ubuntuusers.de

Hallo Zusammen,

ich habe ein frisch installiertes Lubuntu auf meinem Acer Laptop. Auch hab ich Wireguard drauf installiert.

Auf meiner Fritzbox hab ich eine neue Wireguard Konfiguration erstellt und die Konfigurationsdatei (nach dem Umbennen von .txt in .conf) auf die Laptop transferiert und dort dann eingelesen.

Die Wireguard-Verbindung scheint auch zu klappen, da ich per SSH auf meinen Raspberry (auf dem läuft Samba) komme (vom Fritzbox Gastnetz aus über die Wireguard Verbindung).

Was allerdings nicht klappt, ist das mounten oder der Zugriff auf eine, auf dem Raspberry befindlichen, Samba-Share. Da folgt immer ein Time-Out und nix tut sich.

Seit langem funktioniert der Zugriff auf dieses Samba-Share über meine Android-Smartphones bzw. Tablet sowie auch mit meinem Windows-Laptop problemlos.

Lediglich mit dem frisch installierten Lubuntu klappt es nicht (wie gesagt, SSH via Wireguard funktioniert), weshalb ich den Fehler auch in der Lubuntu-Installation/Konfiguration vermute.

Habt ihr eine Idee, woran es liegen kann? Ich habe weder am Samba noch an der Fritzbox oder sonstwo etwas verändert....

Bin für alle Ideen dankbar (bin aber leider weder Samba noch Netzwerkspezialist)....

LG

Das ist kein Problem sondern gewollt. SMB Ports sind nur mal Einfalltore und sollten im offenen Raum nicht verwendet werden.

Wenn du aber unbedingt willst, kannst du die Firewall auf eigene Verantwortung öffnen (selbst schuld). Ich würde aber eher einen Zugriff über "lftp" konfigurieren. Da kann man über "sftp" und "ftps" Verbindungen aufbauen und für Synchronisationen den "mirror" Befehl nutzen. Zur Not hilft auch ein "sshfs" weiter.

PS: Ich habe noch eine kleine (ältere) Information von AVM bezgl. Fritzbox und Wireguard gefunden:

Problem: SMB-Freigaben, Datei- und Druckerfreigaben unter Microsoft Windows und sonstige NetBIOS basierte Anwendungen funktionieren nicht über WireGuard-VPN-Verbindungen.

Lösung: SMB-Freigaben, Datei- und Druckerfreigaben unter Microsoft Windows und sonstige NetBIOS basierte Anwendungen sind über Wireguard-VPN-Verbindungen aktuell nicht nutzbar. Es wird an einer Lösung gearbeitet. Nutzen Sie bitte bis zur Lösung eine IPSec-VPN-Verbindung.

PS2: Hier eine neuere Stellungnahme von AVM vom 25.08.2025:

Leider hat sich im aktuellen FRITZ!OS 8.20 ein kleiner Fehler eingeschlichen, wodurch ein Gerät über die WireGuard-Verbindung zur FRITZ!Box zwar auf das Internet zugreifen kann, der Zugriff auf Datei- und Druckerfreigaben im entfernten FRITZ!-Netzwerk aber scheitert.

Wir werden diesen Fehler im kommenden FRITZ!OS-Update beheben. Bis zur Verfügbarkeit des Updates können Sie eine LabPLUS-Version des FRITZ!OS installieren, sofern Sie eine FRITZ!Box 7590 einsetzen. Für andere FRITZ!Box-Modelle wie die FRITZ!Box 6591 Cable erfolgt eine Lösung in einem kommenden FRITZ!OS.

Sofern Sie eine FRITZ!Box 7590, gehen Sie für die Installation der LabPLUS-Version bitte wie folgt vor. ...

Zur Not kann man auch mit dem Fritzbox Konfigurationsparameter "dont_filter_netbios=yes" hier Abhilfe schaffen. Wenn man dies durchführen will, sollte man wissen, die man einen Konfiguration-Dump macht und eine korrekte neue Prüfsumme erstellt, damit die Änderung beim Import akzeptiert wird. Dies möchte ich allerdings hier nicht beschreiben.

rosi123 schrieb:

Lediglich mit dem frisch installierten Lubuntu klappt es nicht (wie gesagt, SSH via Wireguard funktioniert), weshalb ich den Fehler auch in der Lubuntu-Installation/Konfiguration vermute.

Teste mal auf deinem PI, mit:

sudo tcpdump -c 900 -vvveni <wireguard-Interface> portrange 137-139 or port 445

(wireguard-Interface anpassen und ohne spitze Klammern). Danach Zugriff mit dem Smartphone bzw. Zugriff mit Lubuntu und die Ausgaben von tcpdump vergleichen.
Wie sind in deinem Lubuntu, die Ausgaben von:

sudo nft list ruleset
sudo iptables -nvx -L
apt policy ufw

?

@lubux: Das ist kein Problem von *ubuntu oder Wireguard sondern die Implementierung im Fritz-OS.

Hier ein Beispiel aus meinem Konfigurations-Dump der FritzBox vor meinen Änderungen:

...     >>> IPsec-VPN <<<
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
...
...     >>> Wireguard-VPN <<<
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
...

Daher hatte ich ja die "lftp" Lösung empfohlen.

shiro schrieb:

@lubux: Das ist kein Problem von *ubuntu oder Wireguard ...

OK, aber mir geht es um diese Aussage:

Seit langem funktioniert der Zugriff auf dieses Samba-Share über meine Android-Smartphones bzw. Tablet sowie auch mit meinem Windows-Laptop problemlos.

des TE.

Hallo Zusammen,

erstmal vielen lieben Dank für eure Hilfe...

Bzgl SMB: Mein Gedanke war eigentlich, wenn ich von außen via VPN (Wireguard) in mein Netz zu Hause, also alles hinter der Fritzbox, gelange, wäre alles so getunnelt, dass auch die SMB Verbindung sicher wäre. Der Gedanke war also, dass ich durch die vpn Verbindung zu meiner Fritzbox praktisch mein LAN bis zu meinem Laptop/Smartphone erweitere.

Dass SMB trotz Nutzung über VPN unsicher ist, damit hab ich nicht gerechnet...

Den Test mit tcpdump werde ich Ende der Woche machen (bin leider außer der Reihe unterwegs) - ich werde berichten....

Gaaanz lieben Dank nochmal....

Mein Gedanke war eigentlich, wenn ich von außen via VPN (Wireguard) in mein Netz zu Hause, also alles hinter der Fritzbox, gelange, wäre alles so getunnelt, dass auch die SMB Verbindung sicher wäre.

Dein Gedanke ist schon stimmig. Allerdings befindet sich dein Client außerhalb deines LAN in einer hinsichtlich Security indifferenten Umgebung.

Letztendlich bestimmst du mit deinen Sicherheitsanforderungen hinsichtlich deiner Daten mit welchen Protokollen du arbeitest. Diese Protokolle implizieren allerdings ein unterschiedliches Angriffspotential.

Wie ich schon schrieb, kannst du durchaus den SMB Schutz der Fritzbox durch die "dont_filter_netbios = yes" Konfiguration aushebeln. Durch den Druck der Windows Clientel wirst du dies über kurz oder lang auch in einer neuen Fritz-OS Version umgesetzt sehen.

Hi,

nur zum Verständnis:

Natürlich will keinen notwendigen oder sinnvollen Schutz aushebeln.

In meiner Vorstellung war es bisher so, dass ich nach der aufgebauten Wireguard Verbindung zu meiner Fritzbox mit der, von der Fritzbox zugeteilten, internen IP fürs LAN in meinem LAN unterwegs bin, der dahinter arbeitende Raspberry also garnicht weiß, dass ich zum Netz per Wireguard VPN verbunden bin.

Ich für den RPI also als ein ganz normales LAN-Gerät erscheine.

Und, wenn dem so sein sollte, der Raspi mit seinem Samba Server auch keine spezielle Wireguard Konfiguration benötigt.

Oder seh ich das falsch?

Nun bin ich auch kein Netzwerkspezialist, weshalb ich lieber nochmal nachfrage (will ja auch was lernen 😉 )

Und, nochmals ganz lieben Dank für eure Unterstützung. Hab den Lubuntu Laptop leider erst morgen wieder zum ausprobieren zur Verfügung ☺

glg

Natürlich will keinen notwendigen oder sinnvollen Schutz aushebeln.

Was notwendig oder sinnvoll ist, bestimmst du selbst. Da aber Personen mit ihrem Windows-System Zugriff über die FritzBox und WireGuard auf ihre SMB-Shares nutzen wollen(/können/müssen), wird man ja seitens Fritz! die Fritz-OS Version anpassen. Somit erübrigt sich die obige Diskussion aus meiner Sicht. Es stellt sich nun nur die Frage, ob du auf die neue OS-Version von Fritz warten oder bereits jetzt den Zugriff auf die SMB-Shares frei schalten willst.

Wenn du auf einen SMB Share hinter der FritzBox per WireGuard zugreifen willst, kannst du dies, wie ich bereits beschrieben habe, machen.

1. Nach Anmelden an der FritzBox mit z.B. "Fritz!OS V8.20" klickst du links auf "System" → "Sicherung" → "Einstellungen oder Telefonie-Daten sichern" → "FRITZ!Box-Einstellungen" → "Weiter >". Nach Vergabe eines Kennworts für die Verschlüsselung der sensiblen Konfigurationsdaten klickst du auf "Weiter >". Du führst die "Zusätzliche Bestätigung" (Telefonnummer oder FritzBox Taste) aus und startest die Sicherung. Die Datei (z.B. "Einstellungen_FRITZ.Box_....export") findest du in der Regel im "~/Downloads" Verzeichnis.

2. Du schaust nun nach, wie viele von dir konfigurierten VPNs den Parameter "dont_filter_netbios" definiert haben und welchen Wert diese aufweisen mittels:

   $ grep "dont_filter_netbios" *.export

   Sollte nur eine Zeile als Ergebnis den Wert "dont_filter_netbios = no;" aufweisen, kannst du diesen mit folgendem Befehl ändern:

   $ sed 's/dont_filter_netbios = no/dont_filter_netbios = yes/' *.export >mod.export

   Sollten mehrere Zeilen gefunden werden und mehrere einen "no" Eintrag haben, bitte dies in einem Folgepost hier mit der Ausgabe des obigen Befehls in einem Codeblock melden. Dann kann ich sagen, wie es weiter gehen soll.

3. In "mod.export" steht nun die geänderte Konfiguration der FritzBox. Der Versuch, diese zu laden, wird natürlich abgewiesen, da die Checksum wegen der Änderung nun nicht mehr stimmt. Aus diesem Grund benötigst du ein Programm, das eine akzeptierte Prüfsumme ermittelt. Die einfachste Lösung ist, ein Javascript Programm zu verwenden, das mittels des Javascript-Interpreters "node" ausgeführt wird. Das erforderliche Paket "fritzbox-checksum" wird mittels "npm" installiert via

   $ sudo npm install -g fritzbox-checksum

   Solltest du weder "node" noch "npm" installiert haben, schau im ▶ Wiki ◀ nach.
   Die neu zu ladende Konfigurationsdatei erhältst du dann mit Ausführen des Befehls:

   $ fritzbox-checksum --print-config mod.export >neu.export

4. Das Laden der neuen Konfiguration in die FritzBox erfolgt nach dem Anmelden an der FritzBox über Klick auf "System" → "Sicherung" → " Einstellungen oder Telefonie-Daten wiederherstellen" → "FRITZ!Box-Einstellungen" → "Weiter >". Nach Auswahl der "neu.export" Datei, "Weiter >" → "Alle Einstellungen wiederherstellen" → "Weiter >" ist das zuvor gewählte Verschlüsselungs-Passwort einzugeben und der Import zu starten.
   Nach automatischem Reboot der FritzBox, sollte die geänderte Konfiguration aktiviert sein. Dies kann man testen, indem von einem Client über WireGuard versucht wird das hinter der FritzBox liegende SMB Share zu öffnen.

Sollte man mit der Konfigurations-Änderung nicht einverstanden sein, ist die zuvor gesicherte "Einstellungen_FRITZ.Box_....export" Datei auf dem gleichen Weg wieder zu laden. Ich hoffe, du kannst dich beherrschen und nicht Konfigurationsänderungen durchführen, die deine FritzBox unbrauchbar machen.

Die Konfigurationsänderung erfolgt in deiner Verantwortung!