Support VPN zwischen zwei entfernten Fritz-Boxen, kein Zugriff auf Freigaben

[sat_didl]

Hallo Ihr,
wir haben folgende Infrastruktur:
Einrichtung erfolgte gemäß Anleitung und mit Tools von AVM
Box "A" (6360), kleiner Fileserver "C" mit Freigaben im Heimnetz, mehrere Endgeräte, Netzwerkdrucker, MyFritz aktiv

entfernte Box "B" (4020) hinter einem TC-Router, allerdings DMZ-Route auf "B", somit macht "B" das Routing, mehrere Endgeräte, Netzwerkdrucker, MyFritz aktiv

Es besteht eine dauerhafte VPN-Verbindung, keine Einwahlverbindung. Zugriffe jeweils von "A" nach "B" und umgekehrt auf die Box-Oberflächen ohne Probleme, die jeweils entfernten Netzwerkdrucker können "bedruckt" werden.

Problem:
Keiner "sieht" in der Netzwerkumgebung den jeweils anderen, bzw das andere Netzwerk. Nicht die Boxen, nicht die Drucker oder PC's oder die Freigaben.
Kein Zugriff auf die Freigaben von "C" für "B". Weder über bestehende ehemalige Netzwerkverbindungen noch über neu angelegte. Diese Versuche enden mit Fehlermeldungen ala "Netzwerkgerät antwortet nicht" usw.


Was könnte das sein und/oder was machen wir falsch?

Vielen Dank
LG

 

[elblindo1]

Da ihr in euren jeweiligen lokalen netzen sicher unterschiedliche IP-Adressbereiche verwendet, die für das "Sichtbarwerden" verwendeten Netzwerk-Protokolle (Netbios) aber nicht geroutet werden, könnt ihr nichts sehen. Ihr müßt euch einen WINS-Server aufsetzen und auf den Clients einrichten (entweder, wenn es im DHCP-Server geht, da, oder für jeden Client einzeln in den Einstellungen der Netzwerkkarte--IPv4--erweiterte Einstellungen--Namensauflosung oder so ähnlich), der die notwendigen Informationen auch netzwerkubergreifend zur Verfügung stellt.
Und dann müsstet ihr auch aufpassen, das alle Clients den gleichen Arbeitsgruppennamen verwenden.
Nicht ganz trivial, aber machbar

Gruss

Elblindo

 

[sat_didl]

AW: Re: VPN zwischen zwei entfernten Fritz-Boxen, kein Zugriff auf Freigaben

hi,

Da ihr in euren jeweiligen lokalen netzen sicher unterschiedliche IP-Adressbereiche verwendet,
...

das ist laut avm zwingend notwendig, da sonst ein "lan-zu-lan vpn" nicht funktioniert.
bin mir jetzt auch nicht mal so sicher, ob wir uns "sehen" können sollten...

...
Und dann müsstet ihr auch aufpassen, das alle Clients den gleichen Arbeitsgruppennamen verwenden.
...

jo, das muss ich mal prüfen...

thx soweit


/edit/
also die Arbeitsgruppennamen sind identisch.
das mit dem netbios freigeben übers i-net ist nicht so angesagt. ich muss jetzt auch nicht unbedingt den jeweils anderen "sehen". aber wieso kann nicht von "B" auf die freigaben von "C" zugegriffen werden? was mache ich hier falsch? auch laut avm steht nichts darüber, das noch irgendwas anderes gemacht werden muss, als eine lan-lan-vpn-verbindung, um auf das jeweils andere netzwerk zuzugreifen. und diese verbindung besteht ja.

 

[elblindo1]

Hab mir deine Beschreibung nochmal angesehen. Wenn dein remotes Netz B hinter einem weiteren router sitzt: Welche Meldung erhältst du, wenn du "net view \\IpvonServerC auf einer Maschine im Netz B auf einer Kommandozeile eingibst?
Und hast du in der Firewall des Servers C die Ip-Range des Netzes B für datei- und Druckerfreigaben freigeschaltet? Standard ist glaube ich, das das nur im lokalen Netz frei ist.

Gruss

Elblindo

 

[supraracer]

AW: VPN zwischen zwei entfernten Fritz-Boxen, kein Zugriff auf Freigaben

Hi,

schau mal unter Internet - Filter - Listen - NetBIOS-Filter aktiv
und deaktiviere die Option testweise auf beiden Boxen.

-supraracer

 

[sat_didl]

AW: VPN zwischen zwei entfernten Fritz-Boxen, kein Zugriff auf Freigaben

hi,

...Wenn dein remotes Netz B hinter einem weiteren router sitzt: Welche Meldung erhältst du, wenn du "net view \\IpvonServerC ...

netz B wird von der 4020 geroutet, deren ip ist im router/modem des kabelnetzbetreibers demilitarisiert (DMZ), funktion ist ja bekannt. oder kann es sein das das nicht reicht?
es kommt die meldung "netzwerkpfad nicht gefunden..."

...
Und hast du in der Firewall des Servers C die Ip-Range des Netzes B für datei- und Druckerfreigaben freigeschaltet? Standard ist glaube ich, das das nur im lokalen Netz frei ist.
...

ist kein klassischer server, sondern ein ubuntu-pc mit samba-freigaben, zugangskontrolle via windows-benutzerkennung, mW keine firewall wie du es meinst installiert. server ist in netz A zu sehen, freigaben wie üblich im explorer zu öffnen.

...
schau mal unter Internet - Filter - Listen - NetBIOS-Filter aktiv
und deaktiviere die Option testweise auf beiden Boxen.
...

eigenartig...
in der 4020 gibt es den eintrag "netbios", in der 6360 nicht...

 

[elblindo1]

Hast du am TC Router das Forwarding für IPsec und NAT-T auf die 4020 eingestellt? Nur weil diese in der DMZ des TC liegt, werden ja nicht automatisch die VPN-Protokolle weitergeleitet. Und das du die Weboberflachen der Fritten siehst: Ist es die interne Ansicht ( ohne Benutzername) und daher von netz A nur über VPN sichtbar zu machende) oder ist es die externe Ansicht, wo du Benutzer und Passwort eingeben musst ( und die, wenn entsprechend in der Fritte aktiviert, nur uber https erreichbar wäre) die konnte u.U. durch das platzieren der 4020 in der DMZ des TC Routers auch ohne VPN erreichbar sein.

Gruss

Elblindo

 

[sat_didl]

AW: Re: VPN zwischen zwei entfernten Fritz-Boxen, kein Zugriff auf Freigaben

hallo ihr,
sitze ja nicht an der entfernten fb, somit ist das experimentieren etwas zäh.
folgende erkentniss hat mich aber jetzt doch ereilt: der tc-router ist ein gelump...
man kann zwar einiges einstellen, was mit ports, forwarding usw. zu tun hat, aber insgesamt viel zu wenig. da lob ich mir die fb, da gehts detailierter.
die fb hat zwei einschränkungen was vpn betrifft,

Sie müssen registriert sein, um Links zu sehen.

, und somit bekommt sie in ihrer notwendigen funktionsart vom tc-router eine "i-net-addy" aus dem internen ip-bereich da ja der tc das routing macht. und ist damit auch nicht von "außerhalb" zu erreichen. also kann ich zwar über den "myfritz-tunnel" auf die box, aber eben "intern" wie @elblindo geschrieben hat. ich will die quasi-standleitung zwischen den zwei netzwerken "lan-zu-lan-vpn", und somit bleibt nur eine option: den tc-router zum modem schalten lassen. mal sehen ob und wie das der kd von tc hinbekommt... ich befürchte schlimmes.

ich melde mich wieder

lg

 

[sat_didl]

AW: VPN zwischen zwei entfernten Fritz-Boxen, kein Zugriff auf Freigaben

update

tc hat tatsächlich ohne murren auf "nur-modem" umgestellt. somit macht die 4020 alles. ABER, und das ist wohl das problem, die 4020 bekommt vom tc-modem per dhcp eine 100.xxx.xxx.xxx-ip die öffentlich nicht erreichbar ist (auch nicht per myfritz.net). während dessen hat das tc-modem eine (derzeitige) 91.xxx.xxx.xxx-ip, welche öffentlich erreichbar ist. diese öffentliche ip ist auch bei myfritz eingetragen...

ich werde wohl nochmals mit dem kd reden müssen. bis dahin, hat jemand von euch noch einen tip??

herzlichen dank

lg

 

[elblindo1]

Durch das Umstellen auf "Modem"-Betrieb an der TC ist offensichtlich immer noch routing aktiv, insofern hast du nichts gewonnen.

Alternativ konntest du deine Fritzboxen mit freetz pimpen und so openvpn als Tunnel zwischen deinen Boxen nutzen.

Setzt ein paar mehr Netzwerkkentnisse als bei Nutzung des FritzVPN voraus, ist aber auch kein Hexenwerk.



Gruss



Elblindo

 

[sat_didl]

AW: Re: VPN zwischen zwei entfernten Fritz-Boxen, kein Zugriff auf Freigaben

update!

tja, manchmal sieht man den wald vor lauter bäumen nicht...

...
Und hast du in der Firewall des Servers C die Ip-Range des Netzes B für datei- und Druckerfreigaben freigeschaltet? Standard ist glaube ich, das das nur im lokalen Netz frei ist.
...

nach einigem hin und her hat sich herausgestellt, das wir den server auf zugriffe aus dem adressbereich des heimnetzes beschränkt hatten. zugriffe aus den anderen netzen über vpn waren allgemein schon möglich, aber diese netze hatten ja zwangsläufig einen anderen ip-bereich, und durften somit nicht auf den server zugreifen. zudem, netzgeräte sind per se in den jeweils anderen netzten nicht zu "sehen", ist laut avm nicht möglich. zugriff erfolgt nur durch direkte ip-eingabe in der suche.
das mit tc hat sich somit auch erledigt. es ist mir relativ, ob ich die entfernte box übers i-net erreiche, da der tunnel steht. und das war das ziel.
/ot/
im august ist der routerzwang geschichte, endgültig, dann setzte ich die hardware durch die ich will...
/ot ende/

auf jeden fall geht es nun. danke für eure anteilnahme und mithilfe.


lg