VPN zwischen 2 Fritzboxen -> Samba hinter FB geht nicht

[daisou]

Hi,

ich hab hier ein kurioses Verhalten und verstehe es nicht .. bin kurz davor vor den beiden FritzBoxen noch eine IPfire zu hauen:

2 Standorte:

Standort1: 192.168.111.0/24 FritzBox 6430 Cable, aktuelles FritzOS
Standort2: 192.168.112.0/24 FritzBox 7412, aktuelles FritzOS

Das VPN funktioniert in beide Seiten absolut gut und zufriedenstellend, bis auf eine Sache:

Ich habe div. Netzwerkfreigaben auf beiden Seiten:

192.168.111.235 -> Debian Samba4
192.168.111.8 -> DomainController 2012R2 mit Freigaben
...

192.168.112.235 -> Debian Samba4
192.168.112.11 -> Windows 10 Freigabe
...

Vom 111er Netz komme ich auf alle Freigaben vom 111er Netz, vom 112er in alle vom 112er. Aber ich kann nicht vom 112er ins 111er Netz mit den Freigaben und von den 111er nicht auf den 112er Freigaben.

Alle anderen Dienste gehen, egal ob 443, 80, ssh, ping, etc pp, in beide Richtungen ohne Probleme, nur die Netzlaufwerke gehen nicht.

Ich dachte erst das ist eine Windows-Geschichte (Da bin ich nicht so tief drin) deswegen die 2 Linux-Büchsen, diese dann auch exportiert, zu einem Kunden gebracht der die gleiche FriitzBox-Konstellation hat, da funktioniert alles, hier komme ich nicht auf die Freigaben der anderen Standorte. Firewalls, wo auch immer ich sie fand, waren an, waren aus, waren mit Exceptiones zugekleistert .. aber nix hilft.

Hier 2 Auszüge vom SMB-Client unter Linux:

(Client ist der 192.168.111.235)

smbclient -L 192.168.111.235

WARNING: The "syslog" option is deprecated
Enter WORKGROUP\user's password:

        Sharename       Type      Comment
        ---------       ----      -------
        print$          Disk      Printer Drivers
        Exports         Disk
        IPC$            IPC       IPC Service (Samba 4.8.5-Debian)
Reconnecting with SMB1 for workgroup listing.

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
        WORKGROUP            FRITZ-NAS

smbclient -L 192.168.112.235
WARNING: The "syslog" option is deprecated
Connection to 192.168.112.235 failed (Error NT_STATUS_IO_TIMEOUT)

(wenn ich das vom 112er mache, gehts andersherum halt nicht)

Was mach ich falsch?

//edit by stoney: [CODE] TAGs [/CODE] gesetzt

 

[Shirocco88]

smbclient -L 192.168.112.235

Welche Meldung erscheint bei "smbclient -d 3 -L 192.168.112.235"
bzw.
"smbclient -d 3 \\\\192.168.112.235\\sharename -U username"

 

[daisou]

Moin,

smbclient -d 3 -L 192.168.112.235
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[global]"
WARNING: The "syslog" option is deprecated
added interface ens192 ip=192.168.111.235 bcast=192.168.111.255 netmask=255.255.255.0
Client started (version 4.5.12-Debian).
Enter user's password:
Connecting to 192.168.112.235 at port 445
Connecting to 192.168.112.235 at port 139
Connection to 192.168.112.235 failed (Error NT_STATUS_IO_TIMEOUT)

Egal welcher Befehl, egal welche IP, der Fehler (Error NT_STATUS) bleibt der Selbe.

Grüße

//edit by stoney: [CODE] TAG [/CODE] gesetzt

 

[PeterPawn]

Wie sehen die VPN-Konfigurationsdateien aus?

 

[Shirocco88]

wenn ich das vom 112er mache, gehts andersherum halt nicht

könntest Du mal von den beiden Debian-Servern ein "testparm" Befehl posten;
evtl. ist da eine "host whiteliste" eingebaut.

 

[PeterPawn]

evtl. ist da eine "host whiteliste" eingebaut.

Das würde jedoch nicht zu der Beschreibung passen, daß es bei anderen FRITZ!Boxen mit den beiden Debian-Installationen funktioniert.

Ich tippe hier eher auf einen Unterschied in den VPN-Konfigurationen (deshalb habe ich auch danach gefragt), weil die 7412 keine eigene NAS-Funktion hat und auch einiges andere in deren Firmware "geschrumpft" wurde ... teilweise auch "mit offenen Wunden", die nach dem Entfernen von Funktionen zurückblieben. Ich habe die nicht mehr alle auf dem Schirm, aber vor längerer Zeit mal Vergleiche zwischen 7490 und 7412 gezeigt, wo eben nicht alles über nur über CONFIG-Variablen ein- oder ausgeschlossen wurde, sondern die Dateien (im Gegensatz zu anderen Modellen) tatsächlich anderen Inhalt hatten.

Da es beim VPN ja einen SMB-Filter gibt (bzw. einen NetBIOS-Filter), hätte ich den hier als ersten Punkt im Verdacht ... wenn der "ctlmgr" beim Generieren der Einstellung für "dont_filter_netbios" auf das Vorhandensein des NAS auf der Box abstellt (ob das korrekt ist oder nicht, braucht man gar nicht zu diskutieren - sollte es so sein, wäre es halt so und basta), könnte das zumindest eine Erklärung liefern, warum es - abhängig vom FRITZ!Box-Modell, wenn ich #1 richtig verstanden habe, wobei dort die anderen Boxen, bei denen es funktioniert, ja nicht näher beschrieben sind - im Verbund mit der 7412 nicht funktionieren will (mit der Konfiguration aus dem GUI und sogar das würde man an der Konfigurationsdatei wieder erkennen, woher diese stammt).

 

[Shirocco88]

@daisou
konntest Du schon, wie PeterPawn geschrieben hat, einen Blick in die vpn.cfg werfen und die Zeile mit:

vpn.cfg
SNIP
     dont_filter_netbios = yes;

überprüfen ?

 

[daisou]

Das wird es gewesen sein: .. dont_filter_netbios = no ....

Spiel die Configs heut abend rein!

Danke schon mal.

Grüße