Fritz!box Lan to Lan

[blub_Didum]

Hallo Gemeinde,

ich habe zwei Fritzboxen über VPN verbunden (aktuelle Labor Firmware). Das Tunnel steht und ich kann gegenseitig alle Geräte anpingen. Nun das kuriose, ich kann nicht auf alle Freigaben zugreifen.
lokales Subnetz 192.168.1.0
entferntes Subnetz 192.168.3.0
z.B.:
192.168.3.60 --> Ping: ok., Freigaben: ok. (W2K)
192.168.3.61 --> Ping: ok., Freigaben: ok. (W2K)
192.168.3.62 --> Ping: ok., Freigaben: Netzwerkpfad nicht gefunden. (W2K)
192.168.3.10 --> Ping: ok., Freigaben: Netzwerkpfad nicht gefunden. (3com FS), Browser: ok.

Zugriff auf diverse Printserver, Fileserver etc. über Port 80 geht einwandfrei.

ich kann nicht nachvollziehen, wo das Problem liegt. :noidea:
Ich hoffe auf Eure Hilfe

 

[frank_m24]

Hallo,

ein geradezu klassisches Problem einer Firewall: Die Anfragen der Clients auf der anderen Seite des VPNs stammen aus Sicht des Servers aus einem anderen Subnetz, als es der Server lokal hat (die Box routet vollwertig zwischen den VPN Subnetzen, kein NAT Routing). Also erkennt die Firewall des Servers die Zugriffe nicht als LAN Zugriff an, sondern als Zugriff von außen und blockt die gefährlichen SMB/NetBIOS Ports (weil die sehr beliebt sind bei Viren und Trojanern); Pings und "ungefährliche" Anfragen (auf Port 80) lässt sie durch - das Problem hatten wir exakt so mindestens einmal in allen VPN Firmware Threads, seit es LAN-to-LAN bei der AVM VPN Lösung gibt. Und es lag jedesmal an einer Firewall.

Viele Grüße

Frank

 

[blub_Didum]

Hallo,

danke für die rasche Antwort.
Das Problem scheint aber wo anders zu liegen. Es sind keinerlei Firewalls aktiv. Das eigenartige ist, das auf einigen Workstations (W2k) der Zugriff funktioniert, auf anderen (auch W2K) nicht. Auf dem entfernten Netz "mißbrauche" ich einen Lancom DSL/ 10 als DHCP und DNS Server, ich kann mir aber nicht vorstellen das der die Probleme verursacht.
Wenn ich mit der Clientsoftware einen Tunnel aufbaue funktioniert der Zugriff wunderbar, nur eben nicht wenn die zwei Boxen direkt miteinander "reden".
Ich hoffe es hat noch jemand eine Idee.

Kleiner Nachtrag: Nur so ein Gedanke, könnte ein Switch das Problem verursachen? Der Fileserver und die besagte WS hängen an ein und dem selben Switch?!?
Jan

 

[frank_m24]

Hallo,

Das Problem scheint aber wo anders zu liegen. Es sind keinerlei Firewalls aktiv.

Es ist immer wieder verblüffend, wie sich die Diskussionen um solche Probleme gleichen: Exakt diese Aussage kommt absolut jedes mal zu diesem Zeitpunkt der Diskussion, da kann man eine hohe Summe drauf wetten.

Wenn ich mit der Clientsoftware einen Tunnel aufbaue funktioniert der Zugriff wunderbar, nur eben nicht wenn die zwei Boxen direkt miteinander "reden".

(kleine Anmerkung: Diese Aussage kommt fast jedes mal.)
Das passt perfekt: Wenn du die Client Software benutzt, dann hat dein Client ja eine IP aus dem entfernten Subnetz, also erkennt der Server den Zugriff als lokal an (wie aus seinem LAN) und sträubt sich nicht. Nun bin ich mir noch sicherer, dass mein Verdacht sich bestätigt (wie jedes mal in dieser Situation).

Eine Möglichkeit gibt es aber doch noch, die ich dir nicht verschweigen will (aber ich will für dich hoffen, dass sie nicht zutrifft):

Auf dem entfernten Netz "mißbrauche" ich einen Lancom DSL/ 10 als DHCP und DNS Server, ich kann mir aber nicht vorstellen das der die Probleme verursacht.

Doch, dass kann Ärger machen. Wenn nämlich durch dieses Konstrukt das IP-Setup der beteiligten Rechner nicht korrekt ist, dann kann das den Zugriff verhindern. Die Rechner brauchen nämlich eine korrekte Konfiguration eines Gateways (am besten das Defaultgateway), damit sie den Rückweg zum entfernten Netzwerk der anderen Fritzbox finden. Haben die betroffenen Server problemlos Internetzugriff über die Box (sprich: Sind die Gateways korrekt eingerichtet)? Kannst du von den Servern aus die Clients im entfernten Subnetz anpingen? Das ist zwingend Voraussetzung für das Setup. Hast du den DHCP Server des Lancoms entsprechend angepasst, dass er nicht sich selbst als Defaultgateway meldet?

Diese letzte Möglichkeit allerdings würde auf ein ziemliches Chaos deiner Netzwerkkonfiguration hindeuten, und das will ich doch mal nicht annehmen. Von daher halte ich eine Firewall (oder eine Zugriffsbeschränkung des Servers im Allgemeinen) immer noch für die wahrscheinlichste Variante.

Viele Grüße

Frank

 

[doc456]

@ frank_m24 Merkwürdig wie oft man das gleiche schreibt. Anm.: Es gibt immer noch Leute die glauben, wenn sie die Firewall abschalten, dann wäre sie aus. Welch fataler Irrtum, da die Dienste immer noch aktiv sind.

 

[blub_Didum]

@doc456, danke für Deine überaus konstruktive Antwort.
Wenn ich sage, das keine Firewall aktiv ist, dann ist das auch so. Vielleicht mag deine Antwort die Erfahrung geprägt haben, aber alle über einen Kamm zu scheren ist nicht besonders hilfreich.

----------
Der Lancom Router verteilt nur die IP's und ist für die Namensauflösung zuständig. Selbstverständlich übergibt der Lancom Router die Fritzbox als Default-Gateway.
Ein Ping in alle Richtungen sowie I-net gehen einwandfrei durch.
Wenn ich versuche auf die Freigaben zuzugreifen, bekomme ich die Meldung "Netzwerkpfad nicht gefunden" bei anderen (vor der Konfiguration identisch) Rechnern funktioniert es aber einwandfrei.
Vielleicht hat noch jemand eine Idee.

 

[MaxMuster]

Wie machst du denn die Zugriffe? Über Namen oder IP? Grundsätzlich würde ich als ersten Test immer mal schauen, was Windows denn so meint an Freigaben zu finden. Was sagt denn

net view \\192.168.3.62

Als Test könntest du natürlich auch mal die IPs "tauschen"...

Jörg

 

[blub_Didum]

Hallo, danke für die Antwort.
net view sagt : Der Netzwerkpfad wurde nicht gefunden.

Zugriff erfolgt mit IP's nicht mit den Namen (Namen und VPN passen ja nicht wirklich zusammen)

Die IP tauschen ist leider nicht möglich (Produktivsystem)

Ich bin absolut ratlos.

 

[MaxMuster]

Tja, außer den o.g. FW-Dingen fiele mir dann auch nix mehr ein. Außer vielleicht der Frage, ob es in irgendeiner Form eine "Namensauflösung" der "lokalen"-Geräte im Remotenetz gibt. Falls es in dem "Remote-Netz" einen WINS gibt, würde ich den mal in der Kiste im lokalen Netz eintragen. Hintergrund: Falls die Kiste im remote-Netz meint, deinem Rechner einen Namen zuorden zu können, geht die Antwort dann an den Namen, was evtl. danebengeht...
[OT]Vermutlich ist NetBIOS ja ein durchdachtes und logisches Protokoll, für mich war es immer ein Mischmasch aus Broadcasts, Namen und IPs, was meistens nur mittels Trial-and-Error zu durchdringen war ;-)[/OT]

Jörg

 

[blub_Didum]

umgedreht ist es, im lokalen Netz läuft Wins auf einem W2K DC. Testhalber habe ich den mal rausgenommen, brachte aber wie vermutet keinen Erfolg.
Der entfernte Fileserver (um den es mir hauptsächlich geht) ist ein 3Com OfficeConnect Network Storage Server 40, wer kennt sich mit dessen "Innereien" aus. Ich kann mir aber nicht vorstellen, das der etwas blockiert, leider kann man nicht vielmehr als IP, Subnet und Gateway einstellen.
Auf welcher Seite (lokal oder remote) könnte das Problem liegen?
Könnte es sein, das es ein Problem ist, weil die lokalen WS Mitglied einer Domain sind? Der entfernten Maschinen nicht.

 

[doc456]

Interessante Entwicklung! Domäne, und noch zwei, gibt ja zu denken, gell!

 

[MaxMuster]

Könnte es sein, das es ein Problem ist, weil die lokalen WS Mitglied einer Domain sind? Der entfernten Maschinen nicht.

Wie gesagt, der Guru bin ich da nicht, meiner Meinung nach wäre das aber erst "später" bei der Anmeldung ein Problem, wenn es um User-Namen und Gruppen/Berechtigungen geht. Momentan geht es vermutlich entweder um Host-Namen oder um Filter (die was in der Kommunikation blockieren)...

Kriegst du denn einen Namen raus, wenn du den PC (oder diese omminöse 3Com Box) anpingst (ping -a 192.168.3.10)? Wie sieht es in der Rückrichtung aus, wenn du das aus dem "Remote-Netz" ins "lokale" Netz machst? Namensauflösung? Gehen in der Richtung "Freigaben"?

Jörg

 

[blub_Didum]

Wenn ich vom lokalen Netz anpinge (ping -a) bekomme ich ganz sauber den Namen inkl. DNS Suffix. Ich habe im DC des lokalen Netz eine neue DNS Zone (für Remotenetz) eingerichtet, Namensauflösung funktioniert. Nur halt der Zugriff nicht. Die Rückrichtung funktioniert tadellos.

@doc456

Interessante Entwicklung! Domäne, und noch zwei, gibt ja zu denken, gell!

Vielleicht habe ich mich etwas "verdreht" ausgedrückt. Also nochmal:
lokales Netz: einige W2K WS sowie ein W2K DC
remote Netz: einige W2K WS sowie der "ominöse" 3com Fileserver (ohne DC, alle in einer Arbeitsgruppe) + Lancom Router der nur für DHCP und DNS zuständig ist.
Ich weis ja nicht so recht, vielleicht verräts Du ja den Rest der Welt was Dir so zu denken gibt. Mir hilft jedensfalls auch Dein zweiter Kommentar so nicht weiter.

Jan

 

[doc456]

Schau doch mal bei den Rechten in der Domäne (User, Freigabe, NTFS, Remote) und noch eins, Domäne sagt alleine schon genug.

PS: Deinen Sarkasmus kannst du dir Sparen! Schaff dir lieber

• eine Signatur an,
• poste alle Informationen (Produktivsystem... !?) und vor allem
• reagiere/antworte doch mal auf die Fakten (z.B. die von frank_m24),
• arbeite alle Hinweise ab,

die gemacht werden!

 

[MaxMuster]

Schau doch mal bei den Rechten in der Domäne (User, Freigabe, NTFS, Remote) [..snip...] Schaff dir lieber

• eine Signatur an,
• poste alle Informationen (Produktivsystem... !?) und vor allem
• reagiere/antworte doch mal auf die Fakten (z.B. die von frank_m24),
• arbeite alle Hinweise ab,

die gemacht werden!

Ja, das ist richtig. Aber Kinder: warum denn immer gleich schlagen?

PS: Deinen Sarkasmus kannst du dir Sparen!

Sorry, doc, aber damit hast doch du angefangen:

Merkwürdig wie oft man das gleiche schreibt.
[..]
Interessante Entwicklung! [...] gibt ja zu denken, gell!

halte ich tatsächlich nicht für unbedingt produktiv, oder??

Richtige Fragen, Anmerkungen, Hinweise, so wie ganz oben, o.k., aber der Rest kann doch wegbleiben, oder? Frank hat doch schon ganz klar geschrieben, dass eine Firewall das Wahrscheinlichste ist, und wenn ihr der Meinung seid, dass Jan das nicht richtig "abgeschaltet kriegt" (oder sowas in der Art), dann lasst ihn doch einfach in seinen "vermuteten Fehlern schmoren" und wartet ab. Dann könnt ihr, wenn ihr Recht haben solltet, doch am Ende noch früh genug "siehste, ich habs ja gewusst" sagen, oder?

Jörg

 

[doc456]

@MaxMuster: Hmmm... meist du? OK, deine Meinung und keine Rechtfertigung von mir.
Les einfach die Post's und die darin enthaltenen Hinweise, das dürfte genügen.

PS: Mein Sarkasmushinweis bezog sich hier drauf:

Ich weis ja nicht so recht, vielleicht verräts Du ja den Rest der Welt was Dir so zu denken gibt. Mir hilft jedensfalls auch Dein zweiter Kommentar so nicht weiter.

Noch mal, wer lesen kann, ist immer im Vorteil und damit ist das Thema für mich beendet.

 

[MaxMuster]

Les einfach die Post's und die darin enthaltenen Hinweise, das dürfte genügen

Dein "eigener" Beitrag hätte doch auch lauten können: "Als Hinweis: Wenn man die Firewall "abschaltet" können die Dienste immer noch aktiv sein." Das kling aus meiner Sicht tatsächlich weniger sarkastisch.

PS: Mein Sarkasmushinweis bezog sich hier drauf:[...]
Noch mal, wer lesen kann, ist immer im Vorteil

Das hatte ich trotz meiner beschränkten Lesefähigkeiten ;-) auch erschlossen.
Und damit es auch für mich beendet ist: Nur, mal ehrlich, Hand aufs Herz: Was hatte deine Bemerkung "gibt ja zu denken" denn für einen wirklich zielführenden Inhalt? Und das man auf Sarkasmus ebenso reagiert...

Ich habe auch keine Lust hier einen "Krieg anzuzetteln", ich wollte eigentlich im Gegenteil, dass ihr euch "vertragt", aber scheinbar ist meine "Deeskalationsstrategie" gescheitert ;-).

Jörg

 

[blub_Didum]

Hallo,

mit Produktivsystem ist eine Umgebung gemeint, bei der man leider nicht so einfach den Server kappen kann, um z.B. die IP testhalber zu ändern.
Freigaben und Zugriffsrechte habe ich kontrolliert. Ich könnte mir schon vorstellen das es ein Routingproblem ist. Ich weiß nur nicht wo das Ei begraben ist. Es laufen keinerlei Firewalldienste. Könnten hier andere Dienste reinfunkten?!
Nochmal kurz zu dem Gedanken mit dem Switch, könnte es sein, das ein Switch (nicht managebar, Layer2) hier die Rückroute blockt oder evtl. nicht weis wo es zurückgeht? Beide Geräte wo der Zugriff "verwehrt" wird, hängen an ein und dem selben Switch. Ich möchte mich nur nicht auf Reise begeben, wenns daran sicher nicht liegen kann.

Vielen Dank
Jan

 

[frank_m24]

Hallo,

Ich könnte mir schon vorstellen das es ein Routingproblem ist.

Pings funktionieren ja zwischen Server und Client? Kannst du auch von Server die Clients anpingen? Falls ja: Dann sind es keine Routing-Probleme.

Viele Grüße

Frank

 

[MaxMuster]

Das einzige was du dann noch haben könntest, wäre evtl ein "asymmetrisches" Routing (findest du mit traceroute [bzw. tracert] von beiden Seiten heraus), was aber eigentlich solange unerheblich ist, wie nicht eine Firewall o.ä. auf dem Weg dazwischen ist, die sich daran stören könnte, dass Pakete vorbeikommen, deren andere Richtung fehlt.

Wenn der Switch ein reines Layer2 Gerät ist, dürfte er da keinen Einfluss haben, speziell dann nicht, wenn ein IP-Protokoll (ICMP des Pings) funktioniert und ansonsten auch die "Windowsdinge" wie Freigaben im gleichen Netz (was dann ja auch über den Switch muss) funktionieren. Wenn natürlich auch intern Probleme bestünden, könnte man mal die Duplex-Einstellungen prüfen usw...

Wenn du so nicht weiterkommst, bleibt eigentlich nur noch ein Sniffer-Programm um zu sehen, was "ankommt" und was darauf "geantwortet" wird.

Jörg