Ein Problem mit Windows und SMB in verschiedenen Subnetzen

T

tbelau666

New member
Hallo!

Na mal sehen... Ich habe zwei Subnetze, 192.168.0 und 192.168.13. Das 0er Netzwerk sammelt alle drahtgebundenen, nicht-IoT-Geräte. Im 13er Netz sind diverse Server - zentrale Dienste. So halt auch ein Samba-Server. Damit der von Windows erkannt werden kann, läuft da gershnik/wsddn drauf. Funktioniert auch gut. Im 0er Netz...

Zwischen den beiden Subnetzen hängt ne als FW ausgemusterte USG PRO 4 als reiner Multicast-Router. Die konfiguriere ich per Hand, aber das ist ne andere Geschichte. Da läuft PIMD drauf. Es gibt ne DNAT-Regel für die TCP-Verbindung zu Port 5357 - ne Rück-Regel kann man sich wg. conntrack sparen - und eine für SNAT, damit die Pakete vom Port UDP/3702 korrekt ankommen. Es meldet sich immer das Router-Interface mit seiner IP. Wie das sein soll.

Auf dem Samba-Server im 13er Netz hab ich mit policy routing (UDP/3702 und TCP/5357) dafür gesorgt, daß der WSD-Traffic - und nur der - durch besagten Multicast-Router läuft.

Auf meinem "Spielrechner" hab ich ein Script, daß per WSD alle Geräte abfragt. Funktioniert. Es werden die diversen Windows-Rechner und auch der Samba-Server gelistet. Der Traffic sieht ok aus, paßt alles soweit. Nur sobald ich mit nem Windows-Rechner nachsehen will, sehe ich nichts.

tcpdump "sagt", daß der Traffic zwischen Script und Samba praktisch identisch ist mit dem zwischen Windows und Samba. Hello auf 239.255.255.250, Antwort vom Samba-Server, nochmal nachfragen und TCP aufmachen. Letzteres tut aber Windows nicht. Dafür kommen noch zig Anfragen an nmbd (sprich NetBIOS), die aber auch zu keinem Ergebnis führen. nmblookup mit Linux-Tools geht prima.

Vllt. hat ja jemand nen Tip. Ich bin da jetzt etwas ratlos.

Bis denn dann
Thomas
 
Moinsen,
nur mal kurz geraten: funkt da irgendwie die Windows Firewall noch zwischen? Bin kein Windows Mensch, aber lese immer wieder, dass am Ende ja auch daran oft der Grund des Scheiterns begründet sei. Und da dein SMB Server in einem anderen Netzwerk ist...kann es ja durchaus sein, dass das Defender Ding da blockt. Mal geschaut? Ggf Firewall kurz geöffnet?
Tauchen die Probleme "nur" auf, wenn du es laufen lässt wie oben beschrieben von dir? Gelingt ein manueller direkter Zugriff auf den SMB Server am fraglichen Windows client?
 
Manuell geht das alles. In der Leiste oben die Adresse rein (DNS geht auch) und schon geht es los. Wie gesagt funktioniert das auch wenn ich den wsddn im selben Netz starte. Dann brauche ich oben nichts eintragen. Nur halt nicht durch den Router.

Das mit der Defender-FW hab ich noch nicht durchdacht. Ich weiß aber, das die im Windows ne ziemlich genaue Netzwerk-Aufklärung haben. In Win7 hatte ich mal in der Netzwerkumgebung die komplette Verkabelung incl. der dumb switches. Wie auch immer die das machen...

Ich könnte natürlich den Samba-Server in das lokale Netz mit rein legen. Ich muß ihm nur ein weiteres Interface geben (ist ne VM), aber dann lerne ich nichts ;-)
 
Ach so... extra Router. Ich hab natürlich noch ne OPNsense FW laufen. Die wollte ich aber mit dem Multicast-Kram nicht belasten und PIMD geht da drauf nicht. Mit der Hand-konfigurierten USG kann man alles Mögliche machen - auch die ehem. WAN-Interfaces bonden - und hat dann ne gute Bandbreite extra. 2GB/s rein und 2GB/s auf drei Netze verteilt ("Gleichzeitigkeitsfaktor") wieder raus. Naja, wenn die das bringt. Hab noch keinen Last-Test, fummele ja noch.
 
Moinsen,
und wo / wie ist die opnSense da mit drin?
Läuft dein Verkehr zwischen PC und SMB Server auch durch die opnsense? Da den Zugriff auch erlaubt?

Also: am PC sitzend und den SMB Server erreichen geht, per script dagegen keine Verbindung? (sorry, hab deinen Aufbau noch nicht verinnerlicht, zu komplex für meinen Feierabend ;))
 
Das mit der sense ist ne etwas längere Geschichte... Ich hatte zur USG wie die meisten nen Controller. Irgendwann hab ich nen "Anfall" bekommen und mal geguckt, welche Verbindungen der so raus macht. Ohne Ende in Ubiquitis Cloud... Hab ich abgedreht und wußte, was da rüber geht... SÄMTLICHE Statistiken. Angefangen bei der Latenz und aufgehört beim Netflow. War bei älteren Versionen noch nicht. Verschiedenes wie Bonding oder vernünftige OpenVPN-Einstellungen funktionierte mit dem allgegenwärtigen Controller auch nicht. Jedenfalls nicht ohne JSON-Tricks. Im Allg. wurde die auch zu langsam für den allg. Gebrauch. In der Zwischenzeit hatte ich mir nen Server gekauft. Also hab ich die USG gegen OPNsense eingetauscht. Mehr "Bums" und ne bessere Netz-Anbindung. Dann lag die USG erstmal rum.

Jetzt hatte ich mal wieder ein bischen Muße und wollte mich mit dem Windows-Kram genauer befassen. IGMPProxy funktioniert auf der sense nicht und PIMD gibt es nicht. Grübel... Die USG basiert auf VyOS 1.1. Also Debian 7. Damit kann man was anfangen... PIMD - man kann auch Pakete von Debian 8 installieren - kannte ich schon, wenn man den Ubiquiti-Kram peu a peu weg schmeißt (wer braucht das ohne Controller?) und nur auf VyOS setzt, hat man wieder nen brauchbaren Router. In der CLI geht bonding und für "nur" multicast streams ist das Teil völlig in Ordnung. Irgend ein ARP-daemon geht nach wie vor nicht...

Jedenfalls ist es so, daß die sense alles macht. IPSec in DMZ-Server, routing zwischen den internen Netzen, etc. Alles was die USG vorher gemacht hat.

Die USG bearbeitet tatsächlich nur die multicast-Sachen (224.0.0.0/4) und dazu im Moment erstmal die beiden WSD ports.

MEIN Rechner läuft unter Linux mit eben dem Abfrage-Script. Alle anderen PCs im Haus laufen mit Windows. Die sind alle im gleichen Netz. Das 13er ist mein Service-Netz. DNS, TvHeadend, Nextcloud, Minecraft und verschiedene andere Sachen. Von den Servern da drin will ich möglichst keinen in den Benutzer-Netzen sehen. Auf der sense läuft IPS. Das würde ausgehebelt.
 
Zuletzt bearbeitet:
Netzwerk-Erkennung wird bei der Windows-Kiste vermutlich eingeschaltet sein und funktioniert auch im lokalen Netz? Ich mag ja falsch liegen, aber... WSD für einen Samba-Server (kenne es eigentlich nur von Druckern)? Ich mein... "Web... Services...", nicht eher mDNS? Dynamic DNS Registration ist nicht so Deins (ggf. über die OPNsense via ISC), wo Du eh schon einen DNS-Server laufen hast (wobei "DNS" ein weiter Begriff ist)?

Kann zwar verstehen, wenn man damit mal rumspielen möchte, aber dafür wäre mir meine Zeit echt zu schade und es gibt sicherlich weitaus spannendere Frickeleien... Scheinst ja eh nicht sonderlich mit der Windows-Welt verbandelt zu sein und WSD kommt aus dem Hause Microsoft... Aber ok, wenn Du da wirklich Bock drauf hast, ich hätte es definitiv nicht, aber Respekt, dass Du da so einen Aufwand für betreibst, mir wäre das schon lange zu blöd geworden 😅

Btw VyOS ist doch schon bei 1.5 (rolling) bzw. 1.4, da ist 1.1 aber schon etwas altbacken 😁
 
Moin!

Ich hab Windows schon vor über 30 Jahren verbannt. Win 3.0 war abstoßend genug. Ein bischen OS/2 und dann die erste Linux-Distro war Slackware mit Kernel 0.99pl15.

Ja, das ist letztlich mein Hobby. Hab ich auch ne Zeit lang als Job gehabt, aber die Firma hat es nicht verstanden vernünftig Aufträge zu beschaffen. Wollte das Licht nicht ausknipsen. Hab da auch ein bischen was gelernt. Deswegen sind meine Fragen auch eher ziemlich speziell.

Mit WSD melden sich die Kisten untereinander für alle Dienste. Egal, ob Drucker, Cam, Scanner oder Fileserver.

Aber ich denke, ich habe den Fehler gefunden. Nur eben woanders als (zu voreilig) gedacht. Windows "fragt" als erstes "Ist da wer?". Dann schreien alle "Jaaaa!". Dann kommt ne 2. Frage "Wer bist du?", Das macht Win für jeden Gerätetyp einzeln. Da meldet dann wsddn ordentlich "ich bin der und der". Das dahinter stehende Attribut im Antwortpaket ist <wsd:XAddrs>http://192.168.13.xxx/URN</wsd:XAddrs>. Ich denke mal, es dämmert wo es hakt... Deswegen geht auch das Linux-Script - das interessiert die Zieladresse nicht - und Windows zeigt dem Dienst die kalte Schulter.

Hab es nicht gleich gesehen, weil tcpdump auch mit "-vv" nicht alles anzeigt. Ich dachte "Ja, Windows fragt halt zweimal". Denkste! tcpdump speichert aber alles in ner pcap-Datei. Im Wireshark sieht man den Salat dann. Den kann ich nur nicht überall drauf tun. Mühselig zusammen gesammelt den Kram.
 
Najo, spezielle Fragen sind ja nicht das Problem, hier sind aber eher Laien beheimatet, von daher kommt die Frage direkt doppelt speziell daher 😁 Das speichern des Mitschnitts kannste Dir aber eigentlich auch sparen und direkt an Wireshark durchreichen, das hatte ich hier mal beschrieben: https://forum.heimnetz.de/threads/dnla-ueber-netzwerkgrenzen.3252/page-3#post-35560. Ich muss gestehen, dass ich dem Thema WSD nie Aufmerksamkeit geschenkt habe - wenn es netzübergreifend sein sollte, war es i.d.R. eher a) DNS + b) automatische Verteilung von Netzlaufwerken via Gruppenrichtlinien 😇
 
Ich sehe mal zu, daß ich öfter mal hier rein gucke. Hab zwar keinen Plan von Fritzboxen sondern mehr von den basics - PPPoE, VLAN Anbindung, Routing; was man wirklich braucht - aber naja. Kann ja trotzdem versuchen was beizutragen. Ehrlich gesagt ist mir auch die Sprache auf vielen Consumer-Geräten schon zu einfach. Ich weiß beispielsweise nicht wirklich, was "1:1 NAT" sein soll. SNAT, DNAT ja. Aber mit conntrack ist beides jeweils schon "1:1" und ohne conntrack brauche ich dann halt 2 Regeln...

Das letzte DNS-Thema wäre bei mir DNSSEC. Hatte ich mal eingerichtet, ging aber nach ner Weile irgendwie nicht mehr. Danach hatte mir dann erstmal die Lust dazu gefehlt.
 
Weil du das auch gefragt hattest... DynDNS muß ich auch nicht haben. Wenn dann mache ich das on-prem. Ich hab bei nem großen, deutschen Anbieter zwei Server in der DMZ. Die haben natürlich stat. IP. Neben meinem mail server da drauf - und nem Web-Server, damit der mail server nicht als "poor" deklassiert wird - komme ich darüber auch als road worrior in mein Netz bzw. die Kumpels meiner Kinder per DNAT auf die Minecraft Server. Für mein internes DNS sind die beiden auch slaves. Gut als backup.
 
tbelau666 schrieb:
Hab zwar keinen Plan von Fritzboxen
Zum Vergrößern anklicken....
Ich habe privat zwar auch eine, aber die agiert nur als stumpfer Internet-Bereitsteller 😅 Hab ich nix mit zu tun, mein Kram fängt erst nach der Fritz!Box an und da ist im privaten Bereich schon ordentlich ausgemustert worden 😇

tbelau666 schrieb:
DynDNS muß ich auch nicht haben. Wenn dann mache ich das on-prem.
Zum Vergrößern anklicken....
Da haben wir uns nicht richtig verstanden 🙃 Du verteilst Deine IPs ja vermutlich via DHCP von der OPNsense - dort hast Du die Möglichkeit, die DHCP-Clientnamen im DNS zu registrieren. Schauste auf der OPNsense mal unter "Dienste/<Interface>/Dynamisches DNS". Ist also schon on-prem und kein öffentlicher DynDNS-Anbieter, nur mal so als theoretische Möglichkeit. Ich selbst nutze es auch nicht, ich merk mir eher IP-Adressen (bis auf ganze wenige Ausnahmen 😅).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 98 (Mitglieder: 2, Gäste: 96)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.115
Beiträge
59.425
Mitglieder
6.160
Neuestes Mitglied
gonzo12345

Teilen

Zurück
Oben