Zugriff auf Fileserver im web nur mit LTE, nicht mit DSL?!

S

StephanCDI

Active member
Registriert
8 Sep. 2007
Beiträge
1.159
Guten Abend zusammen,

ich hoffe inständig, dass mir einer von Euch ein wenig auf die Sprünge helfen kann.

Wir haben für ein gemeinsames Projekt vom Auftraggeber einen Fileserver freigegeben bekommen.
Dieser ist mit einer statischen IP übers Internet angebunden.
Der Freigabelink sieht so aus:

\\123.456.78.90\ProjektnameMitInhalt , wobei 123.xxx... die statische IP ist.

Es gibt eine Zugriffsteuerung über Anmeldename und Kennwort.

Bei mir hier gibts ein VDSL mit 50/10, eine Fritzbox 7580(U) und dahinter ein paar Rechner mit Datengrab etc.
Ich kann auf meinen Server auch von außen zugreifen, der Internetzugang läuft einwandfrei.

Jetzt habe ich hier erstmal mit meinem W530 über Win10 versucht, Zugriff auf den Ordner beim Auftraggeber zu bekommen.

Weder direkt als Link in 4 versch. Browsern noch als Netzlaufwerk oder FTP-Laufwerk oder mit Spielereien als Webadresse umgeschrieben bekomme ich über mein Lan/DSL Zugriff.
Der Server kann angepingt werden und ist (relativ) schnell erreichbar ohne Verluste. Zugriff:nada.

Wenn ich jetzt mit meinem EierPhone einen Hotspot erstelle und über O2-LTE verbinde, habe ich witzigerweise mit genau dem gleichen Gerät und den identischen Einstellungen Windowsseitig sofort Zugriff auf die Daten. :blink:

Sobald ich mich mit dem lokalen AP verbinde, ist wieder Schluss mit Zugriff.:facepalm:

Meine Laienhafter Verdacht ist, dass die Fritzbox nichts durch in der Richtung durch lässt.

Habt Ihr da einen Tipp für mich, wo ich ansetzen kann??:love: Oder werden noch Angaben gebraucht? :)

Vielen Dank schon mal und viele Grüße,
Stephan
 
Wie wäre es denn mal mit einer Zeichnung der Topologie?
 
Ich würde mal volles Risiko gehen und eine Portfreigabe probieren und dann langsam einschränken... ;)
---
portfreigaben.PNG
---​
 
Probier mal, mit WinSCP eine Verbindung aufzubauen. Mit etwas Glück ist WinSCP geschwätziger und gibt dir Hinweise, wo das Problem liegt.



think_pad schrieb:
Ich würde mal volles Risiko gehen und eine Portfreigabe probieren und dann langsam einschränken... ;)
Zum Vergrößern anklicken....
Was bringt das bei ausgehenden Verbindungen?
Der TE kommt von seinem eigenen Rechner im lokalen Netzwerk nicht auf den Server des Auftraggebers im Internet.
 
Hallo, und schon mal vielen Dank für die Antworten.

WinSCP werd ich umgehend testen. Und, moronoxyd, vollkommen richtig. Mein Problem ist tatsächlich nicht die Erreichbarkeit des eigenen Servers sondern die des Auftraggebers übers Internet.

Ein Projektpartner hat bereits festgestellt, dass es bei ihm läuft. Ein anderer, dass es bei ihm nicht läuft. Ich würde sehr gern die ganze Topologie zeichnen. Leider bin ich kein Netzwerktechniker sondern versuche nur,
so gut es geht, selber den Durchblick als "Laie" zu wahren. Und deshalb bin ich Euch für die Unterstützung umso dankbarer. :thumbup:

VG Stephan

PS: Windows-Firewall habe ich zum Test deaktiviert, hat nichts gebracht. Zwischendurch hatte ich einen Verdacht in Richtung IPv4/v6, da steige ich aber noch zu wenig durch..

PPS: So, WinSCP installiert und versucht, eine neue WebDAV Verbindung einzurichten. Mit richtiger IP, Anmeldename und Kennwort kommt die Fehlermeldung 10060 Socket error, Could not connect to server..

Update:
Ich habe jetzt nochmal ein Netzlaufwerk während der Verbindung mit Iphone-Hotspot erstellt. Da läuft's ja.
Bei deaktiviertem Hotspot und Verbindung über die Fritzbox mit dem Internet kommt nach Diagnose die Info, dass der Server nicht erreichbar ist über den Port 445.
Heißt das, dass bei der Einrichtung des Laufwerks auch genau der Port 445 verwendet wurde? Oder bezieht sich der in dem Zusammenhang nur auf allgemeine Funktionen der Windows Datei- und Druckerfreigabe?

Update2: Hab jetzt das Gerät hier nochmal als Exposed Host im Bereich IPv4 und v6 komplett frei gegeben um das Thema Port abzugrenzen.
Hat nichts gebracht. Externer Server weiterhin über Lan/Wlan/DSL nicht erreichbar. Nur über LTE/Mobil
 
Zuletzt bearbeitet:
Die Angabe des Links im Internet ist ernsthaft als UNC Pfad? Die veröffentlichen also ernsthaft SMB ins Netz? Sind die wahnsinnig?

SMB ist nicht für Transfers im Internet gedacht! Jeder vernünftige Router blockt daher die notwendigen Ports dafür ein- und ausgehend. Daher kommst du über die Fritz!Box auch nicht auf solch einen Pfad. Das soll auch so!

Was der Auftraggeber da macht, ist hanebüchener Irrsinn! Er möge sich bitte eine vernünftige Art und Weise ausdenken, wie er seine Daten bereitstellen kann. Über ein Protokoll, welches dafür gedacht ist - mit der entsprechenden Sicherheit.
 
Hallo Ingo,

und danke Dir für die Anregung. Ich hätte ihm (ihr) ja vorgeschlagen, einen Onlinedienst z.B. Mydrive die Sache "regeln" zu lassen. Aber sie (er/sie :) ) hat wohl Informatik studiert und wollte bestimmt auch was zum Projekt beitragen..

Jedenfalls möchte ich ungern den Bu-Mann spielen. Besteht durch die Veröffentlichungsart auch Gefahr für mich? Oder sind "nur" ihre Daten und ihr Server in Gefahr? Bin da jetzt natürlich ein wenig verunsichert..

VG Stephan


Update:
Tjaaaa, das war ein wirklich hilfreicher Einwurf, vielen Dank nochmal. Hier ein Link mit Infos, was AVM dazu sagt:
https://avm.de/service/fritzbox/fri...ers-sind-ueber-das-Internet-nicht-erreichbar/
Klingt nicht so gut. Auf jeden Fall habe ich den Zugriff mit der Deaktivierung des NetBios-Filters temporär zum laufen gebracht, werde diesen aber natürlich wieder aktivieren..
Dass man gezielt die Kommunikation mit einer statischen IP zulässt und alle anderen Blockt, geht nicht?
 
Zuletzt bearbeitet:
Die direkte Internetfreigabe mit SMB oder das Zulassen anderer Dienste wie Netbios ist grob fahrlässig und kann ernsthafte Konsequenzen nach sich ziehen, je nachdem um was für Daten es sich handelt!

Von VPN hat Er/Sie/Ihr aber schon mal was gehört, oder?

Grüße
Paul
 
der_ingo schrieb:
Die Angabe des Links im Internet ist ernsthaft als UNC Pfad? Die veröffentlichen also ernsthaft SMB ins Netz? Sind die wahnsinnig?
SMB ist nicht für Transfers im Internet gedacht! Jeder vernünftige Router blockt daher die notwendigen Ports dafür ein- und ausgehend. Daher kommst du über die Fritz!Box auch nicht auf solch einen Pfad. Das soll auch so!
Zum Vergrößern anklicken....

Schließe mich der Empörung vollinhaltlich an: Auf SMB via UNC wäre ich jetzt nicht gekommen...
 
Hallo Leute,

und nochmals vielen Dank für die direkten Worte. Für mich persönlich ist das blinde Öffnen aller Pforten keine Option, so viel ist klar. Die Frage ist nur: wie sag ich's meinem Kind (Auftraggeber)..:pinch:
Jetzt geht's, wie im richtigen Leben, natürlich um einen Lösungsweg. :thumbup:
Ich möchte das ganze ganz gerne differenziert betrachten, deshalb stelle ich meine oben stehenden Fragen einfach nochmal ein wenig anders:

1. Kann ich technisch den NetBIOS-Filter nur für eine statische IP deaktivieren? Falls das mit der Fritze nicht geht, bräuchte ich wahrscheinlich eine extra Hardwarefirewall mit dieser Konfigurationsmöglichkeit?

2. Welchen Zugang (außer VPN) würdet Ihr empfehlen? Es sollen per möglichst einfacher Freigabe mehrere Projektbeteiligte an unterschiedlichen Standorten auf die Daten zugreifen und auch welche hochladen können.

3. Was kann ganz konkret passieren, wenn ich mich auf die Aktivierung des NetBIOS-Filters einlasse? (Bitte her mit den Horror-Scenarien! Brauche Futter für die Verhandlung:eek:)

VG Stephan

PS: Ich bin immer wieder begeistert über unser Forum! Die Aktionen, die Hilfe, die geballte Ladung Wissen und die passenden Leute dazu. Wollte ich nur nochmal gesagt haben.:love:
 
StephanCDI schrieb:
1. Kann ich technisch den NetBIOS-Filter nur für eine statische IP deaktivieren? Falls das mit der Fritze nicht geht, bräuchte ich wahrscheinlich eine extra Hardwarefirewall mit dieser Konfigurationsmöglichkeit?
Zum Vergrößern anklicken....
Ja, das geht mit jeder Linux Box einfach per iptables. Ob es die Fritte kann, weiß ich nicht (technisch natürlich, aber vermutlich nicht über das Webinterface).

2. Welchen Zugang (außer VPN) würdet Ihr empfehlen? Es sollen per möglichst einfacher Freigabe mehrere Projektbeteiligte an unterschiedlichen Standorten auf die Daten zugreifen und auch welche hochladen können.
Zum Vergrößern anklicken....
sftp, welches dann clientseitig beispielsweise WinSCP benötigt.
Ich habe einem Projektpartner notgedrungen mal einen FTP Zugang eingerichtet, weil er keine Zusatzsoftware auf dem Client nutzen darf. Die Daten sind nicht sehr sensibel, und wenn jemand den Zugang mitliest ist das Risiko überschaubar. Dafür geht das direkt über den Windows Explorer - nur eben ohne Verschlüsslung, weil dieser kein FTPs kann.

3. Was kann ganz konkret passieren, wenn ich mich auf die Aktivierung des NetBIOS-Filters einlasse? (Bitte her mit den Horror-Scenarien! Brauche Futter für die Verhandlung:eek:)
Zum Vergrößern anklicken....
https://en.wikipedia.org/wiki/NetBIOS_over_TCP/IP#Security_vulnerabilities
http://www.techrepublic.com/blog/it-security/the-problem-with-netbios/
 
Zuletzt bearbeitet:
StephanCDI schrieb:
1. Kann ich technisch den NetBIOS-Filter nur für eine statische IP deaktivieren? Falls das mit der Fritze nicht geht, bräuchte ich wahrscheinlich eine extra Hardwarefirewall mit dieser Konfigurationsmöglichkeit?
Zum Vergrößern anklicken....

Mit der Fritz!Box kannst du das so im Detail nicht konfigurieren.
StephanCDI schrieb:
2. Welchen Zugang (außer VPN) würdet Ihr empfehlen? Es sollen per möglichst einfacher Freigabe mehrere Projektbeteiligte an unterschiedlichen Standorten auf die Daten zugreifen und auch welche hochladen können.
Zum Vergrößern anklicken....

Ich würde am Ziel einen Webdienst einrichten, mit dem die Daten dann ausgetauscht werden können, abgesichert über TLS, d.h. halt als https Seite. Das kann sowas wie Owncloud sein. Selbst eine Cloudlösung wie Onedrive/Dropbox oder ähnliches würde ich im Vergleich als sinnvoller ansehen. Dann kann immerhin nicht die ganze Welt mitlesen.

StephanCDI schrieb:
3. Was kann ganz konkret passieren, wenn ich mich auf die Aktivierung des NetBIOS-Filters einlasse? (Bitte her mit den Horror-Scenarien! Brauche Futter für die Verhandlung:eek:)
Zum Vergrößern anklicken....
Zuerst mal gehen die Daten unverschlüsselt durchs Netz. Damit kann jeder mitlesen, der irgendwie auf dem Weg im Netz hängt. Und dann machst du dich damit angreifbar für eine ganz nette Lücke. Wenn dir nämlich jemand eine böse URL in Form eines UNC Pfades schickt, versucht dein PC, sich dort auch anzumelden. Und schickt dazu Benutzername und Passwort. Mit diesem Hash kann dann ein Hacker bei dir im Netz mal Hallo sagen.
 
Dein Auftraggeber handelt grob fahrlässig. Ich hoffe er ist einsichtiger als es seine völlige Unkenntnis von Netzwerksicherheit befürchten läßt.

Die Windows-Server-Komponente hinter Port 445/tcp (SMB / CIFS) ist schon immer Gegenstand von mehr oder weniger krassen Sicherheitslücken und von Schadsoftware die diese ausnutzt. Der Port ist u.a. der aktuelle Angriffsvektor für die Ransomwares WannaCry, Petya und diverse Vorgänger. Deshalb kommuniziert niemand bei klarem Verstand ungeschützt über SMB/CIFS im Internet.

Konkret ergibt sich daraus für dich und alle anderen Beteiligten die akute Gefahr, dass der Server deines Auftraggebers samt den bereitliegenden Dateien bereits mit Schadsoftware verseucht ist. Durch den Dateitransfer sind mittelbar die PCs und Daten aller Auftragnehmer bedroht.

Hinzu kommt, dass das SMB- bzw. CIFS-Protokoll die Nutzdaten erst in der neuesten Version 3 verschlüsseln kann, es ist also bei älteren Client- oder Serverversionen davon auszugehen, dass die Daten unverschlüsselt das Internet durchlaufen und problemlos von Angreifern manipuliert werden können. Also vergiss bitte "tolle Ideen" wie IP-basierte Filterung.

Deinem Auftraggeber würde ich dringend empfehlen, den Server sofort abzuschalten und eine sachkundige Person mit dem Thema zu betrauen. Ansonsten darf er sich schon mal für Schadensersatzforderungen wappnen.

[EDITH]Sofern keine BDSG-relevanten Daten im Spiel sind, ließe sich [/EDITH] ein beliebiger Cloud-Dienst (Dropbox o.ä.) Ad Hoc einrichten und böte ohne aufwendige Administration sofort hinreichende Sicherheit. Bei entsprechendem Schutzbedarf der Daten eben bei einem Anbieter mit deutschem Serverstandort und Client-seitiger Verschlüsselung. Aufgrund des fehlenden Know-Hows der Beteiligten ist das einem selbst gehosteten Server bzw. VPN – mit welcher Software auch immer – unbedingt vorzuziehen.

EDITH reicht einen Link: https://www.heise.de/ct/ausgabe/201...esselnde-Speicherdienste-im-Test-2781409.html

Und mache bitte unverzüglich alle Einstellungen, die Du an Router und PC versucht hast, wieder rückgängig.

EDITH2: die möglicherweise neugierige Konkurrenz deines Auftraggebers freut sich natürlich auch über solch ein "Scheunentor".
 
Zuletzt bearbeitet:
@Morns: genau daher kommt doch die momentane "Lösung": Nur-Anwender, keine einschlägigen Kenntnisse, von Newsmeldungen verunsichert, dann machen wir es auf unserem Server vor Ort, alles ist gut ...:(
 
@linrunner:
Da auch von Deiner Seite "Dropbox" als Beispiel ins Spiel gebracht wurde, musste ich auf die Gefahren mit Cloud-Programmen hinweisen. Es nützt nichts, zwischen Pest, Typhus und Cholera entscheiden zu lassen.

VPN wäre in meinen Augen die einzig sichere und ziehführende Lösung. Wenn der Auftraggeber den "richtigen" Router besitzt, ist OpenVPN schon betriebsbereit und es müssen nur die passenden Einstellungen vorgenommen und Client-Profile erstellt werden.
 
Zuletzt bearbeitet:
Mornsgrans schrieb:
VPN wäre in meinen Augen die einzig sichere und ziehführende Lösung. Wenn der Auftraggeber den "richtigen" Router besitzt, ist OpenVPN schon betriebsbereit und es müssen nur die passenden Einstellungen vorgenommen und Client-Profile erstellt werden.
Zum Vergrößern anklicken....
Wenn der Auftraggeber ernsthaft auf die völlig bescheuerte Idee kommt, SMB ins Internet zu veröffentlichen, dann würde ich nicht erwarten, dass man da so eine Lösung mit VPN aufbauen kann.
 
@all: Bevor wir uns zu sehr in eine Diskussion zur "besten Lösung" verbeissen, sollten wir erstmal die nächste Stellungnahme des TE abwarten. Fakten und Vorschläge für seine Entscheidung liegen auf dem Tisch.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben