Oct 16, 2018, updated at 16:51:40 (UTC)

2687

Windows10 kein Zugriff auf Windows Shares über VPN

Hallo,

Ich habe zwei PC testweise mit ZeroTier verbunden.
Ein Notebook ist in dem FirmenDomain das andere nicht.

Wenn ich die VPN interne IP anpinge, geht es ohne Probleme. Wenn ich aber ein Netzwerkfreigabe erreichen möchte geht es nicht so \\IP\TESTVERZEICHNIS

Hat jemand eine Idee woran es liegen kann? Da das Notebook anpingbar ist gehe ich davon aus, dass nichts den Zugriff blockiert ...

Vielen Dank für die Rückmeldung.

Gr. I.

EDIT: Habe Thread verschoben.

Please also mark the comments that contributed to the solution of the article

Content-Key: 389624

Url: https://administrator.de/contentid/389624

Printed on: April 18, 2024 at 23:04 o'clock

17 Comments

Latest comment

...deshalb hat es eigentlich auch nichts in der Rubrik Router & Routing zu suchen, denn es ist ein reines Winblows Problem. Wäre also in der Rubrik besser augehoben damit es auch die richtigen lesen...

Hallo,

übliche kleine 1+1 - Ports offen?

VG

Hi Certifiedit.net.

Der Installer hat lediglich einen Port geöffnet:

TCO und UDP 9993.

Gr. I.

Ich nehme nicht an, dass über die Ports SMB geht

Also, entsprechend konfigurieren.

Moin ...

Zitat von @istike2:
Ich habe zwei PC testweise mit ZeroTier verbunden.
Ein Notebook ist in dem FirmenDomain das andere nicht.

Aha, und gibt es bei denen ein unterschiedliches Verhalten ... oder bei beiden gleich?

anpingbar ist gehe ich davon aus, dass nichts den Zugriff blockiert ...

Nuja, wie wäre es mit ein paar zusätzlichen Informationen ... Windows oder Samba-Server / Domäne?
Welche Berechtigungen auf dem Share?

VG

Hi Ashnod,

ich versuche von meinem FirmenPC (In der Domain) auf eine Share (meines privaten Notebooks) zuzugreifen.
Wie gesagt Ping geht, SMB nicht.

Auf meinem privaten PC haben für die Anwendung ZeroTier One - bei eigehenden Regeln - alle Ports für beide Protokolle erlaubt und das Notebook neugestartet.

Möglicherweise verbietet ein Policy auf dem Firmennotebook auf Shares fremder Netze zuzugreifen oder was weiß ich ...

Gr. I.

Mal ganz abgesehen von der Gefahr öffentliche VPN Dienstleister wie den obigen zu verwenden !
Das der die VPN Schlüssel an Sicherheitsbehörden und Dritte weitergibt sollte jedem bewusst sein. Sicher sind solche VPNs auf keinen Fall.
Da kann man auch gleich offenes Port Forwarding machen.... Aber muss ja jeder selber wissen was er macht !

Ahoi ...

Zitat von @istike2:
Möglicherweise verbietet ein Policy auf dem Firmennotebook auf Shares fremder Netze zuzugreifen oder was weiß ich ...

Durch diese Aussage würde ich vermuten das du nicht der Administrator des Firmennetzwerks bist.

Entweder setzt du dich mit der IT-Abteilung bei euch auseinander oder hinterfragst dich erstmal selbst ob das was du dort machst evtl. arbeitsrechtliche Konsequenzen nach sich zieht.

Es gibt durchaus sehr gute Gründe für ein Unternehmen genau das nicht zuzulassen.

VG

Hallo,

ich habe jetzt den Testsetup zu Hause aufgebaut

Beide Rechner sind im WLAN, Ping geht in beide Richtungen.

Wenn ich von PC A , PC "B" mit dem Namen \\PC_B\TEST klappt der Zugriff, die Anmeldefenster kommt. Dies geht natürlich über WLAN.

Wenn ich aber die VPN IP des PCs "B" probiere \\172.29.XXX.XXX\TEST kommt nur eine Fehlermeldung.

Was ich schon kontrolliert habe:

Aud dem Quellrechner:

#1 VPN Netze sind als Privat eingestuft.

Auf die Zielrechner:
#1 SMB 1 Support ist erlaubt
#2 TCP 445, 137, 139 und UDP 137, 139 sind für Netze mit Einstufung Domain und Privat erlaubt
#3 die VPN Netze sind als "Privat" eingestuft.

Hat jemand noch eine Idee was ich noch kontrollieren kann?

Vielen Dank.

Gr. I.

Klappt hier in einem Testaufbau mit einem Mikrotik als VPN Dialin und IPsec fehlerlos mit einem Windows 10 Client.
Testweise auch nochmal PPTP gecheckt, klappt auch fehlerlos.
OpenVPN steht noch aus.
Kannst du die VPN IP pingen ? (ICMP erlaubt in der FW !)
Hast du auf dem Rechner irgendeine Security Software am laufen ala Kaspersky und Co ?

Vielen Dank Aqui,

VPN IP kann ich anpingen.

Tracert zeigt auch, dass die beiden Rechner einander ohne Umwege direkt erreichen.
Keine der beiden PCs hat irgendwelche Security Tools.

Fazit:

- VPN Tunner steht, an der VPN an sich kann es nicht liegen
- SMB ohne VPN geht, an der Windows Config / Freigabe kann es also auch nicht liegen

allein an der Firewall muss es liegen nur ich verstehe nicht warum, mehr also TCP 445 137, 139 UDP 137, 139 kann ich ja nicht öffnen.

Ich deaktiviere einfach die FW. Mehr geht nicht.

Gr. I.

mehr also TCP 445 137, 139 UDP 137, 139 kann ich ja nicht öffnen.

Öffne doch testweise mal mit einem "Scheunentor" und checke mal ob es dann klappt. Deaktivieren geht auch.
Vermutlich aber auch nicht, den SMB2 müsste mit den Ports erledigt sein.
Nur um mal sicherzugehen das es NICHT an der Firewall liegt.

Ich habe die FW für alle private Netze deaktiviert und im Registry habe ich nochmals kontrolliert, ob die betroffenen Netze wirklich privat sind.

Nichts. Über die VPN IP des Zielrechners kann ich nur anpingen aber sonst nichts.

Verrückt.

Komisch hier klappt es fehlerlos. Sollte auch, denn aus Sicht des IP Stacks ist es ja egal auf welchem Interface man den Rechner connectet. Die Dienste antworten auf allen Interfaces identisch.
OK, vorausgesetzt natürlich die lokale Firewall ist entsprechend customized oder ganz deaktiviert.

hi, ich habe die FW für Privat und Public deaktiviert, mehr geht nicht.
Ich habe in den jeweilgen Adaptern auch NetBIOS über TCPIP manuell aktiviert.

Wegen der sonst problemlosen PING glaube zwar nicht dass Routing ein Problem sein könnte aber vielleicht merkt / sieht jemand irgendetwas:

Schnittstellenliste
8...60 a4 4c e8 e7 bc ......Intel(R) I210 Gigabit Network Connection
7...60 a4 4c e8 e7 bd ......Intel(R) I210 Gigabit Network Connection #2
10...3e 2e a3 1c 5d bd ......ZeroTier One Virtual Port
4...32 9e 2f 1c 5d bd ......ZeroTier One Virtual Port #2
12...00 ff 83 11 d6 51 ......TAP-Windows Adapter V9
1...........................Software Loopback Interface 1

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 25.255.255.254 192.168.196.85 10034
0.0.0.0 0.0.0.0 25.255.255.254 172.30.19.164 10034
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.117 281
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.100 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
172.30.0.0 255.255.0.0 Auf Verbindung 172.30.19.164 291
172.30.19.164 255.255.255.255 Auf Verbindung 172.30.19.164 291
172.30.255.255 255.255.255.255 Auf Verbindung 172.30.19.164 291
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.117 281
192.168.1.117 255.255.255.255 Auf Verbindung 192.168.1.117 281
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.117 281
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.100 281
192.168.2.100 255.255.255.255 Auf Verbindung 192.168.2.100 281
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.100 281
192.168.196.0 255.255.255.0 Auf Verbindung 192.168.196.85 291
192.168.196.85 255.255.255.255 Auf Verbindung 192.168.196.85 291
192.168.196.255 255.255.255.255 Auf Verbindung 192.168.196.85 291
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.196.85 291
224.0.0.0 240.0.0.0 Auf Verbindung 172.30.19.164 291
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.117 281
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.100 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.196.85 291
255.255.255.255 255.255.255.255 Auf Verbindung 172.30.19.164 291
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.117 281
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.100 281

St„ndige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.2.1 Standard
0.0.0.0 0.0.0.0 192.168.1.1 Standard

Und hier sind die Details der Netzwerkadapter:

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : Editing-PC
Prim„res DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : farm

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix: farm
Beschreibung. . . . . . . . . . . : Intel(R) I210 Gigabit Network Connection
Physische Adresse . . . . . . . . : 60-A4-4C-E8-E7-BC
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.1.117(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Sonntag, 21. Oktober 2018 14:57:27
Lease l„uft ab. . . . . . . . . . : Montag, 22. Oktober 2018 14:57:26
Standardgateway . . . . . . . . . : 192.168.1.1
DHCP-Server . . . . . . . . . . . : 192.168.1.1
DNS-Server . . . . . . . . . . . : 8.8.8.8
208.67.222.222
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Suchliste fr verbindungsspezifische DNS-Suffixe:
farm

Ethernet-Adapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) I210 Gigabit Network Connection #2
Physische Adresse . . . . . . . . : 60-A4-4C-E8-E7-BD
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::de:e65:6f2c:22f6%7(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.2.100(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1
DHCPv6-IAID . . . . . . . . . . . : 308323404
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-CD-A0-1B-60-A4-4C-E8-E7-BC
DNS-Server . . . . . . . . . . . : 192.168.2.1
NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : ZeroTier One Virtual Port
Physische Adresse . . . . . . . . : 3E-2E-A3-1C-5D-BD
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : fcec:3848:8357:665b:e08c::1(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::9812:5bcd:6435:1618%10(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 172.30.19.164(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 25.255.255.254
DHCPv6-IAID . . . . . . . . . . . : 557723299
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-CD-A0-1B-60-A4-4C-E8-E7-BC
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Ethernet-Adapter Ethernet 3:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : ZeroTier One Virtual Port #2
Physische Adresse . . . . . . . . : 32-9E-2F-1C-5D-BD
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : fcec:b4f8:ed57:665b:e08c::1(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::65f5:449d:d270:500c%4(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.196.85(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 25.255.255.254
DHCPv6-IAID . . . . . . . . . . . : 624074287
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-CD-A0-1B-60-A4-4C-E8-E7-BC
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Ethernet-Adapter Ethernet:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
Physische Adresse . . . . . . . . : 00-FF-83-11-D6-51
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja

Nein, du hast recht. Wenn ein Ping bzw. besser noch ein Traceroute (tracert) klappt, dann ist auch das Routing OK.
Was allerdings auffällig ist und zu denken gibt ist die Tatsache das du 4 ! Default Routen hast auf dem System.
Das ist nicht normal und in einem Winblows System was mit sowas ncht umgehen kann höchst kontraproduktiv.
Default Route kann es logischerweise immer nur eine einzige geben, was der Name ja schon sagt.
Windows kann wie gesagt damit nicht umgehen und nimmt dfann immer nur die Default Route auf dem Adapter der in der Bindungsreihenfolge an erster Stelle steht. Alle anderen Default Routen werden dann ignoriert bzw. geblockt.
Das ist vermutlich das grundlegende Problem bei dir. Der Testrechner hier, mit dem es fehlerlos klappt, hat solche Mehrfach Routen nicht.

Vielen Dank Aqui, ich habe jetzt einen anderen Testrechner gefunden, wo es auf Anhieb funktioniert hat. Also an dem VPN Netz oder an meinem Notebook liegt es also nicht. Dieser Rechner ist irgendwie, irgendwo so verkonfiguriert worden, dass es besser ist, wenn ich es einfach neu aufsetze.

Die Ergebnisse hier hätten m. E. keinen Aussagekraft für ein realistisches VPN-Testszenario ...

Vielen Dank für deine Unterstützung.

LG

I.

German solved Question Windows 10 Microsoft

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment