为什么 mac 跨网段访问群晖 SMB 失败后，同网段访问下就进行跨网段访问成功了

This topic created in 941 days ago, the information mentioned may be changed or developed.

网络环境

主路由器是电信光猫，IP：192.168.1.1
电脑：192.168.1.5
- tailscale：100.95.223.87
PVE 主机：192.168.1.2

PVE 内

PVE 内除了 OpenWrt wan 口桥接vmbr0获取 1 段 IP ，其他的 lxc 和 vm 都是桥接 OpenWrt lan 口的 vmbr1 获取到 3 段 IP 。

OpenWrt
- wan: 192.168.1.10
- lan: 192.168.3.1
- tailscale
  - Subnet routes：192.168.3.0/24
DSM
- IP：192.168.3.204
- 通过 OpenWrt lan 上网

问题经过

之前是给黑群晖分了两个网络设备（ vmbr0(1 段),vmbr1(3 段)），所以电脑和 PVE 的虚拟机都可以访问 smb 。重新安装升级 DSM 7.2 后只保留了 vmbr1(3 段)接入。使用电脑访问 smb://192.168.3.204 输入用户名密码后一直无法打开，抓包显示：

163	25.022285	192.168.3.204	SMB2	269	100.95.223.87	Session Setup Response, Error: STATUS_MORE_PROCESSING_REQUIRED, NTLMSSP_CHALLENGE

172	29.276905	192.168.3.204	SMB2	129	100.95.223.87	Session Setup Response, Error: STATUS_LOGON_FAILURE

搜索只查到好像是协议校验错误，不知道如何解决。

想着恢复原来双网口的方案，给黑群晖增加了 vmbr0(1 段)的网络设备，然后在电脑端连黑群晖 1 段的 IP 可以正常访问，重新连黑群晖 3 段的 IP 也可以正常访问。感觉有点怪，断掉黑群晖 1 段的网络后，电脑仍然可以通过 3 段访问黑裙的 smb 。

utnn 抓包

https://i.postimg.cc/ydFkT7zd/image.png

实在是能力有限知道太少，隐隐猜测是NTLMSSP_CHALLENGE认证的问题，但是是什么原理不清楚，各位大佬请指点指点，万分感谢🙏

1 replies • 2024-03-13 13:42:28 +08:00

geyee

Mar 13, 2024

是否需要启用 NTLMv2 协议来进行 samba 访问。我之前遇到 windows 11 访问 pve 共享提示用户名或密码错误的问题，抓包发现类似 status_more_processing_required, ntlmssp_challenge 的信息。通过修改组策略的就可以访问了——
本地计算机策略-计算机配置-Windows 设置-安全设置-本地策略-安全选项-网络安全：基于 LAN 管理器身份验证级别：将发送 LM 和 NTLM 响应(&) 调整为仅发送 NTLMv2 响应，拒绝 LM 和 NTLM(&)。
我看到 https://discussions.apple.com/thread/255234671?sortBy=best 提到修改 /etc/nsmb.conf 文件的设定 protocol_vers_map=2 来强制使用 SMB v2 协议来访问服务。以及 https://discussions.apple.com/thread/2369451?sortBy=best 设定 minauth=ntlmv2 来强制使用 NTLM v2 协议，估计可以尝试看看。
至于同局域网可以访问，但是使用 tailscale 或 zerotier 等 vpn 的同虚拟网段反而不可以，我看到一种说法是局域网优先使用了 netbios ，各情况使用了不同的协议，估计可以抓包对比看看。（题主所说的启用 3 段 IP ，又断掉后依然可以访问 smb 的问题，大概也需 tcpdump 等抓包理解了）