Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
marco80

FB 6490 Port 445 out/in freigeben

Hallo liebe Community,


ich habe folgende Anforderung:


Ich habe auf einem MS Azure Storage Account einen FileShare eingerichtet, welchen ich gerne via SMB als Netzlaufwerk an meinem PC im Heimnetz verbinden möchte. Dies geht nach Sichtung der MS Documents ausschließlich via Port 445

Es gäbe zwar die Möglichkeit mit dem Azure Storage Explorer, bzw AzCopy zu arbeiten, dies sind jedoch im Kontext wenig zufriedenstellende Alternativen, zumal wer Azure Storage Explorer kennt, weiß um dessen Limitierungen

Nach heute längerem und sehr freundlichen und professionellen Kontakt mit der UM Business Hotline kam heraus, dass der Port bei der AVM FB 6490 von AVM selbst geblockt wird - aus Sicherheitsgründen (SMB über's Internet ist buhu usw...). 

Ich habe schon probiert explizit über die FB Einstellungen > Internet > Filter > Listen das SMB Protokoll hinzuzufügen, als auch in der Whitelist die URL in sämtlichen Kombinationen hinterlegt, jedoch ohne Erfolg.

Weiter natürlich auch die standardmäßigen Portfreigaben für das entsprechende Gerät hinterlegt.


Interessanterweise haben die AVM Geräte für das DSL-Netz diese "Sperrkonfiguration" noch nicht und bei diesen kann man Azure FileShares noch ohne Probleme einbinden.



Hat hier aus der Community jemand diese Anforderung vlt selbst vor kurzem umgesetzt und weiß eine Idee?

Funktioniert die Variante mit NetBIOS via Config abschalten und dann die Freigabe aktivieren noch, oder wurde das in einem der letzten Updates "gefixed"?

Extra für FileShares ein P2S-VPN hochzuziehen scheint mir ein Aufwand zu sein, den ich gern vermeiden möchte, zumal ich mir nicht sicher bin ob die FB IPSEC kann und ich dazu zusätzlich in Azure eine VM hosten müsste, welche die FileShares eingebunden hat.


Vielen Dank vorab und viele Grüße erstmal

Marco

Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
8 Kommentare
2019-10-08T04:53:39Z
  • Dienstag, 08.10.2019 um 06:53 Uhr
Ich werde mir das mal anschauen vielen Dank für den Input.
2019-11-28T13:48:19Z
  • Donnerstag, 28.11.2019 um 14:48 Uhr
Wie sieht das denn mit geblocktem Port 445 aus, wenn man keine FB hat, sondern nur ein Cisco-Modem (EPC3212)? Die UM Hotline beharrt steif und fest darauf, dass UM keine Ports blockt.

Ist aber nachweislich so. Ich habe zwei WAN-Anschlüsse an unserer Hardware-Firewall, einer von der DTAG, der andere UM Office Internet. Stelle ich das Routing auf die DTAG-Leitung um, klappt der Zugriff sofort. Nur nicht beim Routing über die Leitung von UM 😳

Die Hotline ist nicht in der Lage, mein Problem zu lösen und der Second-Level-Support meldet sich nicht... ganz schlechte Servicequalität ...


2019-11-28T14:10:17Z
  • Donnerstag, 28.11.2019 um 15:10 Uhr
Wie soll denn Bitteschön bei einem Modem irgendwas gesperrt werden? Das geschieht immer im Router!
2019-11-28T14:46:17Z
  • Donnerstag, 28.11.2019 um 15:46 Uhr
Hallo Torsten,

das weiss ich schon auch, und die Leute von UM sagten, sie müssten sich deswegen an das NOC wenden - da wurden einst wohl Portbereiche generell gesperrt, und möglicherweise gibt es da noch 'Altlasten'. Aber Feedback gab es leider keines. 

Ich habe über beide Leitungen wunschgemäss ein tracert laufen lassen und diese Infos übermittelt. Ziel ist jedesmal der entsprechende Hostname xxxxx.file.core.windows.net (MS Azure). Es sind nicht so viele Hops, die in Frage kommen...

Über die Powershell kann ich mit Test-NetConnection <host> -p 445 einfach prüfen, ob die Verbindung aufgebaut wird. Bei DTAG geht das sofort, bei UM erscheint nach Timeout 'failed'.

Was könnte sonst noch das Problem sein, wenn nicht eine Portsperre irgendwo auf dem Weg zu MS Azure?


2019-11-28T22:25:58Z
  • Donnerstag, 28.11.2019 um 23:25 Uhr
hksmko:
Hallo Torsten,

das weiss ich schon auch, und die Leute von UM sagten, sie müssten sich deswegen an das NOC wenden - da wurden einst wohl Portbereiche generell gesperrt, und möglicherweise gibt es da noch 'Altlasten'. Aber Feedback gab es leider keines. 

Ich habe über beide Leitungen wunschgemäss ein tracert laufen lassen und diese Infos übermittelt. Ziel ist jedesmal der entsprechende Hostname xxxxx.file.core.windows.net (MS Azure). Es sind nicht so viele Hops, die in Frage kommen...

Über die Powershell kann ich mit Test-NetConnection <host> -p 445 einfach prüfen, ob die Verbindung aufgebaut wird. Bei DTAG geht das sofort, bei UM erscheint nach Timeout 'failed'.

Was könnte sonst noch das Problem sein, wenn nicht eine Portsperre irgendwo auf dem Weg zu MS Azure?



Vermutlich hast du einen DS-LITE Anschluss?
2019-11-28T22:44:35Z
  • Donnerstag, 28.11.2019 um 23:44 Uhr
Das ist ein Anschluss mit 6 IPv4-Adressen, zuweisbar per MAC-Adresse. Noch aus KabelBW-Zeiten...
2019-12-02T07:39:43Z
  • Montag, 02.12.2019 um 08:39 Uhr
Also wenn ich das richtig verstanden habe, teilt sich so ein DS-Lite-Anschluss eine IPv4-Adresse mit mehreren anderen Anschlussinhabern. Bei mir ist es genau anders herum. Ich kann bis zu 5 IPv4-Adressen selbst konfigurieren, indem ich die MAC-Adresse des jeweiligen Endgerätes hinterlege.

Das bedeutet aber für mich, es gibt da draussen ein Gerät (Router, Firewall etc.), welches mir das Subnetz zur Verfügung stellt und anhand der MAC-Adresse routet. Und genau da kann durchaus auch an den Ports gedreht bzw. Ports gesperrt / Traffic nicht weitergeleitet werden.

Wer ist bei Unitymedia für diese Technik zuständig? Wohin wende ich mich damit korrekterweise?


Dateianhänge
    😄