OpenVPN: kein Zugriff auf Windows Freigaben



  • Hallo zusammen!

    Ich habe ein problem mit pfSense und OpenVPN mit den Windows Freigaben. Sprich ich kann auf keine zugreifen…

    Mein Testnetzwerk sieht so aus:

    
    WAN / Internet
                :
                : 
                :
          .-----+-----.
          | openVPN  |  192.168.142.0/24
          '-----+-----'
                |
                |
                |
          .-----+-----. 
          |  pfSense |
          '-----+-----' 
                |
            LAN | 192.168.42.0/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        Server 2012 R2
    
    

    Folgendes funktioniert:

    • Ping vom Server zum verbundenen Client (also 192.168.42.3 -> 192.168.142.2)
    • Ping vom Client zum Server (also 192.168.142.2 -> 192.168.42.3)
    • Remotedesktop vom Client zum Server

    Man findet nun dazu ziemlich viel im Netz. Aber alle Lösungsansätze haben bei mir nichts geholfen:

    • Windows Firewalls sind sowohl am Client als auch am Server komplett abgeschalten
    • Software Firewalls (Zonealarm, Kaspersky whatever) sind keine installiert
    • Keine Virenscanner o.ä. sind installiert
    • pfSense ist als Gateway beim Server eingetragen

    Ich habe nun aus verzweiflung schon in der abgeschalteten Firewall die SMB und NB Regeln auf das 192.168.148.0/24 Netzwerk erweitert (Firewall -> erweiterte Einstellungen -> Eingehend -> ensprechende Regel -> Bereich -> Remote Netzwerk)…

    Ich vermute allerdings immer noch ein Firewallproblem (wie auch immer), da ansonsten ja kaum noch was in Frage kommt...

    Oder hat von euch noch jemand eine Idee?

    Danke im voraus für Anregungen.

    Gruß Mable



  • Wie greifst du auf die Freigaben zu?

    1.) Geht der Zugriff mit \<name-des-servers><freigabename>?
    2.) Geht der Zugriff mit \<ip-des-servers><freigabename>?

    Gruß Sebastian</freigabename></ip-des-servers></freigabename></name-des-servers>


  • LAYER 8 Moderator

    Ich vermute allerdings immer noch ein Firewallproblem (wie auch immer), da ansonsten ja kaum noch was in Frage kommt…

    Meistens ist es das gerade nicht.

    Wie sanches korrekt fragt:

    Wie greifst du auf die Freigaben zu?

    Wahrscheinlich greift dein Client mit dem normalen NETBIOS Namen auf den Server zu was nicht klappt, wenn du den DNS vom Server nicht auf dem Client nutzt. Wenn es mit \<serverip>\ <share>funktioniert hast du deinen Schuldigen - OpenVPN + dich ;) und kannst bei den OpenVPN Settings den DNS zum Client pushen lassen (oder dort direkt eintragen).

    Gruß</share></serverip>



  • @JeGr:

    Wie greifst du auf die Freigaben zu?

    Wahrscheinlich greift dein Client mit dem normalen NETBIOS Namen auf den Server zu was nicht klappt, wenn du den DNS vom Server nicht auf dem Client nutzt. Wenn es mit \<serverip>\ <share>funktioniert hast du deinen Schuldigen - OpenVPN + dich ;) und kannst bei den OpenVPN Settings den DNS zum Client pushen lassen (oder dort direkt eintragen).</share></serverip>

    Wenn Windows 10 im Einsatz ist bringt auch das pushen des DNS-Servers nichts, der Client versucht weiterhin über den "lokalen" DNS-Server aufzulösen. Wenn die aktuellste Version des OpenVPN-Clients verwendet wird kannst man mit "push block-outside-dns" das ganze verhindern.

    Quelle: https://community.openvpn.net/openvpn/ticket/605

    Wenn ich das richtig verstehe wurde nur ein "Workaround" mit diesem Fix eingebaut. Die Windows Firewall blockt dann alle lokalen DNS Anfragen und lässt nur welche über den TAP-Adapter zu. Das lustige ist nslookup.exe scheint es nicht zu interessieren und versucht es weiterhin über den lokalen DNS und man bekommt Timeouts gemeldet.



  • Moin zusammen!

    Dass DNS nicht geht ist klar. Alte Schule: Ich greife auf alle Server per IP zu…

    es ist auch egal ob ich einen freigabenamen (inkl. c$) angebe oder nicht.
    \<ip-des-servers>\ <freigabename>oder
    \ <ip-des-servers>es funktioniert nicht. Wobei ohne Freigabename kommt direkt:```
    Sie haben keine Berechtigung für den Zugriff auf...

    
    Gebe ich einen Freigabenamen an, will er Benutzername und Passwort und bringt dann immer:
    

    auf \ip-des-servers\freigabe konnte nicht zugegriffen werden. Vergewissern sie sich, dass der Name richtig geschrieben wurde...

    Unter Details dann der sehr spezifische Fehler:```
    Fehlercode: 0x80004005 - unbekannter Fehler
    

    Direkt in dem Netz geht alles ohne Probleme und auch mittels auf dem Server zum Test eingerichteten PPTP (pfsense leitet nur durch) funktionieren die Freigaben.

    Übringens bringt ein

    net use x: \\<ip-des-server>\ <freigabe>/User:Administrator</freigabe></ip-des-server>
    

    nach eingabe des Passwortes folgenden Fehler:

    Geben Sie das Kennwort für "Administrator" ein, um eine Verbindung mit "192.168.42.3" herzustellen:
    Systemfehler 53 aufgetreten.
    
    Der Netzwerkpfad wurde nicht gefunden.
    

    Gruß</ip-des-servers></freigabename></ip-des-servers>



  • Den berechtigten User gibst du aber schon mit zugehörigem Rechner- od. Domänenamen an?

    Also

    
    Host\User
    Domäne\User
    
    


  • Er hat ja geschrieben mit pptp geht es also denke ich mal nicht das es an den Benutzerrechten im Windows liegt.

    Wie sehen denn deine Regeln im openvpn tab aus? schon mit any any getestet?


  • LAYER 8 Moderator

    Er hat ja geschrieben mit pptp geht es also denke ich mal nicht das es an den Benutzerrechten im Windows liegt.

    PPTP ist aber eine völlig andere Baustelle und "patcht" den Client dreckig in das Netz, in dem die Broadcast Domain liegt. Also nicht zu vergleichen mit einem echten VPN das den Namen verdient. Daher durchaus eine relevante Frage von virago.

    Für mich sieht das auch eher nach einem Netzwerk/Windows Domain Problem aus, wäre es ein OVPN Fehler würde überhaupt keine Verbindung zustande kommen. Allerdings würde ich es sinnvollerweise auch erst einmal im VPN Tab auf beiden Seiten eine any-any-pass Regel mit Logging einrichten, damit man sieht, was darüber gesprochen wird.

    Gruß



  • Moin,

    ist denn der Zugriff von anderen Netzen aus im SMB überhaupt erlaubt?

    Gruß
    pfadfmin


Log in to reply