Verbindung zu Samba über Mobiles Internet nicht möglich?
Hallo,
Ich habe einen Fileserver mit einem Sambashare drauf. Diesen kann ich im LAN (über die Lokale Adresse im LAN) ohne Problem erreichen. Über die öffentliche Adresse des Servers geht es auch wenn ich im LAN bin. Aber über Mobiles Internet bekomme ich keine Verbindung. Woran liegt das? Die Ports sind im Router offen.
4 Antworten
Zunächst sei darauf hingewiesen, dass SMB ein Protokoll für das LAN ist. Für die Verwendung über das Internet ist es nicht vorgesehen und nicht ausreichend sicher. Du solltest Du also wirklich überlegen, ob Du das machen möchtest.
Die Verbindung über die öffentliche IP-Adresse aus dem LAN funktioniert ggf., weil der Router bemerkt, dass Du ihn aus dem LAN ansprichst.
Als Portfreigabe im Router benötigst Du TCP 445. Die Portfreigabe wird bei einem DS-Lite-Anschluss nicht funktionieren.
Ergänzung:
Vodafone sperrt im Kabelnetz und auch im Mobilfunknetz TCP 445. Auch die Fritzbox hat eine entsprechende Sperre:
...was heißt denn eigentlich "die Ports sind offen"? Die Ports müssen ggf. auch forwarded werden, wenn du NAT nutzt (also wie die meisten mit normalen Routern).
Ich würde aber tatsächlich auch nicht empfehlen direkt SMB via Internet anzusprechen.
Ein guter Weg könnte z. B. sein ein eigenes VPN zu etablieren und dann zunächst eine VPN-Verbindung aufzubauen und darüber den SMB-Server mit seiner internen LAN-Adresse direkt anzusprechen, das ist dann sauber - so macht man das im Enterprise-Umfeld auch oft.
Das ist auch gut so. Samba ist kein sicheres Protokoll, welches anders als im LAN oder durch gesicherte Verbindungen benutzt werden sollte.
Der erste Grund dafür dürfte sein, dass du schon mal den Server, der im LAN hinter einem Router angeschlossen ist, gar nicht erreichst. Was du "öffentliche Adresse" nennst, ist wahrscheinlich lediglich dessen Adresse im LAN.
Ein anderer wäre, dass Provider den Zugang zu Samba schon deshalb sperren, weil viele Anwender das trotzdem probieren.
Sollte dies anders sein, und es sich bei dessen öffentlichen Adresse tatsächlich um eine von Internet aus erreichbare Adresse handeln, empfehle ich, den Server *sofort* vom Netz zu nehmen, und erst einmal dafür zu sorgen, dass dieser auch entsprechend abgesichert wird. Denn auf Samba shares einfach so über Internet zugreifen zu wollen ist ein Zeichen dafür, dass keinerlei Aktion hinsichtlich Absicherung unternommen wurde. Ohne Absicherung ist in einen Server, der von Internet aus erreichbar sind, in kürzester Zeit eingebrochen.
scp (ein ssh Unterprotokoll) wäre ein einfach benutzbare Alternative, welche sowohl von Windows Geräten (z.b. mit winscp) also auch mit Unixoiden (in den meisten Dateimanagern ist dafür schon Unterstützung vorhanden) als auch mit Android Geräten (dito) zugegriffen werden kann. scp ist wesentlich einfacher absicherbar.
Obendrein kann mit scp auch schlüsselbasierter - passwortfreier - Zugang eingerichtet werden, was bei Zugriffen darauf sehr komfortabel ist, und zusätzlich sicher, da ohne Passwort ein solches auch nicht geknackt werden kann.
dafür gibt es webdav . sonst wird das nix weil das smb protokoll nicht übers internet läuft . oder du baust ein VPN zu deinem router auf .
SMB läuft (leider) auch über Internet, nur die Mobilfunkanbieter und auch einige Provider sperren die Ports 137-139 UDP, 445 TCP.
Ich frage mich, warum es unbedingt Samba sein muss (WIndows Client?). VPN Verbindung entweder über den Router oder direkt zu dem Server per Wireguard oder openVPN sollte die Lösung sein.
WebDAV wäre eine gute Idee, wenn der eingebaute Windows-Client nicht ziemlicher Sondermüll wäre.
SMB ist ein rein lokales protokoll .
wie kommst du darauf das es übers internet läuft .
zeig mir das mal woher du die idee hast . schon die authentifizierung wird nichts .
wir sind ja nciht mehr bei der ur version CIFS
Die Authentifizierung ist Kerberos, das geht auch über Netz. Was nicht funktioniert ist das NMB, also die Namensauflösung im LAN, weil die via Broadcasts geht. Aber auf die Freigaben kommt man problemlos, wenn man den Rechnernamen/IP kennt, Port 445 TCP reicht. Das das geht, hat Buchbinder vor einiger Zeit auf die unschöne Art bewiesen...
Wobei ich die Änderungen der 3er Versionen nicht mehr weiss, ich mache schon eine Weile keinen Windows-Kram mehr. Würde mich aber wundern, wenn das auf einmal nicht mehr über Internet funktionieren würde.
SMB läuft (leider) auch über Internet, nur die Mobilfunkanbieter und auch einige Provider sperren die Ports 137-139 UDP, 445 TCP.
Ist das so? Das wäre ein erheblicher Eingriff in die Netzneutralität und deshalb meines Erachtens nicht zulässig.
nur die Mobilfunkanbieter und auch einige Provider
Im Übrigen ist ein Mobilfunkanbieter auch ein Provider. Provider heißt schlicht Anbieter.
SMB ist ein rein lokales protokoll .
wie kommst du darauf das es übers internet läuft .
Weil SMB über IP läuft. IP heißt Internet Protocol und das wird vom Internet verwendet. Alles, was IP nutzt, kann auch über das Internet übertragen werden.
Bei Vodaf*ne steht es explizit auf der Webseite, dass das gesperrt ist. Andere habe ich nicht geschaut. Mit dem Provider hast du natürlich Recht, ich hatte zuerst nur Mobilfunk geschrieben, war mir aber nicht sicher, ob das Andere auch machen.
Bei Vodaf*ne steht es explizit auf der Webseite, dass das gesperrt ist.
Du darfst Vodafone ruhig ausschreiben. Aber danke für die Info, das war mir nicht bekannt und ich hätte es für rechtswidrig gehalten. Ich habe nun https://www.vodafone.de/hilfe/internet/dsl-geraete-konfigurieren.html#was-sind-portsperren-und-wie-wirken-sie-sich-aus gefunden. Hier ist es zunächst einmal der Mobilfunk, wo TCP 445 gesperrt ist. TCP 135-139 braucht man ja nicht zwingend, das ist im Kabelnetz gesperrt. Bei DSL und Glasfaser wird nichts gesperrt. Die angeführte Begründung
Um die Sicherheit und Integrität unseres Netzes sicherzustellen, dürfen wir Portsperren einrichten.
ist damit wohl obsolet. Warum sperrt man aufgrund von Sicherheit und Integrität des Netzes unterschiedliche Dinge im Mobilfunk, Kabelnetz, DSL und Kabel? Sehr fragwürdig.
Übrigens kann auch eine Fritzbox der Übeltäter sein:
Im Kabelnetz kann ich mir vorstellen, dass die das wirklich aus technischen Gründen gesperrt haben, um Broadcasts zu vermeiden (deswegen auch dhcp und tftp), ich weiss nicht genau, wie da die Daten auf dem Shared Medium übertragen werden, ob da evtl. größere geswitchte Segmente dabei sind, wo sowas stören könnte.
Mobilfunk 445 ist fragwürdig. Ich könnte mir vorstellen, dass die damit Kunden mit Surfstick / Laptop-Mobilfunkkkarte ohne NAT schützen wollen, aber das deren Netz dadurch gefährdet wird wüsste ich nicht.
In der Fritzbox (zumindest meiner 7490) kann man den Filter deaktivieren, die Option ist aber gut versteckt. Das schreiben die aber nicht auf die Webseite. Warum AVM das extra ein- und ausgehend sperrt weiss ich nicht. Eingehend müsste man ja sowieso erst per Portweiterleitung freischalten. Ich will doch hoffen, dass deren Samba von dem FritzNAS nur das interne Interface bedient (habe ich nicht probiert).
Im Kabelnetz kann ich mir vorstellen, dass die das wirklich aus technischen Gründen gesperrt haben, um Broadcasts zu vermeiden (deswegen auch dhcp und tftp),
TFTP arbeitet in der Regel per Unicast. Wenn man Broadcasts vermeiden möchte, kann man die Broadcasts sperren. Bei TFTP kenne ich lediglich Anwendungen, die Broadcasts an die 255.255.255.255 senden. Das ist der lokale Broadcast, der sowieso nicht geroutet wird. Also kein wirkliches Problem. Bei DHCP ist es dasselbe. Entweder Unicast oder lokaler Broadcast. Aber möglicherweise macht hier das Shared Medium, was man bei Kabel hat, den Unterschied.
Mobilfunk 445 ist fragwürdig. Ich könnte mir vorstellen, dass die damit Kunden mit Surfstick / Laptop-Mobilfunkkkarte ohne NAT schützen wollen, aber das deren Netz dadurch gefährdet wird wüsste ich nicht.
Auch Mobilfunkkunden haben NAT, nämlich auf Providerseite. Dein Endgerät bekommt im Mobilfunknetz immer eine nicht-öffentliche IPv4-Adresse, in der Regel aus dem Bereichen 10.0.0.0/8 bzw. 192.0.0.0/29.
In der Fritzbox (zumindest meiner 7490) kann man den Filter deaktivieren, die Option ist aber gut versteckt.
So habe ich das auch im Kopf, war aber zu faul zu suchen. Die Standardeinstellung ist auf jeden Fall ein aktiver Filter.
Ich will doch hoffen, dass deren Samba von dem FritzNAS nur das interne Interface bedient (habe ich nicht probiert).
Ja, ist so. Du kannst unter Internet > Freigaben > Fitrz!Box-Dienste das NAS per FTP/FTPS über das Internet verfügbar machen.
Nimm unter Windows einen Client wie TotalCommander oder WInSCP. Das "Netzlaufwerk verbinden" von Windows macht leider oft Probleme bei der Authentifizierung und großen Dateien.
Die Verbindung würde ich über mein Android Smartphone herstellen, aber danke für den Tipp
Ich wäre das Risiko diesmal bewusst eingegangen, aber laut den anderen Antworten funktioniert Samba so oder so nicht über das Internet, daher wird es für mich wohl auf WebDAV etc. Hinauslaufen