.titleBar { margin-bottom: 5px!important; }

Samba über SSH-Tunnel?

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von stefan--, 29 Sep. 2008.

  1. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich möchte auf den in der Original-Firmware enthaltenen Samba-Server über einen SSH-Tunnel übers Internet zugreifen. Komme aber leider nicht so ganz weiter. Bisher habe ich folgendes gemacht:

    • samba von intern (LAN) funktioniert
    • dropbear auf der box zum laufen gebracht
    • putty und scp funktionieren von außen einwandfrei
    • auf dem externen rechner (win xp) loopback-adapter installiert mit privater IP (10.10.10.10)
    • auf dem externen rechner putty-verbindung mit tunnel 10.10.10.10:139->192.168.0.1:139 eingerichtet (192.168.0.1 ist die IP der FB im LAN)
    • ssh verbindung hergestellt
    • im windows-explorer \\10.10.10.10 aufgerufen

    Leider kommt keine Verbindung zu stande. Ich hatte das gleiche aber schonmal mit SSH und Samba-Server auf einem extra Rechner im LAN zum Laufen gebracht. Da hatte ich lediglich den SSH-Port an den extra Rechner weitergeleitet.

    Muss ich für den Samba-Port evtl. noch eine Weiterleitung in der ar7.cfg einrichten, analog zu dem SSH-Port für dropbear?

    Danke für Eure Tips.
    Stefan
     
  2. T_H

    T_H Neuer User

    Registriert seit:
    15 Jan. 2008
    Beiträge:
    89
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ... also ich würde es über openvpn anstatt ssh-Tunnel machen. Das geht normalerweise ohne Probleme.

    (Das hilft Dir jetzt konkret auch nicht so ganz, ist aber vieleicht eine Alternative)
     
  3. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    An OpenVPN gefällt mir nicht, dass man da einen speziellen Client braucht. Mit einem PPTP-Server, der ohne freetz läuft, so dass man unter Windows mit Boardmitteln eine VPN-Verbindung herstellen kann, würde mir ja auch reichen ;).
     
  4. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
    Hast du die Ports per SSH getunnelt?
    Lt. Internet sind das 135 bis 139 und 445.

    Ansonsten kann ich den Freetz PPTP Server empfehlen, funktioniert 1a bei mir
     
  5. T_H

    T_H Neuer User

    Registriert seit:
    15 Jan. 2008
    Beiträge:
    89
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ... naja, openvpn hat auch einen Windows-Client den man bequem über icons starten und stoppen kann. Vorteil von openvpn ist eben das er die Verbindung wieder automatisch herstellt und auch alle anderen Service gleich laufen.

    Aber ich will natürlich niemanden bekehren ;-)

    Thomas
     
  6. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich hatte bisher nur 139... werde gleich nochmal die anderen dazu nehmen.

    Ja eben Freetz... der läuft eben auch nur mit Freetz und nicht auf der Original-Firmware. :(
     
  7. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
    Freetz ist eine Erweiterung der Original-Firmware, deren Funktionalität (bei Nicht-Anwenden der "Remove" Patches) nicht eingeschränkt wird. Von daher?
     
  8. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja ist schon klar... ist aber trotzdem ne Macherei beim nächsten Firmware-Update erstmal Freetz neu zu builden. Aber über meine Beweggründe, warum ich nicht Freetz verwende, wollte ich eigentlich gar nicht diskutieren. :wink:

    Das Hinzufügen der anderen Ports zu dem Tunnel hat leider auch nicht geholfen. :( Zur Kontrolle habe ich mal einen Tunnel für Port 80 dazu genommen und der funktioniert. Das FB-Webinterface konnte ich problemlos aufrufen.

    Hat noch jemand eine Idee, warum Samba da nicht mitspielt?
     
  9. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
  10. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für den Link. Genau so hätte ich mir das auch gedacht. Und so funktioniert es auch, wenn ich SSH und Samba Server auf einem extra Rechner habe und in der fritzbox den SSH-Port dahin route.

    Aber jetzt, mit dropbear und samba in der fritzbox geht's nicht mehr. In der ar7.cfg route ich den SSH-Port jetzt direkt auf die Box. SCP und HTTP kommen auch durch, aber Samba will nicht.
     
  11. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    In der ar7.cfg habe ich folgende Einträge gefunden:
    Code:
    ..
    dslifaces {
      ..
      dsldpconfig {
        ...
        lowinput {
          ...
          accesslist = ...
                           "deny udp any any range 137 139",
                           "deny tcp any any range 137 139",
                           ...
    
    Könnte es sein, dass er dadurch keine eingehende Verbindung auf Port 139 zulässt... auch wenn die durch den Tunnel kommt. Worauf beziehen sich die Einträge, auf das WAN-Interface oder auch LAN?
     
  12. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sooo, jetzt wollte ich noch mal Freetz builden mit PPTP und was muss ich mich da wundern... Es fehlt die Option "Replace kernel" in menuconfig. :wiejetzt:

    Und ohne die, erscheint das pptp-Paket nicht in der Paket/Testing-Auswahl.

    Und jetzt? Warum issen die Option weg bei 7170?
     
  13. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Es ist nicht nötig, in der ar7.cfg irgendwelche Regeln einzufügen. Die Verbindung kommt ja nicht über das DSL Interface herein, sondern über den SSH-Server. Für den Samba-Server kommt die Verbindung also von der Box selbst.

    Kannst Du prüfen, ob überhaupt versucht wird, auf der Box eine Verbindung aufzubauen?

    Und was genau heißt "Leider kommt keine Verbindung zu stande"? Timeout? Fehlermeldung? Wen ja, welche?

    Außerdem wird nur Port 139 oder 445 gebraucht, wobei auf Port 445 die neuere Version des Protokolls läuft.
     
  14. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Ralf,

    die SSH-Verbindung kommt zustanden. Ich kann problemlos mit Putty und WinSCP auf die Box zugreifen. Auch ein Tunnel von Port 80 funktioniert und ich kann über diesen Tunnel von außen auf das Web-Interface zugreifen.

    Ich habe mal zwei Screenshots angehangen: Putty-Tunnel-Konfiguration, Fehlermeldung vom Windows-Explorer beim Zugriff auf die Freigabe. (10.10.10.10 ist die IP vom Loopback-Adapter).

    Grüße
    Stefan
     

    Anhänge:

  15. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Daß die SSH-Verbindung aufgebaut wird, hattest Du ja bereits geschrieben.

    Ich meinte, ob die getunnelte Verbindung aufgebaut wird.
    Da wir davon ausgehen, daß das Tunneln selbst richtig eingestellt ist, gibt es zwei Möglichkeiten:
    - Der lokale PC versucht erst gar nicht, eine Verbindung zum Tunnel aufzubauen.
    - Der PC versucht, die Verbindung aufzubauen, aber auf der Box reagiert das Smaba nicht richtig darauf.

    Hast Du mal versucht, nur \\10.10.10.10 einzugeben? Im ersten Beitrag hast Du das zwar geschrieben, aber die Fehlermeldung aus dem letzten Beitrag enthält dahinter auch noch den Namen der Freigabe (USB-Partition-0-1).
     
  16. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, ich hab's auch schon ohne Freigabe probiert - da kam eine andere Fehlermeldung.

    Nachdem ich an dem Loopback-Adapter noch etwas rumkonfiguriert habe (s. http://www.blisstonia.com/eolson/notes/smboverssh.php), bekomme ich jetzt "Zugriff verweigert" (s. fehler1.jpg). Im Log von Putty ist der erfolgreiche Aufbau des Tunnels zu sehen. Auch ein telnet auf 10.10.10.10 139 stellt eine Verbindung her.
     

    Anhänge: