Samba über SSH-Tunnel?

stefan--

Neuer User
Mitglied seit
25 Sep 2006
Beiträge
113
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich möchte auf den in der Original-Firmware enthaltenen Samba-Server über einen SSH-Tunnel übers Internet zugreifen. Komme aber leider nicht so ganz weiter. Bisher habe ich folgendes gemacht:

  • samba von intern (LAN) funktioniert
  • dropbear auf der box zum laufen gebracht
  • putty und scp funktionieren von außen einwandfrei
  • auf dem externen rechner (win xp) loopback-adapter installiert mit privater IP (10.10.10.10)
  • auf dem externen rechner putty-verbindung mit tunnel 10.10.10.10:139->192.168.0.1:139 eingerichtet (192.168.0.1 ist die IP der FB im LAN)
  • ssh verbindung hergestellt
  • im windows-explorer \\10.10.10.10 aufgerufen

Leider kommt keine Verbindung zu stande. Ich hatte das gleiche aber schonmal mit SSH und Samba-Server auf einem extra Rechner im LAN zum Laufen gebracht. Da hatte ich lediglich den SSH-Port an den extra Rechner weitergeleitet.

Muss ich für den Samba-Port evtl. noch eine Weiterleitung in der ar7.cfg einrichten, analog zu dem SSH-Port für dropbear?

Danke für Eure Tips.
Stefan
 
... also ich würde es über openvpn anstatt ssh-Tunnel machen. Das geht normalerweise ohne Probleme.

(Das hilft Dir jetzt konkret auch nicht so ganz, ist aber vieleicht eine Alternative)
 
An OpenVPN gefällt mir nicht, dass man da einen speziellen Client braucht. Mit einem PPTP-Server, der ohne freetz läuft, so dass man unter Windows mit Boardmitteln eine VPN-Verbindung herstellen kann, würde mir ja auch reichen ;).
 
Hast du die Ports per SSH getunnelt?
Lt. Internet sind das 135 bis 139 und 445.

Ansonsten kann ich den Freetz PPTP Server empfehlen, funktioniert 1a bei mir
 
... naja, openvpn hat auch einen Windows-Client den man bequem über icons starten und stoppen kann. Vorteil von openvpn ist eben das er die Verbindung wieder automatisch herstellt und auch alle anderen Service gleich laufen.

Aber ich will natürlich niemanden bekehren ;-)

Thomas
 
Freetz ist eine Erweiterung der Original-Firmware, deren Funktionalität (bei Nicht-Anwenden der "Remove" Patches) nicht eingeschränkt wird. Von daher?
 
Ja ist schon klar... ist aber trotzdem ne Macherei beim nächsten Firmware-Update erstmal Freetz neu zu builden. Aber über meine Beweggründe, warum ich nicht Freetz verwende, wollte ich eigentlich gar nicht diskutieren. :wink:

Das Hinzufügen der anderen Ports zu dem Tunnel hat leider auch nicht geholfen. :( Zur Kontrolle habe ich mal einen Tunnel für Port 80 dazu genommen und der funktioniert. Das FB-Webinterface konnte ich problemlos aufrufen.

Hat noch jemand eine Idee, warum Samba da nicht mitspielt?
 
Danke für den Link. Genau so hätte ich mir das auch gedacht. Und so funktioniert es auch, wenn ich SSH und Samba Server auf einem extra Rechner habe und in der fritzbox den SSH-Port dahin route.

Aber jetzt, mit dropbear und samba in der fritzbox geht's nicht mehr. In der ar7.cfg route ich den SSH-Port jetzt direkt auf die Box. SCP und HTTP kommen auch durch, aber Samba will nicht.
 
In der ar7.cfg habe ich folgende Einträge gefunden:
Code:
..
dslifaces {
  ..
  dsldpconfig {
    ...
    lowinput {
      ...
      accesslist = ...
                       "deny udp any any range 137 139",
                       "deny tcp any any range 137 139",
                       ...

Könnte es sein, dass er dadurch keine eingehende Verbindung auf Port 139 zulässt... auch wenn die durch den Tunnel kommt. Worauf beziehen sich die Einträge, auf das WAN-Interface oder auch LAN?
 
Sooo, jetzt wollte ich noch mal Freetz builden mit PPTP und was muss ich mich da wundern... Es fehlt die Option "Replace kernel" in menuconfig. :wiejetzt:

Und ohne die, erscheint das pptp-Paket nicht in der Paket/Testing-Auswahl.

Und jetzt? Warum issen die Option weg bei 7170?
 
Es ist nicht nötig, in der ar7.cfg irgendwelche Regeln einzufügen. Die Verbindung kommt ja nicht über das DSL Interface herein, sondern über den SSH-Server. Für den Samba-Server kommt die Verbindung also von der Box selbst.

Kannst Du prüfen, ob überhaupt versucht wird, auf der Box eine Verbindung aufzubauen?

Und was genau heißt "Leider kommt keine Verbindung zu stande"? Timeout? Fehlermeldung? Wen ja, welche?

Außerdem wird nur Port 139 oder 445 gebraucht, wobei auf Port 445 die neuere Version des Protokolls läuft.
 
Hallo Ralf,

die SSH-Verbindung kommt zustanden. Ich kann problemlos mit Putty und WinSCP auf die Box zugreifen. Auch ein Tunnel von Port 80 funktioniert und ich kann über diesen Tunnel von außen auf das Web-Interface zugreifen.

Ich habe mal zwei Screenshots angehangen: Putty-Tunnel-Konfiguration, Fehlermeldung vom Windows-Explorer beim Zugriff auf die Freigabe. (10.10.10.10 ist die IP vom Loopback-Adapter).

Grüße
Stefan
 

Anhänge

  • putty-tunnel.jpg
    putty-tunnel.jpg
    99.2 KB · Aufrufe: 16
  • fehler.jpg
    fehler.jpg
    39.4 KB · Aufrufe: 11
Daß die SSH-Verbindung aufgebaut wird, hattest Du ja bereits geschrieben.

Ich meinte, ob die getunnelte Verbindung aufgebaut wird.
Da wir davon ausgehen, daß das Tunneln selbst richtig eingestellt ist, gibt es zwei Möglichkeiten:
- Der lokale PC versucht erst gar nicht, eine Verbindung zum Tunnel aufzubauen.
- Der PC versucht, die Verbindung aufzubauen, aber auf der Box reagiert das Smaba nicht richtig darauf.

Hast Du mal versucht, nur \\10.10.10.10 einzugeben? Im ersten Beitrag hast Du das zwar geschrieben, aber die Fehlermeldung aus dem letzten Beitrag enthält dahinter auch noch den Namen der Freigabe (USB-Partition-0-1).
 
Ja, ich hab's auch schon ohne Freigabe probiert - da kam eine andere Fehlermeldung.

Nachdem ich an dem Loopback-Adapter noch etwas rumkonfiguriert habe (s. http://www.blisstonia.com/eolson/notes/smboverssh.php), bekomme ich jetzt "Zugriff verweigert" (s. fehler1.jpg). Im Log von Putty ist der erfolgreiche Aufbau des Tunnels zu sehen. Auch ein telnet auf 10.10.10.10 139 stellt eine Verbindung her.
 

Anhänge

  • fehler1.jpg
    fehler1.jpg
    44 KB · Aufrufe: 7
  • putty-log.jpg
    putty-log.jpg
    78.3 KB · Aufrufe: 9
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.