auf beiden FritzBoxen würde ich nochmal überprüfen, sieht komisch aus, finde ich.

Das werde ich tun. Irgendwie sehe ich, wenn ich einen mache ;), meinen Fehler nicht.
Das wiederum ist der Grund, warum ich hier poste und euch um Hilfe bitte.
An dieser Stelle vielen Dank für eure bisherige Zeit und Mühe.
 
Zuletzt bearbeitet:
@ Norn

Was für Benutzer hast du denn auf der FritzBox eingerichtet,
auf der die NAS-Funktion aktiviert ist?

Einen für die VPN-Einwahl und einen zusätzlichen für den Zugriff auf das NAS!?

Hast du die Option "Anmeldung mit FRITZ!Box-Benutzernamen und Kennwort" unter
"System" --> "FRITZ!Box-Benutzer" --> Reiter "Anmeldung im Heimnetz" -- > "Anmeldung mit FRITZ!Box-Benutzernamen und Kennwort" aktiviert?

Gruß, Datax
 
Der Benutzer "VPN-MeinVorname" hat beide Rechte. Er darf sowohl eine VPN-Verbindung aufbauen als auch auf das NAS zugreifen.

Ja, die Router sind so eingestellt, dass die Anmeldung an diesen mit Fritz!Box-Benutzernamen und Kennwort zu erfolgen haben.
 
Zuletzt bearbeitet:
Hm, routingtechnisch kannst du ja per "Ping" die NAS-FritzBox erreichen.

Heißt für mich, dass der VPN-Tunnel funktioniert.

Die Meldung ""Der Remotecomputer antwortet nicht auf Verbindungen an Port 445." deute ich so,
dass der SMB-Server auf der NAS-FritzBox die Verbindung ablehnt.

Akzeptiert das FritzBox-NAS nur Zugriffe aus dem eigenen Subnetz!?

Funktioniert denn das NAS grundsätzlich?

Hast du mal einen Zugriff aus dem Subnetz der NAS-FritzBox getestet?
 
Ich kann das NAS nicht nur per Ping erreichen, ich kann sogar darauf zugreifen. Im Browser http://192.168.10.1/nas/ aufrufen und mit Hilfe von Benutzername und Passwort anmelden. Schon bin ich drauf.

Die vorhandene LAN-LAN-Koppelung zweier Firmen-LANs funktioniert ebenfalls. Das NAS reagiert also auf Anfragen aus dem anderen Firmen-LAN.

Das NAS funktioniert im eigenen LAN als Netzlaufwerk. Ich nutze es nahezu täglich auf Arbeit - also vor Ort.

Das Einzige, was eben nicht funktioniert, ist der Zugriff per Netzwerkfreigabe (Netzlaufwerk) nach einer VPN-Einwahl von Zuhause aus.

Dies kann nur am Firmenrouter, am Heimrouter oder an meinem Heim-PC liegen.

Meine Vermutung ist, dass der Heimrouter den Port 445 nicht an meinen Heim-PC weiterleitet.

Die Frage ist nun, ob dem so ist und wie ich das ändern kann?
 
Norn schrieb:
Dies kann nur am Firmenrouter, am Heimrouter oder an meinem Heim-PC liegen.

Meine Vermutung ist, dass der Heimrouter den Port 445 nicht an meinen Heim-PC weiterleitet.
Ich sag mal: Nö.

Der Heimrouter sieht den Port 445 überhaupt nicht.


PC(VPN) ------[Heimrouter]-----> (VPN) NAS:445

Der Heimrouter sieht nur den VPN-Tunnel an sich, nicht jedoch die gekapselten Daten. Sämtliche Zugriffe durch den VPN-Tunnel hindurch, sei es SMB@445, HTTP@80 oder auch FTP@21, sieht der Router gar nicht, weil alle Pakete gekapselt auf dem VPN-Port bei ihm durchlaufen. Das ist so als man einen Brief in einem Brief schickt. Der Postbote sieht nur den Außenbrief an Max Mustermann, den Innenbrief, der an Otto Normal addressiert ist, sieht nur Max Mustermann, der seinen Brief ja öffnet. Die Antwort wird ebenso gekapselt, geht aber natürlich nicht an Port 445, sondern kommt von Port 445 an einen beliebigen Ausgangs-Port auf dem Quell-PC (zB 23456), aber auch davon bekommt der Heimrouter nichts mit, weil alles über den VPN-Port läuft.


Wenn du das NAS Pingen kannst, ist das Routing in Ordnung, die IP 192.168.10.1 wird also erfolgreich über das VPN geschickt.
Wenn der Zugriff auf den Webserver (http@80) funktioniert, ist die NAS-Firewall dafür freigeschaltet.
Wenn der Zugriff auf das Netzlaufwerk (u.a. SMB@445) nicht funktioniert, ist die NAS-Firewall wohl nicht dafür freigeschaltet.


Leider kann ich mangels Fritzbox keine konkrete Hilfestellung geben und nur anhand der Symptome beurteilen. Es kann durchaus sein, dass ein Site2Site-VPN anders gehandhabt wird als ein Client2Site- bzw. Client2Client-VPN. Authentifizierung, etc.

Am Heim-PC sollte es eigentlich auch nicht liegen. Du könntest höchstens mal in die Firewall gucken und bei den erweiterten Einstellungen und den ausgehenden Regeln nach besagtem Port 445 suchen. Ist der für das entfernte Subnetz freigegeben bzw. das Profil des VPN-Tunnels entsprechend eingestellt (zB nicht öffentlich), dann sollte es da keine Probleme geben.
 
Gib' mal im Windows-Explorer folgenden UNC-Pfad ein,
wenn der VPN-Tunnel steht:

\\192.168.10.1\fritz.nas

Bitte mal zurück melden, ob du so auf das NAS kommst.

Gruß, Datax
 
@Raijin

Raijin schrieb:
PC(VPN) ------[Heimrouter]-----> (VPN) NAS:445

Dein "Diagramm" ist falsch. Die VPN-Verbindung wird nicht vom Heim-PC, sondern vom Heimrouter aufgebaut. Der Tunnel besteht also nur zwischen Heim- und Firmenrouter.

Heim-PC ----- Heimrouter (VPN-Aufbau) ------ Firmenrouter mit NAS (VPN-Einwahl)

Raijin schrieb:
Leider kann ich mangels Fritzbox keine konkrete Hilfestellung geben und nur anhand der Symptome beurteilen. Es kann durchaus sein, dass ein Site2Site-VPN anders gehandhabt wird als ein Client2Site- bzw. Client2Client-VPN. Authentifizierung, etc.

Mir sagen die Begrifflichkeiten Site2Site-, Client2Site- oder Client2Client-VPN nichts. Was ist mit welchem Begriff gemeint? Site2Site entspricht wohl einem Router-zu-Router-VPN.


Raijin schrieb:
Am Heim-PC sollte es eigentlich auch nicht liegen. Du könntest höchstens mal in die Firewall gucken und bei den erweiterten Einstellungen und den ausgehenden Regeln nach besagtem Port 445 suchen. Ist der für das entfernte Subnetz freigegeben bzw. das Profil des VPN-Tunnels entsprechend eingestellt (zB nicht öffentlich), dann sollte es da keine Probleme geben.

Zu Testzwecken hatte ich die Firewall bereits schon einmal deaktiviert bzw. einen Test-PC dafür verwendet.

Als ich damals innerhalb der Firma das VPN über eine LAN-LAN-Koppelung einrichtete, musste ich dafür tatsächlich die Windows-Firewall in dem LAN anpassen, in welchem sich das NAS nicht befindet. Das war jedoch alles kein Problem.
Ergänzung ()

@Datax

Nein, so komme ich nicht auf das NAS.
Für die dazugehörige Fehlermeldung siehe meinen ersten Post.
 
Zuletzt bearbeitet:
Aso, ich dachte mit "VPN-Einwahl" war ein Roadwarrior mit VPN-Client auf dem PC gemeint.

Site2Site, etc bezeichnen einfach verschiedene VPN-Szenarien und das jeweilige Routing. Bei Site2Site sollen explizit beide LANs hinter den VPN-Gateways miteinander verbunden werden - das wäre dann also wohl laut AVM die LAN-LAN-Kopplung. Bei Client2Site wird im Prinzip nur dieser eine Client das entfernte Netz erreichen. Dazu wird auf dem Client explizit eine VPN-Software installiert, mit der die Verbindung aufgebaut wird. Ein klassisches Szenario wäre der Zugriff auf das heimische NAS vom Hotel aus.
 
Schreib' doch einfach mal den AVM-Support zu diesem Problem an.

Die können dir dabei bestimmt weiterhelfen und antworten recht schnell.

Das ist ja jetzt nichts Ungewöhnliches, was du da machen möchtest.

Sollte doch machbar sein.

Wenn man die VPN-Einwahl per PC macht, kann man ja auch auf Netzwerkfreigaben des entfernten Netzwerkes zugreifen...

Kannst du testweise mal die Einwahl per "FRITZ!Fernzugang" oder "Shrew Soft VPN Client" über den PC einrichten?

Auf der AVM-Webseite gibt es zur Einrichtung auch entsprechende Anleitungen.

Gruß, Datax
 
Nach einigem Hin und Her mit AVM habe ich abschließend folgende E-Mail erhalten:

Guten Tag XXX,

vielen Dank für Ihre Geduld während der Analyse.

Eine gründliche Prüfung der Support-Daten hat keine Fehler innerhalb der Konfigurationen der FRITZ!Box ergeben. Als letzte mögliche Maßnahme seitens der FRITZ!Boxen empfehle ich, den s.g. NetBIOS-Filter in beiden FRITZ!Boxen abzuschalten. Dieser kann u.U. ein korrektes Funktionieren der Freigaben über die Grenzen eines Heimnetzes hinweg verhindern.

Bitte nutzen Sie folgenden Link, um die entsprechenden Maßnahmen aufzurufen:

° Datei- und Druckerfreigaben eines Computers sind über das Internet nicht erreichbar

Bitte starten Sie im Anschluss an diese Maßnahmen sämtliche beteiligten Geräte (Computer und FRITZ!Boxen) neu.

Sollte trotz Umsetzung dieser Maßnahmen kein Zugriff möglich sein, habe ich leider keine weiteren Ansätze zur Lösung. Da ein Zugriff auf die Funktionen des SMB-Protokolls via VPN von mehreren Faktoren abhängt, kann ich ein Funktionieren leider nicht garantieren.

Freundliche Grüße aus Berlin
XXX (AVM Support)

Ich bin also wieder da, wo ich bereits am Anfang war. Geändert hat sich nichts und mein Problem besteht weiterhin.
:(:(:(
 
@ Norn:

Hast du auf dem PC, mit dem du auf die Netzwerkfreigabe der entfernten FritzBox-NAS zugreifen möchtest,
eine Virenschutzsoftware ( AV-Programm ) installiert?

Vielleicht hat dieses AV-Programm auch eine Funktion,
die den Netzwerkverkehr scannt und ggf. blockiert!?

Für einen Test könntest du die Schutzfunktion dieses AV-Programms einfach mal kurzzeitig vollständig abschalten...

Hast du den Tip von "AVM" denn auch befolgt,
so dass der NetBIOS-Filter nun auf beiden FritzBoxen abgeschaltet ist?

Gruß, Datax
 
Zurück
Oben