Probleme mit Netzlaufwerk und VPN

RebelAngel

Lieutenant
Dabei seit
Feb. 2006
Beiträge
661
Um einmal weiter auszuholen - prinzipiell möchte ich aus der Ferne auf meine Musikdateien zugreifen. Die Liegen auf 2 Festplatten, die via USB mit meinem Asus-Router verbunden sind. Zusätzlich gibt es einen Android BubbleUPNP-Server. Klappt vom Handy aus alles bestens unterwegs und im WLAN. Nun möchte ich das gleiche auch mit dem Laptop erreichen. Im Heim-WLAN kein Problem, ich kann sowohl ein Netzlaufwerk verbinden und auf die Dateien zugreifen und es wird auch in Foobar der Server erkannt. Wenn ich aber über ein anderes Netzwerk einsteigen möchte (mit aktiviertem VPN) klappt das alles nicht wirklich. Die Verbindung zu den Netzlaufwerken haut nicht hin und Foobar kann sich zwar zum Server verbinden, listet aber weder den Server noch die Einträge auf. Kann mir da vielleicht jemand tipps geben, wie das mit den Netzlaufwerken klappen könnte? Ich denke, das ist wahrscheinlich der einfachere Weg...
 

Wulfman_SG

Lt. Commander
Dabei seit
Juli 2005
Beiträge
1.525
Hier könnte es helfen die Konfig vom VPN-Server (selbstverständlich ohne Sicherheitsrelevanten Details) zu haben und vom VPN-Client.

Worauf ich hinaus will:
Ich nutze einen Pi-Hole als DNS-Server. Lokal klappt das natürlich. Für Remote muss ich OpenVPN laufen haben. Die Standardfunktion OpenVPN auf Pi-Hole ist: Schicke vom Client alle DNS-Abfragen durch das VPN. Das klappt. Jetzt hab ich aber auch LAN-Systeme die ich remote via TUNNEL erreichen möchte. Dazu muss ich dann in der Server-Konfig sagen: Route ALLES was LAN-IP-Adressen hat, durch den Tunnel. Das Endgerät versucht sonst nämlich die LAN-IP in dem Netz in dem du dich gerade befindest zu routen - das klappt natürlich nicht - LAN muss durch den Tunnel gehen. OpenVPN (PiVPN) in defaultkonfig war halt nicht wirklich zu gebrauchen.

ICH kann dir zwar deine VPN-Konfig nicht "Korrigieren" - aber potentielle Helfer könnten die halt brauchen ;)
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.174
Wenn es unterwegs am Smartphone mit VPN funktioniert, ist zumindest im Router, dem VPN-Server sowie dem NAS (ggfs alles in einem Gerät) soweit alles korrekt. Bleibt eigentlich nur die Konfiguration des VPN-Clients übrig. Da "VPN" aber ungefähr so spezifisch ist wie "Auto", kann man nicht wirklich etwas dazu sagen. Schließlich kann es sich um OpenVPN handeln, IPsec, Wireguard oder was es sonst noch so gibt (im worst case gar PPTP).
 

Madman1209

Fleet Admiral
Dabei seit
Nov. 2010
Beiträge
24.973
Hi,

oder am Endgerät, sprich Software-Firewall, andere "Sicherheits"-Software, diverse Einstellungen etc

VG,
Mad
 

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Stimmt, das hätte ich dazu schreiben sollen...ich nutze OpenVPN am Router und auch als Zugangssoftware. Software-Firewall am Laptop drehe ich zum Probieren ab, ändert aber leider nix. Ich poste hier jetzt einmal Einstellungen, ich hoffe, damit lässt sich schon etwas sagen :-)

VPN3.jpg
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.174
Das ist nur die Server-Konfiguration. Die Frage ist wie der Client konfiguriert ist. Es muss ja eine client.ovpn, o.ä. geben.


Routing
Entweder muss der Client eine Route ins Heimnetzwerk über den VPN-Server haben oder aber das Standardgateway muss auf die IP des VPN-Servers umgelegt werden sofern ein Zugriff auf das Heimnetzwerk hinter dem Asus via VPN vonnöten ist
--> Frage1: Kannst du vom VPN-Client aus die VPN-IP des Asus pingen?
--> Frage2: Kannst du vom VPN-Client aus die LAN-IP des Asus pingen?
--> Frage3: Kannst du vom VPN-Client aus die LAN-IP eines anderen Geräts im Heimnetzwerk pingen?


DNS
Sofern über Namen auf ein Gerät im Heimnetzwerk zugegriffen wird, muss OpenVPN auch den DNS des Clients auf die IP des VPN-Servers ändern.
--> Frage: Versuchst du via IP oder via Name auf das Netzlaufwerk zuzugreifen?

Firewall
Die Firewall des Betriebssystems am Client muss die SMB-Ports ausgehend in Richtung VPN sowie die eingehenden Antworten aus dem VPN erlauben (sollte standardmäßig so sein).
--> Frage: Wird das VPN-Netzwerk von Windows als öffentlich, privat oder domain eingestuft?

Broadcasts
UPnP baut auf Broadcasts auf. Sie sind per Definition nur im lokalen Subnetz gültig. Sofern der UPnP-Server ebenfalls im VPN ist - scheint hier ja direkt der VPN-Server/Asus zu sein - sollten die Broadcasts auch funktionieren. Steht der UPnP-Server aber hinter dem VPN, wird also mit der IP-Adresse aus dem Heimnetzwerk angesprochen, funktionieren Broadcasts nicht, weil sie nicht durch das VPN ins Heimnetzwerk geroutet werden.
 

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Zumindest die DNS-Frage kann ich sofort beantworten: Ich versuche über den Namen zuzugreifen, dass ist wahrscheinlich die falsche Variante...aber leider weiß ich nicht, wo ich die korrekte IP herbekomme.

VPN-Netzwerk sollte auf Privat gesetzt sein, das checke ich noch. Ebenso den Ping, ich gleiche gerade Daten mit dem neuen Laptop ab, wenn das durch ist, gehe ich wieder übers Mobiltelefon ins Netz und schalte den VPN ein.

Bei der UPNP-Sache bin ich ehrlich gesagt "ausgestiegen". der Asus-Router macht einen "Musikserver", auf den kann ich im internen Netz zugreifen. Dann läuft noch zusätzlich auf einem alten Handy ein BubbleUPNP-Server, der hat eine interne und eine externe IP. Wenn ich mich mit dem BubbleUPNP Client vom Handy aus verbinde, klappt auch alles (auch ohne VPN). Nur über Foobar vom Laptop aus zeigt er mir den Server nicht an, obwohl ich zugriff habe (das weiß ich, weil ich auf eine (Ordner)Struktur, die ich anzeigen lasse, wenn ich im "normalen" WLAN bin immer noch zugreifen kann, wenn ich über den VPN einsteige. Kann Alben normal abspielen. Aber sobald ich aktualisiere, ist die Struktur weg).
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.174
Lassen wir UPnP erstmal beiseite.

Als allererstes muss sichergestellt sein, dass der Zugriff untereinander über die IP-Adresse funktioniert. Namen bedingen zwingend eine funktionierende Namensauflösung, ist also schon einen Schritt weiter.

Wenn der Asus als VPN-Server und als NAS fungiert, dann sind die relevanten IP-Adressen zunächst die VPN-IP und die LAN-IP des Asus. Die VPN-IP ergibt sich aus dem VPN-Subnetz, das man in deinem Screenshot sieht. Der VPN-Server nimmt sich die erste IP, also 10.8.0.1, das ist die VPN-IP des Asus. Die LAN-IP ist jene, die zB dein Laptop zu Hause als Standard-Gateway hat. Asus liefert seine Router soweit ich weiß mit der Standard-IP 192.168.1.1 aus. Sofern du in den LAN-/DHCP-Einstellungen deines Asus nichts geändert hast, sollte die LAN-IP also 192.168.1.1 sein.

Nun verbindest du dich von außerhalb mit deinem VPN.

Start --> cmd
--> ping 10.8.0.1
--> ping 192.168.1.1
 

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Hab jetzt mal die Pings durchgeführt:

Laptop mit VPN pingt 192.168.0.1 = OK
Laptop mit VPN pingt 10.8.0.1 = keine Antwort

Standrechner ohne VPN pingt 10.8.0.1 = OK
Standrechner ohne VPN pingt 10.8.0.2 (IP Laptop über VPN) = OK


was sagt mir das jetzt? :-)
Ergänzung ()

Die IP des Standrechners kann ich vom Laptop (über VPN) auch nicht anpingen.
Ergänzung ()

Die Umstellung auf TCP hat leider keine Änderung gebraucht. Weder mit noch ohne "DNS inserieren".
 
Zuletzt bearbeitet:

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Das treibt mich immer noch in den Wahnsinn...ich habe mir jetzt mal zum Testen einen Android-Emulator auf den Laptop geladen - da kann ich problemlos via vpn auf den UPNP server zugreifen. Aber die eleganteste Lösung ist das halt irgendwie auch nicht...
 

Datax

Lt. Junior Grade
Dabei seit
Juni 2017
Beiträge
290
Welche Routen hast du denn nach der VPN-Einwahl auf deinem Laptop?
Dazu einfach mal in einer "CMD" den folgenden Befehl ausführen:

route print

Wie sieht denn die VPN-Config des Laptops aus?
Kannst du uns diese zur Verfügung stellen?

Hast du im Android-Emulator die VPN-Config des Laptops eingespielt?

Wie testest du den Zugriff per VPN in dein Heimnetzwerk? Wählst du dich wirklich von außen ein?
Das kannst du z.B. per WLAN-Hotspot deines Smartphones machen, wobei dann die Mobilfunkverbindung deines Smartphones so zu sagen "geteilt" wird.
 

carnival55

Ensign
Dabei seit
Jan. 2017
Beiträge
202
Die VPN Verbindung klemmt noch irgendwo beim Laptop.
IMHO würde ich erstmal die möglichen Fehlerquellen eingrenzen.
Also:
  • Testen, ob VPN ohne Zertifikat dafür mit Username/Passwort aufgebaut werden kann
  • "Cipher Negotation" deaktivieren und mal testen, ob es mit fest eingestelltem "AES-128-CBC" klappt
  • LZO Compression abschalten und testen
  • Prüfen, ob der Laptop über einen anderen Netzwerkadapter schon eine IP aus dem 10.x.x.x Bereich bekommt

Alles schrittweise, möglichst nur eine Änderung pro Versuch und dann ausprobieren, ob irgendwas davon zum Erfolg führt.
 

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Im Android-Emulator hab ich nix eingestellt, nur im BubbleUPNP-Client die korrekten Serveradressen und Passwörter eingetragen. VPN-Client läuft als Windows-Programm am Laptop. Wenn ich auf diesem Wege mit dem Musikserver verbunden bin, zeigt route Print folgendes:

1579446306953.png


81.217.etc ist der Musikserver.

Wenn ich den Android-Emulator schließe und nur der VPN läuft und ich versuche, mit Foobar zuzugreifen:

1579446666389.png


Unterschiede fallen mir jetzt nur in der Spalte "Metrik" auf...

Und ja, ich wähle mich für den VPN-Zugriff wirklich von außen ein...entweder über Handy-Hotspot oder ein "fremdes" WLAN.
Ergänzung ()

Die VPN Verbindung klemmt noch irgendwo beim Laptop.
IMHO würde ich erstmal die möglichen Fehlerquellen eingrenzen.
Also:
  • Testen, ob VPN ohne Zertifikat dafür mit Username/Passwort aufgebaut werden kann
  • "Cipher Negotation" deaktivieren und mal testen, ob es mit fest eingestelltem "AES-128-CBC" klappt
  • LZO Compression abschalten und testen
  • Prüfen, ob der Laptop über einen anderen Netzwerkadapter schon eine IP aus dem 10.x.x.x Bereich bekommt

Alles schrittweise, möglichst nur eine Änderung pro Versuch und dann ausprobieren, ob irgendwas davon zum Erfolg führt.
Schaue mir gerade die Einstellungsmöglichkeiten im VPN-Client an...ein Zertifikat scheint da nicht hinterlegt zu sein. Die Config habe ich übrigens am Router generieren lassen, heruntergeladen und dann eingespielt.

Ich versuch mal, ob eine Änderung der genannten Einstellungen etwas bringt...
Ergänzung ()

Noch ein Update: Änderung der Einstellungen hat nix gebracht leider.

IP Config mit laufemdem VPN:

1579447490890.png


Könnte die IP-Adresse des Ethernet-Adapters das Problem sein?
 
Zuletzt bearbeitet:

Datax

Lt. Junior Grade
Dabei seit
Juni 2017
Beiträge
290
Ach so, dein Android-Emulator, der diesen BubbleUPnP-Client nutzt,
nutzt also die VPN-Verbindung deines PCs mit.

Wenn das problemlos funktioniert, dann ist das Routing über das VPN ja in Ordnung.

Da wird die Foobar"-Software netzwerktechnisch (meinst du zufällig "Foobar 2000"!?) wohl anders
funktionieren als der BubbleUPnP-Client.

Du könntest mal per "Wireshark" überprüfen, was passiert,
wenn du mit deinem PC per "Foobar"-Software über das VPN auf deinen BubbleUPnP-Server zugreifst.
Da werden ggf. noch Zugriffe/Verbindungen der "Foobar"-Software durch die Windows-Firewall blockiert.

Für den Zugriff auf Netzlaufwerke über das VPN muss in der Windows-Firewall ausgehend der Zugriff auf TCP-Port 445 in Richtung Remote-LAN (bzw. in Richtung LAN-IP deines UPnP-Servers) erlaubt sein. Die entsprechende Regel (ausgehender Traffic/Regel) nennt sich "Datei- und Druckerfreigabe (SMB ausgehend)".
Standardmäßig ist nur der Zugriff auf des lokale Netz (TCP-Port 445) erlaubt, das musst du also eigenständig (per Hand) noch (nach)konfigurieren.

Über die "Systemsteuerung" kannst du im "Netzwerk- und Freigabecenter" in der Übersicht der Netzwerkadapter sehen, welches Netzwerk-Profil aktuell deiner Netzwerkkarte/WLAN-Adapter zugeordnet ist (Öffentlich, Privat, Domäne).

Die Windows-Firewall kurzeitig zum Testen auszuschalten, um zu überprüfen,
ob diese noch Zugriffe/Verbindungen blockiert, ist zwar nicht der eleganteste Weg,
aber ist auch ein Weg, um herauszufinden, wo es "noch hakt". Nicht vergessen die Windows-Firewall direkt im Anschluss wieder einzuschalten!
 

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Windows-Firewall ist generell aus, ich verwende Comodo. Wenn ich die ausschalte, ändert das aber auch nix.

Mittlerweile denke ich aber, dass es wirklich nur ein foobar2000 (yup, der) - Problem ist. Habe mal die Console geöffnet und da spricht er:

foo_upnp: loaded Media Library tree in 0.257s
foo_upnp: created 37027 path registry entries in 0.317s

Das klingt danach, dass er die Struktur offenbar listet, aber nicht anzeigt oder...?
 

Datax

Lt. Junior Grade
Dabei seit
Juni 2017
Beiträge
290
Es kann sein, dass das Abfragen der Datei-/Ordner-Struktur deines UPnP-Servers
über Broadcaststs gehandelt wird. Broadcasts funktionieren per se erstmal nicht über Netzgrenzen hinweg,
diese werden nicht geroutet.

Deshalb sagte ich ja, dass du dir das ggf. mal per "Wireshark" anschauen solltest.
Dann weißt du mehr darüber was an Netzwerk-Traffic aufkommt,
wenn du per UPnP-Client deinen UPnP-Server abfragst.

Wireshark-Download:
https://www.wireshark.org/#download

Kannst du denn jetzt auf die Netzwerkfreigabe über das VPN zugreifen?

Auf dem Endgerät, wo die entsprechende Netzwerkfreigabe eingerichtet ist,
muss übrigens auch der Zugriff auf TCP-Port 445 (eingehend) für das VPN-Netz (also nicht nur für Zugriffe
aus dem eigenen Subnetz) erlaubt sein. Das musst du sehr wahrscheinlich noch anpassen,
weil unter Windows standardmäßig nur netz-lokale Zugriffe (also Zugriffe aus dem gleichen Subnetz) erlaubt sind.
 
Zuletzt bearbeitet:

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Wenn ich mich ein wenig besser auskennen würde 🙃

Also ich habe jetzt Wireshark drauf und hänge über VPN drin. Ich kann auf meinen Router sogar remote zugreifen (konfigurieren) also daran sollte es nicht scheitern.

Ich habe jetzt einmal über den Android Emulator über den UPNP Client auf die Musikfiles zugegriffen...das funktioniert. Screenshot der Infos über ein Paket davon:

1579650990352.png


Danach habe ich den Emulator geschlossen und versucht, mit Foobar zuzugreifen...ein Paket aus der Session:

1579651073500.png

Der einzige Unterschied, der mir auffällt ist, dass er über Foobar beim https-Port rein möchte. Sollte aber auch funktionieren. Wenn ich in Foobar den http-Server eintrage, geht es leider auch nicht.

Helfen die Screenshots irgendwie weiter? Oder wonach soll ich suchen?
Ergänzung ()

Nachtrag zu den Netzlauferken: Das klappt nicht. Wahrscheinlich auch, weil die nur als Namen eingetragen sind aber nicht mit der IP...und ich bin zu blöd, die IP herauszufinden bzw. weiß ich auch nicht, wo ich jetzt den TCP-Port 445 freigeben soll...in der firewall des routers...?
 
Zuletzt bearbeitet:

Datax

Lt. Junior Grade
Dabei seit
Juni 2017
Beiträge
290
Danach habe ich den Emulator geschlossen und versucht, mit Foobar zuzugreifen...ein Paket aus der Session:

Anhang 868371 betrachten
Der einzige Unterschied, der mir auffällt ist, dass er über Foobar beim https-Port rein möchte. Sollte aber auch funktionieren. Wenn ich in Foobar den http-Server eintrage, geht es leider auch nicht.
Wie bist du jetzt darauf gekommen, dass per "Foobar" eine Verbindung zum HTTPS-Port herstellen möchte?
Das wäre standardmäßig der TCP-Port 443 ... in deinem Wireshark-Screenshot (siehe oben) wird eine Verbindung zum TCP-Port 58051 hergestellt (Angabe "Dst Port" in der gelb markierten Zeile).

Vermutung liegt nahe, dass ggf. mit Broadcasts gearbeitet wird.

Du kannst ja mal einen Filter in Wireshark setzen auf die IP-Adresse deines Musik-Servers setzen,
das wäre z.B. der Filter "ip.addr==192.168.1.170" (ohne Anführungszeichen). Das müsste ja dein Android-Handy sein, wo der UPnP-Server läuft.

Den Mitschnitt kannst danach per "Datei" --> "Speichern" diesen Mitschnitt abspeichern als pcap-Datei
und hier mal posten.
Ergänzung ()

Nachtrag zu den Netzlauferken: Das klappt nicht. Wahrscheinlich auch, weil die nur als Namen eingetragen sind aber nicht mit der IP...und ich bin zu blöd, die IP herauszufinden bzw. weiß ich auch nicht, wo ich jetzt den TCP-Port 445 freigeben soll...in der firewall des routers...?

Lassen wir das mit der Überprüfung der Firewall-Einstellungen (TCP-Port 445) erstmal,
das können wir später, wenn es weiterhin nicht funktionieren sollte, dann noch nachschauen.

Der Zugriff per (NETBIOS)-Hostname funktioniert auch per Broadcasts,
deshalb wirst du wohl auf dem Gerät, wo die Netzwerkfreigabe eingerichtet ist,
eine feste IP-Adresse einstellen müssen. Dann wird keine NETBIOS-Namensauflösung per Broadcasts mehr gemacht, sondern direkt (komplett ohne Namensauflösung, weil die IP-Adresse ja bereits bekannt ist) eine Verbindung zur Netzwerkfreigabe hergestellt. Das sollte dann auch per VPN gehen, wenn auf dem Endgerät, wo die Netzwerkfreigabe eingerichtet ist, nicht noch eine dortige Firewall den Zugriff blockt.

Die aktuelle IP-Adresse bekommst du unter Windows immer in einer "CMD" per Befehl "ipconfig /all" (ohne Anführungszeichen). Wie du die IP-Adresse bei deinem Android-UPnP-Server einstellen kannst,
kann ich dir im Detail auch nicht sagen. Es wird sicherlich ein Einstellungsmenü geben,
wo du die Netzwerkeinstellungen vornehmen kannst. Also sowas in der Richtung wie unter Windows die "Systemsteuerung". Nach sowas in der Richtung einfach mal suchen, da solltest du fündig werden.

---------------------------------------------------------------------------------------------------------------------------

Es wäre übrigens sehr hilfreich, wenn du am Anfang eines Threads immer direkt die IP-Adressen (falls statisch, also fest vergeben) der beteiligten Endgeräte mit angibst. Das könntest du einfach in der Form "IP-Adresse = NAME-DES-ENDGERÄTS" machen. Und dann auch dazu schreiben (z.B. in Klammern dahinter), was dort eingerichtet ist bzw. welcher Server-Dienst dort läuft.

Beispiel dazu:
192.168.1.1 - Mein ASUS-Router (Netzwerkfreigabe(n) der USB-Festplatten sind hier eingerichtet)
Hier einfach mal angenommen, dass dein ASUS-Router die IP-Adresse 192.168.1.1 hat. Das ist die Standard-IP-Adresse, die ASUS-Router ab Werk haben.

Dein Android-UPnP-Server hatte zu dem Zeitpunkt, wo du den Wireshark-Mitschnitt gemacht hast,
die IP-Adresse 192.168.1.170. Falls du auf dem Android-Gerät nicht (wissentlich) eine feste IP-Adresse eingestellt hast, dann wird das eine per DHCP zugewiesene IP-Adresse sein. Dann solltest du wie oben beschrieben mal eine feste IP-Adresse am Android-Gerät vergeben/einstellen und diese beim Herstellen des Netzlaufwerks per VPN verwenden (wie oben bereits erwähnt).
 
Zuletzt bearbeitet:

RebelAngel

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2006
Beiträge
661
Korrekt, 192.168.1.1 ist mein Router und 192.168.1.170 ist der Bubble UPNP Server. Die Ports gibt BubbleUPNP vor. 58050 für http und 58051 für https. So weit hab ich das behirnt. Ich hab es auch geschafft, einen Port Forward einzurichten. Alles, was auf den beiden Ports reinkommt, schmeißt er zum Musikserver weiter.

Ich denke übrigens, ich habe jetzt eine Lösung, die für mich passabel ist. Wenn ich den UPNP Client am Handy starte, kann ich den im aktuellen Netzwerk sichtbar machen. Das "sieht" foobar dann und ich kann in der Datenbank suchen....und wenn ein Album mal läuft, läuft es auch weiter, ohne dass er den Inhalt des Servers auflisten kann. Ich versteh das alles nicht :-D. Es dürfte also irgendwie doch an Foobar liegen.
 
Top