LAN WAN SMB Zugriff funktioniert aber warum?

[PokeSiMon]

Hallo zusammen - hoffe jemand kann mir helfen:

Folgendes Setup: Ich habe so eine kleine Router-Box, mit interner Firewall.
Die Box kann LAN und hat auch einen WAN Port.

Im LAN Bereich (static IPs) befindet sich ein Rechner mit einer SMB-Share welche vom WAN aus (static IPs) erreichbar ist.
Dafür habe ich eine entsprechende FireWall Roule in der Box kreiert und das funktioniert auch wie gewünscht.
Alle Rechner im WAN Bereich können nun auf die Share im LAN zugreifen, so weit, so gut.
Einer der Rechner im WAN ist ein Laptop, der auch ohne Probleme zugreifen kann.

Nun wollte ich diesen Laptop für Testzwecke einfach direkt an den WAN-Port der Router-Box anschließen und so auf die Share im LAN zugreifen.
Ich habe im LAN Adapter des Laptops eine statische IP im Adressbereich des WAN Ports vergeben
Als Gateway habe ich die IP des WAN Ports vergeben.

Leider geht es einfach nicht.

Wenn ich nun versuche auf die Share im LAN zuzugreifen kriege ich immer Fehlermeldungen.
Es liegt nicht an Richtlinien, oder SMB Kompatibilität, oder ähnlichem, denn der Laptop hatte vorher problemlos Zugriff.
Der einzige unterschied ist das der Laptop vorher an einem Gateway angeschlossen war, jetzt aber direkt am WAN Port hängt.

Kann mir jemand sagen, warum ich so nicht auf die SMB im LAN zugreifen kann?

Danke!


PS: Keine Sorge, ich weiß, um die Gefahr FireWalls vom WAN aus zu für SMB Zugang öffnen, aber es handelt sich um ein Test Setup ohne Internetzugang.

 

[chr1zZo]

Ehmm.. Der WAN Port ist doch für das Internet und nicht dafür da ihn als Netzwerkverteiler (LAN) zu nutzen?
Solche Freigaben macht man doch nicht via WAN.
Die Freigabe in der Firewall scheint wohl via LAN blockiert, wenn du Sie nur via WAN frei gibst.

Was ist denn das für eine RouterBox? Solche Freigaben von außen macht man via VPN!

 

[Raijin]

Ich habe so eine kleine Router-Box, mit interner Firewall.
Die Box kann LAN und hat auch einen WAN Port.

Bitte grundsätzlich immer so präzise Angaben machen wie möglich. Ich könnte aus dem Stand wahrscheinlich 20 Geräte von verschiedenen Herstellern mit verschiedenen Betriebssystemen aufzählen, die allesamt auf die Beschreibung "kleine Router-Box" passen.

Wenn ich nun versuche auf die Share im LAN zuzugreifen kriege ich immer Fehlermeldungen.

Wie greifst du konkret auf die Freigabe zu und welche Fehlermeldungen kommen? Sollen wir das raten?

Dafür habe ich eine entsprechende FireWall Roule in der Box kreiert und das funktioniert auch wie gewünscht.

Und du verwechselst das jetzt auch nicht Firewall mit Portweiterleitung? Das sind zwei Paar Schuhe

 

[Nilson]

Zeichne mal dein Netzwerk auf und pack da so viel Infos wie möglich rein.
Dazu sind deine Angaben "Router-Box"/"Gateway" doch recht allgemein um konkret was sagen zu können

 

[Raijin]

Gerne auch konkret die IP-Adressen der WAN- bzw LAN-Schnittstelle des fraglichen Routers, des Rechners mit der Freigabe hinter dem Router sowie die IP, die du am Laptop eingestellt hast.

Darüber hinaus wie bereits geschrieben ganz konkret mit welchem Befehl, Klick, etc du die Freigabe anbinden willst - inkl. des verwendeten Pfads zur Freigabe.

Schön wären auch Screenshots von der verneintlichen Firewalleinstellung im Router, die sich mutmaßlich als Portweiterleitung entpuppen wird.

 

[PokeSiMon]

Habe das mal aufgezeichnet und hoffe es trägt zum Vertändnis bei

 

[Raijin]

Wie erwartet, das ist eine Portweiterleitung und keine Firewall. Firewall sagt nur "erlaubt" oder "verboten". Portweiterleitung sagt "alles, was am WAN auf Port x ankommt, an die IP y im LAN weiterleiten".
Bei einer Portweiterleitung musst du ein Gerät im LAN über die WAN-IP des Routers ansprechen und NICHT mit der LAN-IP des Zielgeräts. Ein WAN-LAN-Router routet ohne tiefergehende Eingriffe nur in eine Richtung LAN>>>WAN, aber nicht andersherum.

Du musst also am Laptop (192.168.1.138) ein Netzlaufwerk mit \\192.168.1.137\test anbinden. Daraufhin geht der SMB-Request an die IP des Routers, dieser merkt, dass da etwas auf TCP 445 ankommt, schaut in seine Portweiterleitungen und sieht die Weiterleitung für TCP 445 nach 192.168.0.11.

Nur in einem voll gerouteten Netzwerk kannst du direkt die 192.168.0.11 verwenden und dann benötigt der Laptop eine Route in das 192.168.0.0/24 Subnetz über das Gateway 192.168.1.137 oder die Standardroute muss auf die 192.168.1.137 zeigen.

 

[PokeSiMon]

Ich war heute noch mal dort weil es mich einfach nicht in Ruhe gelassen hat das Thema.

Nach meinem Verständnis hätte es funktionieren müssen aber irgendwie tat es einfach nicht.

Vor allem die Tatsache es der gleiche Laptop war der einfach nicht mehr wollte, wenn er direkt am WAN war.

Heute habe ich also Wireshark auf meinem Laptop am laufen gehabt um das Fehlschlagen der Verbindung zu dokumentieren.

Lustigerweise funktioniert es aber einfach so und zwar mit dem Laptop direkt am WAN.

Ich meine aber dass ich gestern möglicherweise einen Fehler gemacht habe und zwar folgender:

Anstatt dem Laptop einfach nur eine IP-Adresse im selben IP Adressbereich vom WAN zu geben, habe ich wahrscheinlich die WAN IP-Adresse als Gateway im Laptop angegeben.

Mir ist zwar unverständlich warum das zu einem Fehlschlag der Verbindung führen sollte denn eigentlich schaut der Laptop ja nur im Gateway wenn er im lokalen Netz nichts findet...

Vielleicht lag es auch daran dass ich einfach gestern alles abgebaut und heute nochmals komplett von vorne neu verkabelt und bei neu gestarteten Komponenten getestet habe.

Jedenfalls vielen Dank für die Unterstützung