Kein Zugriff auf NAS (per Windows Explorer) über VPN (Fritze-Fritze)

[2000Hardy]

Hallo zusammen,
ich habe eine 413 im Büro (192.168.1.x) am Laufen (die vor Jahren ein "Fachmann" eingerichtet hat, den es nicht mehr gibt) und soweit ist auch alles OK.
Gestern habe ich mein Homeoffice (192.168.2.x) per VPN von FritzBox zu FritzBox verbunden, was auch alles funktioniert.
Nun kann ich vom Homeoffice aus auf die Weboberfläche der NAS zugreifen, mich anmelden und alles machen.
Ich kann sie pingen, bekomme immer Antwort ohne Aussetzer.
Ich kann auch per FTP auf die interne IP der NAS zugreifen (im Windows Explorer ftp://192.168.1.10) - geht, zeigt mir alle Ordner etc. an.
Nur über den Windows Explorer geht es nicht.
Wenn ich \\192.168.1.10 eingebe, kommt nach kurzer Wartezeit ein Fehler, dass auf \\192.168.1.10 nicht zugegriffen werden kann.
Kann sich jemand vorstellen, warum das nicht geht?
Gibt es eine Möglichkeit, den SMB-Zugriff auf das lokale Netz zu beschränken? (Ich habe ja in dem Moment eine IP aus dem Homeoffice)
Die NAS hat eine feste IP und auch der Gateway ist m.A. nach richtig (Fritze vom Büro)
Wer kann mir helfen?
Vielen Dank schon mal.

 

[NSFH]

\\192.168.1.10\Ordnername

Mit der Firewall der Syno solltest du immer alles blocken, was nicht drauf darf, also auch SMB aus fremden Netzen verweigern!

 

[2000Hardy]

Danke, aber \\192.168.1.10\Ordnername geht auch nicht.

OK, in der Firewall der Syno kann ich das irgendwo einstellen?

 

[blurrrr]

Ja, kannst Du.

 

[2000Hardy]

Also ich habe unter Sicherheit einen Reiter Firewall. Das ist aber nicht aktiviert...

 

[blurrrr]

Dann ist Dein Problem mitunter anderer Natur, was aber erstmal nicht so aussieht, denn: Wen alles andere funktioniert (Ping, Webinterface, etc.) und nur ein einziger Dienst nicht funktionieren mag (bei Zugriff aus einem anderen Netzwerk), liegt die Vermutung doch schon sehr nahe, dass es die Firewall vom Zielgerät ist. Alternativ kannst Du auch mal für ein paar Sekunden Deinen Virenscanner abschalten (sofern dergleichen installiert) und es nochmal versuchen (manche Virenscanner blockieren derlei Zugriffe in Fremdnetze auch - weiss der Geier warum - Sicherheits"feature")

 

[NSFH]

oder hast du administrative Freigaben eingerichtet? Dann
\\192.168.1.10\Ordnername$

 

[2000Hardy]

Ohne Virenscanner geht es leider auch nicht.
administrative Freigaben sind es auch nicht, da ich mit dem Notebook im Büro über den Weg: \\192.168.1.10\ einwandfrei auf alles drauf komme (zuerst kommt die Abfrage nach Name und PW)
Noch irgendwer eine Ahnung?

 

[blurrrr]

Also \\<IP>\ sollte so auch erstmal nicht funktionieren, da muss schon ein Freigabe-Name hinter stehen. Du weisst sicherlich, was Du für Freigaben auf dem System angelegt hast, von daher versuch es mit "\\IP\Freigabename" (Freigabename ist der Name des "gemeinsamen Ordners"). Alternativ ist es natürlich auch möglich, dass sich die Geräte im Office und Homeoffice unterscheiden und es ggf. an der SMB-Version o.ä. scheitert.

EDIT: Alternativ kann man sich auch - wie damals zur Einrichtung auch - jemanden vom Fach ranholen (grade, wenn es um gewerbliche Anliegen geht)

 

[synfor]

Also \\<IP>\ sollte so auch erstmal nicht funktionieren

Also bei mir werden da die Freigaben aufgelistet, sofern nicht versteckt.

 

[2000Hardy]

Danke,
genau, bei mir auch. geht mit dem selben Gerät vor Ort, nicht aber über die VPN

 

[blurrrr]

@synfor Du hast aber vermutlich die Zugangsdaten schon auf dem Client gespeichert?

\\ip\freigabename sollte aber auf jeden Fall funktionieren.

Alternativ könnte man auch folgendes ausprobieren: "Eingabeaufforderung" starten:

"net view \\IP /all"

Sind die Logindaten gespeichert, sollten die Shares aufgelistet werden. Sind die Logindaten nicht gespeichert, wird es ein "Zugriff verweigert" geben.

EDIT: Man kann auch im "Vorfeld" hingehen und die Anmeldedaten in der Windows-Anmeldeinformationsverwaltung für die entsprechende NAS-IP hinterlegen. Diese werden dann automatisch beim Zugriff benutzt (dann gibt es keine Login-Aufforderung mehr).

 

[2000Hardy]

net view bringt:
Systemfehler 53
Der Netzwerkpfad wurde nicht gefunden
Ich verstehs nicht...

 

[blurrrr]

Also nur mal zum Verständnis:

"ping 192.168.1.10" -> funktioniert
"net view \\192.168.1.10 /all" -> Systemfehler 53?

Letzteres bekomme ich hier nur, wenn ich eine IP angebe, die es garnicht gibt bzw. wo kein Samba-Dienst läuft. Wären es nur falsche Berechtigungen (Logindaten falsch, oder nicht vorhanden) wäre die Meldung "Systemfehler 5 - Zugriff verweigert" (grade getestet mit einem NAS im Rechenzentrum, wo ich die Login-Daten nicht gespeichert habe).

Sieht für mich jetzt erstmal so aus, als gäbe es entweder Einschränkungen von einer Firewall, oder direkte Einschränkungen im Samba-Dienst. Allerdings kann ich Dir grade nicht sagen, wie die Fehlermeldung von "net view" aussehen würde, wenn der Zugriff auf die Shares auf einen bestimmten IP-Kreis beschränkt wären (ob dann eben Fehler 5 oder 53), es macht jedenfalls den Eindruck, als wäre der Samba-Dienst so "garnicht" bereit mit Dir bzw. Deinem Homeoffice zu reden (daher auch Systemfehler 53 - Netzwerkpfad nicht gefunden).

Denke, dass man sich das schon im Detail anschauen müsste. Wenn Du damit überfordert bist, solltest Du ggf. die Person konsultieren, welche Dir das damals eingerichtet hat (ggf. per Fernwartung).

 

[synfor]

@synfor Du hast aber vermutlich die Zugangsdaten schon auf dem Client gespeichert?

Ja, mir war bisher noch nicht aufgefallen, dass das ein Unterschied macht.

 

[2000Hardy]

Also nur mal zum Verständnis:

"ping 192.168.1.10" -> funktioniert
"net view \\192.168.1.10 /all" -> Systemfehler 53?

Letzteres bekomme ich hier nur, wenn ich eine IP angebe, die es garnicht gibt bzw. wo kein Samba-Dienst läuft. Wären es nur falsche Berechtigungen (Logindaten falsch, oder nicht vorhanden) wäre die Meldung "Systemfehler 5 - Zugriff verweigert" (grade getestet mit einem NAS im Rechenzentrum, wo ich die Login-Daten nicht gespeichert habe).

Sieht für mich jetzt erstmal so aus, als gäbe es entweder Einschränkungen von einer Firewall, oder direkte Einschränkungen im Samba-Dienst. Allerdings kann ich Dir grade nicht sagen, wie die Fehlermeldung von "net view" aussehen würde, wenn der Zugriff auf die Shares auf einen bestimmten IP-Kreis beschränkt wären (ob dann eben Fehler 5 oder 53), es macht jedenfalls den Eindruck, als wäre der Samba-Dienst so "garnicht" bereit mit Dir bzw. Deinem Homeoffice zu reden (daher auch Systemfehler 53 - Netzwerkpfad nicht gefunden).

Denke, dass man sich das schon im Detail anschauen müsste. Wenn Du damit überfordert bist, solltest Du ggf. die Person konsultieren, welche Dir das damals eingerichtet hat (ggf. per Fernwartung).

genau, Ping geht, Weboberfläche geht, ftp geht, nur SMB nicht.
und der net view bringt Systemfehler 53
Den, der die NAS eingerichtet hat, gibt es leider nicht mehr.
Firewall ist aus - hab ich auch mal eingeschaltet und eine Regel erstellt "alles zulassen" - keine Änderung
Muss ja irgendwas mit dem SMB-Dienst zu tun haben, oder?

 

[blurrrr]

So wie es bisher den Eindruck macht (und ansonsten keinerlei sonstige Hardware-Firewall davor sitzt) theoretisch schon. Daher auch die Vermutung, dass der Zugriff auf den Samba-Dienst mitunter auf IP-Adressen/-Netze eingeschränkt wurde, so dass der Samba-Dienst mitunter auch garnicht mehr auf Anfragen von anderen Adressen reagiert (was auch die Fehlermeldung erklären würde, dass der Netzwerkpfad nicht gefunden wird, denn als Antwort gibt es einfach nur "keine" (anstatt z.B. "Login falsch")). Alternativ ggf. eben noch die Samba-Version, wobei da die Frage wäre, wie es derzeit konfiguriert ist (minimal + maximal - steht bei mir auf 2 und 3, 1 sollte man nicht mehr nutzen).

EDIT: Sofern es im Rahmen Deiner Möglichkeiten liegt - schau mal via SSH (Shell) in die smb.conf, ob dort ggf. irgendwo etwas von "hosts allow" steht.

 

[the other]

Moinsen,
welche smb Version ist denn im NAS aktiviert? 1, 2 oder 3 (ohne Peter Schanze bzw. Elton)...?

 

[2000Hardy]

Servus,
es war min. smb1 und max smb2 aktiviert.
Habe auch mal smb 3 als max angegeben und am PC Unterstützung für SMB 1 nachinstalliert.
Keine Änderung. Leider

 

[blurrrr]

Irgendwas nachinstallieren ist nicht die Lösung und macht mitunter mehr Probleme, als vorher da waren.