Kein lokaler Zugriff mehr per Browser, smb/afp (Mac) auf TS 251

    Nun ja, einer der flehendlichen Hilferufe, weil:


    Ich komme weder mit Webrowser (Firefox, Safari) im lokalen Netzwerk auf meinen NAS, noch wird das share unter afp oder smb gemounted.
    Die Anmeldeversuche drehen sich ohne Ende im Kreis, wobei der dunkelblaue LoginScreen des NAS bei Aufruf mit Browser sofort da ist.


    Ping von meinem Mac aus ok. Kein Paketverlust, latenz 0,634 ms

    Zugriff vom handy aus im lokalen Netz per Qmanager ok!

    Qfile Zugriff ok, auch auf Unterverzeichnisse und Dateilisten - ABER der Inhalt wird nicht angezeigt. Auch hier Drehen im Unendlichen.


    Qmanager behauptet die Festplatten seien "gut". 2 relativ neue WD red, die sich als Raid spiegeln

    50% belegt

    Netzwerkadapter zeigt traffic (in Qmanager)

    Netzkabel schon gewechselt.


    Firmware: 5.0.1


    Den NAS habe ich gemäß allen Ratschlägen gegen Zugriff aus dem Internet geblockt. Da kein Experte nun vielleicht zu sehr?


    Die letzten Tage keine Änderungen am Setup, wenn man mal von neuem DSL-Modem absieht, jetzt probehalber wieder das alte vorgeholt.


    Halt alles nun sehr stressig, da ich meine Arbeiten auf dem NAS liegen habe und nicht dran komme.


    Wer hat einen Rat?

    Herzlichen Dank,

    Johannes




    PS: Vielleicht hilft ja das Betriebssystem resetten? Da weiß ich akut aber nicht welchen Knopf wie lange zu drücken, und nicht das Default Admin Passwort....

    Schon Qfinder probiert? Oder per ssh auf die Konsole (bei mangelnden Fachkenntnissen mal einfach nur anmelden ohne was zu ändern).

    Danke euch Beiden für erste Anläufe! Super.

    Also: Qfinder hatte ich wieder weg getan, muss ich neu holen und probieren. War das aber nicht nur ne Software, um als Einsteiger sich überhaupt nur den NAS anzeigen zu lassen? – QManager auf dem Handy (iPhone) kann da nach meiner Erinnerung schon mehr anzeigen. Und der ist ja lles in allem "zufrieden"...
    SSH habe ich natürlich im Zuge meiner Abdichtungsversuche gegen das Internet deaktiviert. Früher hatte ich das NAS im Internet (für die Familie) hängen. Hab das alles im Zuge der feindlichen Übernahmen und Malware rückgebaut und deaktiviert. Eigentlich nur noch fileserver im Heimnetz. CloudLink etc. auch alles deaktiviert.

    Bonjour ist aktiviert.
    Ich melde mich normalerweise per FireFox mit IP-Adresse und :Portnummer an. Wie gesagt, der blaue QNap Login-Screen wird gezeigt, aber dann geht es nicht mehr weiter. Auch das Mounten unter SMB oder AFP dreht sich nur im Kreis.


    Never change a running team...

    Ich hatte mir ne neue Fritz geleistet und am WoE installiert. Natürlich weiß keiner ob nun ursächlich oder zufällig es dann verkackt.


    Mittlerweile habe ich das NAS per Einschaltknopf abgewürgt und neu gestartet. Danach Browser-Login positiv! Aber irgendwie würgt sich der Netzwerkverkehr dann nach und nach ab. TimeMachine Backup wird auch nicht abgeschlossen "Netzvolume wurde ausgeworfen" oder so ähnlich.


    So wie letztes Jahr "diffuses Infektionsgeschehen"gab so sind es nun hier "diffuse Netzschwierigkeiten". :X



    Ich wurstel hier mal weiter. Hab das NAS zwar schon -zig Jahre (wann kam der TS 251 raus?), aber bin da nicht so der Konfig-crack. Arbeite da halt *mit* aber eben nicht Tag und Nacht *dran*.


    Danke euch!

    Johannes

    Die Idee mit dem Qfinder und SSH war erst mal auch nur um eine Idee zu bekommen, ob das Problem auf Client-Seite liegt.

    Zitat von amadeus21

    Ich hatte mir ne neue Fritz geleistet und am WoE installiert. Natürlich weiß keiner ob nun ursächlich oder zufällig es dann verkackt.


    Vermutlich hat dein NAS durch den Neustart eine andere IP erhalten. Vermutlich musst Du deine Netzverbindungen neu einrichten.


    Du hättest besser deinem NAS im Router wieder die alte IP zugewiesen.

    Falls du mit "gegen das Internet deaktiviert" das Abschalten von SSH meintest, halte ich das für keine so gute Idee. Du würdest dir damit den Weg verbauen, selbst mal im Notfall per SSH auf dein NAS zu kommen. Solange du keine Portfreigabe auf Port 22 einrichtest, solang stellt das meine Meinung nach nicht unbedingt ein Sicherheitsrisiko da. Ich würde den Port aber auf einen höheren umschreiben.


    Hat natürlich nichts mit deinem Problem zu tun. Dazu würde ich auf Becker2020 verweisen.

    Yep, Becker (Manfred??) hat wohl die Sachlage richtig "erfühlt": Ich habe das ganze Werks jetzt nochmal auseinander gerissen und versuche grad noch, den Überblick wieder zu bekommen: Die "Dauer-Netzwerkteilnehmer" (Server, Drucker, Glotze, Desktop-Rechner) hatte ich schon früher im Gerät mit einer festen IP im 200er Bereich (Endnummer) eingerichtet (den ganzen mobilen Klöterkram und Familiengäste dann per DHCP). Das war mir "verflogen". Nun war da die neue Fritz – und ich habe auf Seite der Fritz als DHCP-Server für diese Geräte angefangen, feste IPs zu vergeben. Das konnte natürlich nicht gut gehen. Hinzu kam, dass ich vor kurzen so FritzPowerline hinzugenommen hatte (1 Etage tiefer), und die 2 Geräte haben mit ihren spontanen Adressen wohl auch noch dazwischen gefunkt.


    Wie es so aussieht, ist damit die Ursache eingekreist. Einiges läuft schon, anderes nicht (Time Machine! auf QNAP :( per AFP oder SMB? an OS X Ventura)


    Ich hoffe, ich melde mich nochmal, wenn es Gutes zu berichten gibt.



    Danke Leute, zumindest habe ich einen Teil einer Nerven wieder.

    So, Leute, ich finde es nützlich und fair, auch den Ausgang der Story (für Nachfolgende ;-)) zu berichten und sich bei den Helfern zu bedanken:
    Es lag wohl an der neuen Fritz! und einem unerwarteten IP-Adressen Kuddelmuddel.


    Der Tip, sich mit den IP-Adressen näher zu befassen war der entscheidende Hinweis. Wie ich oben sagte, habe ich den "Dauerbrennern" im Hausnetz wie NAS, Drucker, Fernseher und meinem Desktop-MAC feste IP-Adresse vergeben, alle mobilen devices etc. kommen und gehen durch DHCP der FritzBox.


    In den letzten Wochen kamen nach und nach neu: Desktop-Mac, Fritz Powerline mit 2 Komponenten (1 speist Netzwerk ins Haus-Stromnetz, 1 device holt das Netz eine Etage tiefer wieder aus dem Stromnetz und stellt es als Mesh zur Verfügung), schließlich FritzBox.


    Wenn ich es nun richtig sehe bestand das Galama durch: Es war vergessen worden, dem neuen Desktop die feste IP zu verpassen; er bekam durch die FritzBox per DHCP die gleiche IP wie eine der Komponenten der Powerline (Anlieferungszustand? Sind diese IPs bei einem Mesh jedoch relevant?). Diese Misstand wurde offenbar durch die Fritzbox auch bei den zahlreichen Neustarts nicht bemerkt und beseitigt. Beim Zugriff vom Desktop Rechner befand sich also eine 2. Komponente mit gleicher IP im Netz. Der Server war die ganze Zeit "unbeteiligt" und ordnungsgemäß; deswegen auch positiver Zugriff mit Handy –> QManager auf die NAS.


    So zumindest mein momentaner Infostand.


    Der Sache läuft wieder, euch allen Vielen Dank!

    Puhhh ...

    Johannes

    Zitat von amadeus21

    ...Sind diese IPs bei einem Mesh jedoch relevant?...

    IPs selbst sind nur insofern relevant, das sich alle im gleichen Subnetz befinden oder die Netzwerk routbar sein müssen.

    Keinesfalls jedoch darf eine IP doppelt vorkommen! Das ist dann eine unsaubere Konfiguration: wie kann ein Gerät eine feste IP erhalten, die im DHCP Bereich liegt!??

    Also entweder wurde bei der Powerline Installation geschlampt, oder beim Einrichten des DHCP.


    Gruss

    Hallo "Inventar" ;)


    Da kommen wir glaub ich jetzt vom Thema ab, was ich wenn's andere machen, auch immer blöd finde.
    Also DHCP habe ich als "Laie" auf der Fritzbox nicht manipuliert. Soweit ich erinnere, hatte ich wahrscheinlich in erster Sitzung den beiden Powerline-Komponenten eine feste IP verpasst (.31, .32) und den neuen Desktoprechner noch nicht mit fester IP versehen. Die Fritzbox hatte aber eine gleiche Nummer (.31) per DHCP an den neuen Mac vergeben und offenbar nicht "erkannt", dass eine Mesh-Komponente die gleiche Nummer hatte.


    Beim Auflisten des ganzen Heimnetzen in der Fritzbox sah ich jedenfalls nach 4 Stunden Probiererei und euren Hinweisen (!), dass .31 zwei mal vergeben war.


    Danke und Grüße!

    Johannes

    Das hat sehr wohl mit dem Thema zu tun. ;)

    Und das war dann auch der Fehler: .31 und .32 zu verwenden.

    Der Standardbereich des DHCP der Fritz beginnt bei .20 und endet bei .200.


    Wenn man in diesem Bereich anderen Geräten IPs vergibt, dann ist genau so etwas vorprogrammiert.


    Gruss

    Wie gesagt, ich bin kein Profi bei diesem Thema. Dennoch: Also in den letzten 25 Jahren auch meiner Berufstätigkeit habe ich auch im Betrieb bestimmten Geräten (Drucker, eigener Rechner) einfach eine "beliebige" IP Adresse aus dem DHCP-Bereich (den ich letztlich gar nicht kannte) verpasst, geschaut, ob die Meldung kommt "diese IP-Adresse ist bereits im Netzwerk vergeben" - und dann das entsprechende Gerät neu gestartet. Ab da war diese feste IP auf Jahre im Netz vergeben und der DHCP-Server hat dies berücksichtigt.

    Ich habe jetzt nochmal beim DHCP der Fritzbox nachgeschaut und bin in der Hilfe auf den Satz gestoßen:

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von Fritzbox-Online-Hilfe: DHCP

    "Die IP-Adresse darf von keinem anderen Gerät verwendet werden und muss aus dem IP-Netzwerk der FRITZ!Box stammen (Werkseinstellung: 192.168.178.0). Die IP-Adresse darf innerhalb oder außerhalb des DHCP-Bereichs liegen (Werkseinstellung: 20 bis 200).

    Wobei diese Auskunft nicht völlig klar Deinen Einwand wiederlegt, gebe ich zu. Es gibt DHCP-Server, die vorher die IP-Adresse, die sie dynamisch vergeben wollen, anpingen und gucken, ob diese bereits vergeben ist. Und es gibt DHCP-Server, die einfach blind in ihren Heuhaufen greifen und Blödenfalls dynamisch eine IP rausgeben, die bereits fest im Netzwerk vergeben ist – und dies halt nicht merken.
    Sicherer ist also, einen IP-Nummernbereich zu reservieren, der dem DHCP-Server überlassen wird. Und einen IP-Nummernbereich für feste Adressen. – Was man auch bei der Fritzbox machen kann: Eine IP-Nummer, die die Fritzbox per DHCP vergeben hat, in der Oberfläche der Fritzbox (Menüpunkt "Heimnetz") nachträglich für *fest* deklarieren. Das scheint die beste Lösung.
    (Ein weiteres Thema wäre eine Firwall, die den Verkehr für bestimmte Geräte über deren [feste] IP regelt. Da ich betrieblich per ftp rein und raus aktiv sein musste [was ansonsten von der IT als GAU angesehen wurde] , war eine entsprechende Regel für die feste IP in der Firewall hinterlegt. Da wäre "echtes" DHCP auch etwas kontraproduktiv.)

    Dennoch: a) Ich hatte also irrtümlich eine IP-Nummer vergeben, die die Fritzbox bereits anderwertig per DHCP vergeben hatte. Beim Neustart des Ganzen hat die Fritzbox dem zweiten der Duplikate aber offenbar nicht auf die Finger gehauen, dass die Nummer, mit sich das Gerät neu anmelden will, bereits vergeben sei.
    b) Es ist aus Sicherheitsgründen also sinnvoll, den Nummernbereich des DHCP zu definieren und nur außerhalb dieses Nummernbereichs eigene feste IP zuzuweisen.



    Doch nun kommt die große Preisfrage!
    Wie sinnvoll/nötig ist es, nicht nur in der Fritzbox statische IP-Adressen zu definieren und das Ganze ansonsten als DHCP laufen zu lassen, sondern diese statische Adressen auch jeweils in den entsprechenden Geräten zu konfigurieren!? Also im Desktop-Rechner im Netzwerksetup "DHCP mit statischer Adresse" auszuwählen und auch dort die IP fest einzutragen!? Das wäre dann ein Netzwerk, welches zur Not auch mal ohne DHCP-Server mit sich selbst zurecht kommt?


    Gruß

    Johannes

    Einmal editiert, zuletzt von amadeus21 ()

    Zitat von amadeus21

    Wie sinnvoll/nötig ist es, nicht nur in der Fritzbox statische IP-Adressen zu definieren und das Ganze ansonsten als DHCP laufen zu lassen


    Halte ich nicht für sinnvoll. Ich lege die IP`s alle nur in der Fritzbox fest.

    Anmerkung:

    Auch wenn die Fritzbox die IP aus einen variablen Bereich vergibt, nutze ich die Funktion "Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.".



    Zusatz: Mein Name ist nicht Manfred.

    Kann man machen, muß man nicht machen ^^ .

    Ich habe z.B. einen Mix aus beidem: Geräte der Infrastruktur haben feste IPs (NAS, Router, Switche). Sämtliche Clients erhalten dagegen die IP über DHCP.

    Die Lease bleibt bei einem aktiven Gerät auch erhalten, wenn der DHCP Server nicht erreichbar ist. Nur ein Neustart oder ein neues Gerät ist in diesem Moment nicht förderlich ;) .


    Gruss

    Zitat von Becker2020

    "Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.".

    Mach ich auch so. Darüber hinaus habe ich eine Doku erstellt mit MAC-und IP-Adressen. Ab und an kontrollier ich mein Netz mit einem IP-Scanner auf Plausibilität. Die Anzahl der Teilnehmer wird mit der Zeit ja nicht weniger. Da verliert man ohne ein Hilfsmittel irgendwann den Überblick. Doppelte IP-Adressen hab ich so noch keine gehabt.


    Das einizige, was da reinspucken kann wären "temporäre" Teilnehmer. Aber meist bin ich das ja selber, und wer sonst noch in mein Netzwerk will, muß ja zunächst bei mir antanzen...

    Zitat von amadeus21

    (Ein weiteres Thema wäre eine Firwall, die den Verkehr für bestimmte Geräte über deren [feste] IP regelt. Da ich betrieblich per ftp rein und raus aktiv sein musste [was ansonsten von der IT als GAU angesehen wurde] , war eine entsprechende Regel für die feste IP in der Firewall hinterlegt. Da wäre "echtes" DHCP auch etwas kontraproduktiv.)

    Nicht ansonsten, sondern global! FTP über das Internet ja kann man machen, wenn das nix wildes ist wie ein Software Download bei einem Hersteller der das nicht einfach für jeden zugänglich macht. Sensible Sachen auf gar keinen Fall, denn User + Kennwort laufen hier im Klartext durch das Internet.

    Aus dem Grund ist im Internet auch http ausgestorben.


    Deine neue Fritzbox kann WireGuard, also richte das ein, dann kannst du ins Heimnetz über den Tunnel wieder sicher FTP machen, weil der Tunnel die Verschlüsselung übernimmt und dann ist es egal ob du Klartext durch sendest.


    DHCP ist super, für Clients die keine Services anbieten und wenn ein Client das tut, ist er kein Client mehr sondern ein Server.

    Gehört in einen anderen IP Bereich und liegt nicht mehr im DHCP Pool.

    So vermeidet man Strukturell diese Probleme.

    Wenn du keine 100 Clients hast, dann kannst mit der Fritz bei 100 anfangen mit dem DHCP Pool und bei 200 wieder aufhören, da liegen dann ab 201 die VPN IPs der Fritzbox.

    Zudem solltest du dann den normalen IP Bereich der Fritz von 192.168.178.0/24 auf was anderes privates umstellen, sonst bekommst du bei einem Kollegen mit Fritzbox Probleme mit deinem VPN.

    Hier ist Firewall (Gateway für alles), Switch, WLAN Controller und das NAS mit fixer IP eingerichtet, alles andere läuft per DHCP mit dynamischer IP.

    Die NAS MAC ist aber trotzdem auf der statischen IP Reserviert, das auch wenn die Kiste ihre IP mal vergessen sollte, die gleich bleibt.


    Das kann man mit einer Firewall alles machen, aber so ein Teil hat dann noch 1 Mil weiterer Einstellungen mit Abhängigkeiten usw.

    Da kann man sich auch ganz böse verkonfigurieren und dann hast du keinerlei Schutz mehr vor dem bösen Internet.

    z.B. der Floating Bereich bei pfSense, da kann man wirklich coole Sachen mit machen, aber eine falsche Regel hier und alles mit jedem ist erlaubt.


    Wenn du aber willst, kannst du dich da rein arbeiten, aber das wird eine steile Lernkurve!