QNAP blockt IP im eigenen Netzwerk

    Hallo Leute,


    seit ein paar Tagen habe ich das Problem, dass meine QNAP 653D regelmäßig die IP Adresse meines Hauptrechners blockt.

    Anfangs hatte ich die QuFirewall im Verdacht, aber das Problem besteht immer noch, nachdem ich die App deinstalliert habe.

    Bei Sicherheit habe ich in der Zwischenzeit zu "Alle Verbindungen zulassen" gewechselt, dennoch werde ich geblockt.


    Ich kann meinen Rechner über WLAN verbinden, dann bekommt er eine neue IP und ich kann mich einloggen und die Sperre entfernen.

    Über die App Qmanager geht es zum Glück auch, aber es nervt.


    Auch das letzte Update auf 5.0.0.1932 hat keine Besserung gebracht.


    Hat jemand eine Ahnung woran das liegen könnte und warum kann man z.B. keine Whitelist anlegen?


    Thx im voraus

    Die IP Autosperre für LAN Adressen deaktivieren oder mal gucken warum es gesperrt wird (wahrscheinlich die falschen Zugangsdaten hinterlegt)

    Danke für die schnelle Antwort.


    Es sind natürlich an keiner Stelle falsche Zugangsdaten eingetragen, sonst hätte es ja bisher auch nicht funktioniert, habe schon alle Windows Freigaben gecheckt, da passt alles.


    Wo findet man denn die Autosperre für LAN Adressen?

    Habe das Problem sporadisch auch. Es tritt immer dann auf, wenn ich den Windows-PC starte. Weiss nicht ob Windows, dann versucht sich mit falschen Zugangsdaten anzumelden. Habe diverse Freigaben auf dem NAS vom Windows-PC als Laufwerke verbunden. Auf dem NAS ist keine QuFirewall instnalliert. QTS 5 mit dem neuesten Built.

    Die Windows-Anmeldeinformationen könnten der richtige Tipp sein, hier waren noch die Anmeldedaten meiner defekten QNAP eingetragen. Da ich die gleiche statische IP Adresse bei der neuen QNAP verwendet habe, könnte das zu dem Problem geführt haben. Wobei das Problem erst in den letzten drei Wochen aufgetreten ist, die neue QNAP besitze ich schon wesentlich länger...


    Werde die Sache jetzt Mal beobachten und mich hier wieder zurückmelden.


    Danke auch für die Erklärung mit den Samba Freigaben, der Haken mit der Sperre ist zwar gesetzt, ich wusste aber nicht, dass sich das auf die lokalen LAN Adressen bezieht.

    Zitat von rr1

    ich wusste aber nicht, dass sich das auf die lokalen LAN Adressen bezieht.

    SMB sollte (wie alles Andere vom QNAP eigentlich auch) NICHT vom WAN aus zu erreichen sein. .. gilt daher nur für LAN

    Es kann auch eine App sein die selber Freigaben einhängen kann, die verbindet sich dann noch mit alten Zugangsdaten die nicht mehr passen und schon ist die IP vom System blocked.

    Das kann also länger dauern so etwas zu finden.

    Was ich überhaupt nicht verstehe ist, warum überhaupt eine Adresse geblockt werden kann, wenn man doch alle Verbindungen zulassen gewählt hat.

    Im Reiter Zugriffsschutz, wähle ich jetzt bei den verschiedenen Einstellungen immer andere Zeitspannen, wie lange die IP geblockt wird. Sollte das mit den Anmeldeinformationen unter Windows doch nicht meine Lösung sein, kann ich dadurch zumindest feststellen, welcher Zugriff die Blockierung verursacht. So kann ich das Problem dann wenigstens eingrenzen.


    Da ich nun schon länger am Hauptrechner bin und immer noch nicht geblockt wurde, hoffe ich, dass Problem ist gelöst. Aber ich werde es Mal die nächsten Tage beobachten, der Fehler war ja recht schnell reproduzierbar.

    Zitat von rr1

    Was ich überhaupt nicht verstehe ist, warum überhaupt eine Adresse geblockt werden kann, wenn man doch alle Verbindungen zulassen gewählt hat.

    Das sind unterschiedliche Protokollebenen.


    "Alle Verbindungen zulassen" regelt auf niedriger Ebene, ob überhaupt IP-Pakete vom NAS angenommen werden sollen. Wenn du immer vom gleichen PC aus zugreifen willst und nicht mal die anderen Geräte im LAN an das NAS dürfen, kannst du hier Einschränkungen vornehmen. Auf der Protokollebene erfolgt aber keinerlei inhaltliche Überprüfung der IP-Pakete. Ob das nun zulässige oder unerwünschte Zugriffe sind, ob da erfolgreich angemeldet wird oder nicht, kann an der Stelle nicht geprüft werden. (Hinweis: Diese Prüfung lässt man meistens vom Router und nicht vom NAS vornehmen.)


    Der IP-Zugriffsschutz sitzt auf einer höheren Protokollebene, wo geprüft werden kann, ob erfolgreich angemeldet wird oder nicht. Bei zu vielen Fehlanmeldungen kann hier gesperrt werden (erschwert das Durchprobieren von Passwörtern durch Angreifer). Die Prüfung ist also deutlich flexibler und zielgerichteter. Nachteil ist, dass diese Prüfung nicht für unbekannte Dienste erfolgen kann. Jeder Dienst muss gesondert behandelt werden.


    Hinweis: Beide Sperren bieten keine 100%-ige Sicherheit, da es einfach ist, einem Rechner eine andere IP zu geben.

    Wie versprochen hier nochmal ein Update, wie von Dolbyman schon vermutet löst der IP Zugriffschutz der SAMBA Einstellungen den Block der IP Adressen aus. Übrigens ist in der Zwischenzeit noch ein zweiter Rechner im Heimnetzwerk betroffen. Ich habe den Block der IP Adressen, ausgelöst durch die SAMBA Sperre, auf 5 Minuten begrenzt. Im QuLog Center sieht man dann, dass es eine Sperre ausgelöst hat und diese 5 Minuten andauerte, also ist das schon mal eindeutig ersichtlich. Jetzt könnte ich natürlich den Zugriffschutz durch SAMBA einfach entfernen und gut ist, aber so einfach möchte ich es nicht machen. Mich würde schon interessieren, durch was die Sperre ausgelöst wurde, um diesen Fehler zu beheben. Ich hatte meine automatischen Backups im Verdacht, aber der Zeitpunkt der Sperre passt nicht mit den Backupzeiten meiner Systeme, in denen der Zugriff stattfindet überein, außerdem habe ich natürlich auch hier die Zugangsdaten kontrolliert und da passt es. Bei QSync hat man ja ständig Zugriffe, aber hier stimmt alles und es funktioniert problemlos. Noch jemand eine Idee, wie ich den Prozess, der die Sperre auslöst, auf die Spur kommen kann. Protokolliert die QNAP das evtl. genauer und nicht nur den Hinweis im QuLog Center, dass die IP gesperrt wurde?

    Ich habe keine IP Blockierung eingestellt, aber ich werde ständig mit Mails bombadiert, das ein PC immer einen Zugriffsversuch auf ein SMB Share unternimmt.

    Das pikante daran: dieser PC ist mein Firmen PC, der auch auf ein NAS Share zugreift.

    Den lasse ich meist laufen, auch am WE oder nachts.

    Wenn ich an dem Rechner arbeite, ist Ruhe mit den Meldungen, aber ich habe folgenden Eindruck:

    Sobald irgendwann der Bildschimschoner aktiv ist, bzw. sich der Bildschirm ganz weg schaltet, werden diese Meldungen erzeugt.

    Ich vermute, das Win10 im Hintergrund trotzdem noch Abfragen auf die verbundenen Freigaben macht, dabei aber keine Logindaten liefert und deshalb der Zugriffsversuch protokolliert wird.

    Ich bin dem nie nach gegangen sondern habe es nur zur Kenntnis genommen, da ich diese Meldung als lästig, aber nicht als echten Angriff einstufe. Es ist ja mein PC, den ich für sicher halte (die Firma übrigens auch :P).


    Gruss


    Edit: habe jetzt noch mal im Access Log nachgesehen:

    Diese Meldung bzw. die Zugriffsversuche kommen regelmäßig alle 3 Stunden!

    Als "User" wird dabei immer der Name des PC mit einem "$" am Ende geloggt, was für mich sehr nach einem administrativen Prozeß von Windoof aussieht.

    Ich bin mir sicher, das Win 10 da irgendetwas intervallmäßig abfragt.

    2 Mal editiert, zuletzt von FSC830 ()

    Vielleicht will dein Virenscanner im Leerlauf Netzlaufwerke oder Netzwerkfreigaben scannen?

    Nein, das glaube ich eher weniger.

    Ich habe in den Windows Systemlogs nachgeforscht, da finde ich dazu nichts, was regelmässig alle 3 Stunden versucht zuzugreifen.

    Ich vermute eher irgendeinen Windows Browserdienst oder ähnliches.

    Denn genau alle 3 Stunden werden 3 Zugriffsversuche per SMB vom Rechner in QuFirewall protokolliert.


    Gerade habe ich gesehen, das es im Laufe des WE tatsächlich einmal ein Intervall von 6 Stunden gab und sogar noch zwei weitere außerhalb des 3h Rhythmus...:/


    Hier mal ein Auszug: (Rechername geändert)


    Access_log.png


    Gruss

    FSC830 Versuch mal:


    Systemsteuerung --> Benutzerkonten --> Eigene Anmeldeinformationen verwalten --> Windows-Anmeldeinformationen


    Vermutlich wirst Du doch (mehr als einen) Eintrag für Dein NAS finden. Entweder unter Windows-Anmeldeinformationen und/oder Generische Anmeldeinformationen

    Das dürfte der Ort sein, wo Windows die falschen Anmeldedaten herholt.



    Screenshot 2022-02-14 120359.jpg

    Danke, aber da ist kein Eintrag für das NAS Share drin.

    Ich habe dazu momentan keine Idee, was es noch sein könnte.


    Gruss

    Hallo FSC830,

    hast Du dazu eine Lösung ausgearbeitet? Aktuell habe ich das nämliche Problem und komme einfach nicht drauf, welcher Dienst sich bei mir immer einloggen möchte.

    MfG

    Nein, habe ich nicht. Ich habe aber auch länger nicht mehr kontrolliert, ob das Problem noch auftritt. Vermutlich nicht, da ein neuer VPN Client installiert wurde, der gleichzeitige Verbindungen ins lokale LAN nicht mehr erlaubt.


    Gruss