[Problem] Windows 7 auf der anderen Seite des VPN nicht erreichbar

[AndreasR]

Hallo,

ich habe zwei Fritzboxen 7390 per VPN verbunden. Die eine hat die Adresse 192.168.0.20 und die andere 192.168.5.20. Das Problem ist, dass ich die Windows 7-Apparate auf der jeweils anderen Seite nicht erreichen kann.

Den Ping habe ich in Windows 7 freigeschaltet. Ich kann also innerhalb eines Fritz-Netzes die Windows 7-Apparate anpingen und bekomme auch Antwort. Der Zugriff auf freigegebene Dateien innerhalb eines Fritz-Netzes klappt auch.

Aber eben nicht von einem ins andere VPN.

DNS-Probleme können es nicht sein, ich benutze IP-Adressen bei Ping und auch bei net view und net use.

Wie komme ich weiter?

Grüße
Andreas

 

[PeterPawn]

Windows-Firewall (advanced firewall) entsprechend konfigurieren, daß auch das entfernte Netz im "private"-Profil die benötigten Dienste nutzen darf ... das sollte eigentlich schon ausreichend sein. Um sicher zu sein, daß es tatsächlich an der Windows-Firewall liegt, einfach mal ein anderes Gerät (nicht die FRITZ!Box selbst) auf der anderen Seite ansprechen, das kann von Smart-TV über STB bis Tablet oder Smartphone so ziemlich alles sein.

Die Windows-Firewall enthält bei Windows 7 normalerweise nur solche Regeln, die für "File and Printer sharing" den Zugriff im Profil "private" nur dann zulassen, wenn die entfernte Adresse sich im Scope "local subnet" befindet (ins Deutsche bitte selbst übersetzen, ich habe nur englische Windows 7-Installationen im Zugriff). Da so ein Request also immer von einem Rechner außerhalb des "local subnet" käme (solange da keine NAT erfolgt), blockiert die Firewall solche Verbindungem.

Wenn da sogar noch irgendeine andere Software für die Firewall auf den Windows 7-Rechnern ist, erübrigt sich die Antwort sicherlich ... wobei der Ansatz dann derselbe bleiben dürfte, denn auch Zusatzsoftware "sieht" nur eine entfernte Adresse als Absender.

 

[AndreasR]

Hallo PeterPawn,

Windows-Firewall (advanced firewall) entsprechend konfigurieren, daß auch das entfernte Netz im "private"-Profil die benötigten Dienste nutzen darf ... das sollte eigentlich schon ausreichend sein.

Vielen Dank, das bringt mich auf jeden Fall einen Schritt weiter! Erstmal: Ja, es ist die Firewall von Windows 7. Wenn ich sie komplett abschalte, geht es. Das ist natürlich nicht der Sinn der Sache. Die Frage ist also, welche Einstellungen sind es?

Es gibt hierzu einen Artikel von AVM (Punkt 3), der aber leider nicht hilft. Erstmal gibt es den Eintrag Datei- und Druckerfreigabe (SMB eingehend) dreimal, nämlich mit Profil Privat, Domäne und Öffentlich. Nach dem, was Du schreibt, müsste es privat sein. Wenn ich dort das entfernte Subnetz eintrage, geht es leider dennoch nicht. Auch bei Öffentlich kann ich das entfernte Subnetz eintragen, was aber auch nicht das Problem löst. Bei Domäne steht bereits "Beliebige IP-Adresse", da lohnt es sich wohl kaum, dies abzuschalten und das entfernte Netz einzutragen.

Die Frage ist also, welche Einstellungen muss ich verändern? Zugleich würde ich gerne einen Ping vom Remote-Netz erlauben.

Grüße
Andreas

 

[PeterPawn]

Es geht immer um das Profil, in dem sich die Netzwerkverbindung befindet, die gerade aktiv ist ... welche das ist, sieht man unter "Windows Firewall" in der Systemsteuerung, da ist entweder "Home and work (private) networks" oder "Public networks" im Status "Connected". Bei einem Multihomed-PC können auch beide gleichzeitig verwendet werden, dann eben auf unterschiedlichen Netzwerk-Adaptern.

"private" ist dabei das Profil für "private networks", "public" erklärt sich von alleine und "domain" gilt für die Mitgliedschaft in einer Windows-Domäne (grob gesagt). Damit kommt bei Dir sicherlich nur "private" oder "public" in Betracht.

Ansonsten sollte es in der "Gruppe" "File and Printer Sharing" (zu ändern unter "Windows Firewall -> Advanced Settings -> Inbound Rules") eigentlich für jedes Profil und jeden Service genau einen einzigen Eintrag geben (allerdings bis zu 9 Services), bei denen dann das entfernte Subnet als "erlaubt" beim Scope hinzuzufügen ist (wenn nicht ohnehin "any" erlaubt ist, was m.W. nur beim "domain"-Profil der Fall ist in der Standardeinstellung). Wie das Fenster dazu aussieht, hatten wir letztens erst wieder: http://www.ip-phone-forum.de/showthread.php?t=280837&p=2112750&viewfull=1#post2112750

EDIT: Damit die Kommunikation auch wirklich bidirektional funktioniert, sind die Änderungen natürlich auf beiden Seiten auf den Windows-Maschinen erforderlich, dann jeweils mit gespiegelten Netzen für die zusätzlich zu bedienenden Adressen.

 

[AndreasR]

Hallo,

danke für die Erklärungen. Ich glaube, es hat nicht funktioniert, weil ich nur den einen Service freigegeben habe, der im AVM-Artikel genannt wird.

Eher zufällig habe ich einen einfacheren Weg gefunden:

Hier den zweiten Punkt wählen, "Ein Programm oder Feature durch die Windows-Firewall zulassen"

Dann kommt dieses Fenster:

Mann muss nur die Kästchen in der blau markierten Zeile verändern.

Grüße
Andreas

 

[PeterPawn]

Wenn damit die Datei- und Druckerfreigabe tatsächlich funktionieren sollte, kann das eigentlich nur daran liegen, daß da nunmehr das "domain"-Profil aktiviert ist. Davon kann/sollte man jedem Nachahmer nur abraten ... damit ist der Zugriff von jeder beliebigen entfernten IP-Adresse auf diese Dienste erlaubt (gesetzt den Fall, der Netzwerkverkehr kommt durch andere Hürden wie Router etc.).

Ansonsten kann man mit der "Advanced Firewall" immer noch die gerade aktiven Einstellungen kontrollieren ... für beide Profile (private und public) sollte eigentlich beim "File and Printer Sharing" jeweils nur die Kommunikation mit "local subnet" (Spalte "Remote Address") standardmäßig erlaubt sein und das wäre das entfernte System bei der oben beschriebenen IP-Konfiguration eben gerade nicht.

Da verblüfft es dann schon etwas, wieso es nach dem Setzen/Entfernen von einigen Checkmarks auf einmal funktioniert ... ich würde mich damit noch nicht zufrieden geben, denn es ist (meines Erachtens) etwas mysteriös.

 

[AndreasR]

Hallo PeterPawn,

Da verblüfft es dann schon etwas, wieso es nach dem Setzen/Entfernen von einigen Checkmarks auf einmal funktioniert ... ich würde mich damit noch nicht zufrieden geben, denn es ist (meines Erachtens) etwas mysteriös.

So, ich habe nochmal geguckt. Die jetzigen Einstellungen sind das Ergebnis mehrerer Veränderungen. Es ist nicht das Domain-Profil aktiviert. Bei der Firewall ist das (einzige) Netzwerk des Computers unter "Heim- oder Arbeitsplatznetzwerke (privat)".

Jetzt ist das neu von mir (beim ersten, erfolglosen Versuch) eingetragene Subnetz aktiv. Wenn ich das Subnetz (im einer Zeile mit Profil privat) lösche, gehts nicht. Trage ich das Subnetz wieder ein, klappt es. Zum Blockieren reicht es natürlich, das Subnetz aus einer der Zeilen zu entfernen. Wahrscheinlich hätte ich von Anfang in alle privat-Zeilen für eingehende Verbindung das Subnetz eintragen sollen.

Insofern stimme ich Dir natürlich zu, dass der von mir aufgezeigte einfache Weg mehr freigibt, als man meistens will.

Grüße
Andreas

 

[PeterPawn]

Danke für die Klarstellung.