IThome

Ich mache sowas mit einer entsprechenden Appliance (Multi-WAN, Policy based Routing), die dann auch gleich ein VPN terminieren könnte ...

Direkt an das Modem, ohne Router, um die eventuelle Unfähigkeit des korrekten Umgangs mit GRE seitens Deines Routers zu umgehen :). Die gleiche IP ist ein Problem, wenn Du zugreifen willst, nicht bei der Verbindung an sich ...

Das würde mir auch pauschal einfallen ...

Wenn sie sich mit dem Tool kopieren lassen, dann solltest Du das UNBEDINGT tun. Dieses Tool setzt die notwendigen Registryberechtigungen in der NTUSER.DAT. Wenn die zukünfigen Profilbenutzer keine Administratoren sind und das Profil mit dem Explorer kopiert wird, werden sie dieses Profil nicht benutzen können. Es gibt aber auch noch eine Möglichkeit, die Profile mit dem Tool zu kopieren und die Registry-Berechtigungen korrekt zu setzen, selbst wenn sie vorher mit dem Explorer kopiert werden mussten (weil es mit dem Tool nicht möglich war). Dazu benutzt man einen temporären, lokalen Benutzer, in den man das Profil via Explorer kopiert. Danach wird dieses Profil des temporären Benutzers via Tool mit den korrekten Berechtigungen in den Profilordner des endgültigen Benutzers transferiert ...

Mit verschiedenen Karten wird das wahrscheinlich nichts und es sprechen ja offensichtlich auch noch andere Dinge dagegen. Ich denke, dass die beste Option einfach eine schnellere Netzwerkkarte ist, die ja so teuer nun wirklich nicht mehr sind ...

ABE wirkt nur, wenn man über eine Freigabe zugreift und nicht, wenn man direkt in das Dateisystem navigiert (hast Du ja selbst schon herausgefunden). Ich würde es auch über einen zweiten Server (2008) lösen, den ich zum Terminalserver machen würde, der dann auf die Bilder über eine Freigabe des SBS zugreift. Dann kann auch ABE zum Einsatz kommen ...

Mit 2 Standardgateways wirst Du nicht weiter kommen, da nur eins benutzt wird. Das zweite würde erst dann zum Tragen kommen, wenn das erste ausfällt und auch nur unter bestimmten Umständen. Welches das erste ist, hängt von der (automatischen) Metrik und der Bindungsreihenfolge ab. Die Route wird also über das "höchste" Default Gateway errechnet ... Zitat aus dem oben genannten Artikel: "If the attacker simply spoofs one of the permitted source addresses, the attacker may never get a response. However, if the attacker both spoofs an address and sets the loose-source-routing option to force the response to return to the attacker's network, the attack can succeed." Welcher Art sind denn die Broadcasts, sind das z.B. ARPs oder Namensauflösungs-Broadcasts ?

Machst Du PPTP ?

Ist auf der Vista Maschine die Netzwerkerkennung und Datei- und/oder Druckfreigabe aktiviert ? Kommst Du mit \\<Vistarechner> auf die Maschine rauf ?

Ich denke, dass der Assistent Paketfilter gesetzt hat, die nur noch PPTP/L2TP zulassen. Hast Du angehakt, dass Paketfilter gesetzt werden (bzw. den haken nicht entfernt) ?

Das ist richtig, aber jede Anwendung bekommt diesen virtuellen Adressraum zugewiesen ...

Nochmal zum Thema Source Routing: Eigentlich macht das der Sender und nicht der Empfänger. Weiterhin ist das sicherheitstechnisch nicht gerade ohne ... Source Address Spoofing Und hier der Key ... Microsoft Corporation Du meinst wohl IP-Adressen ?!

Hast Du schon mal gesnifft, was der versucht zu erreichen ? Source Routing gibt es bei Windows auch, ich bezweifel allerdings, dass es den von Dir gewünschten Zweck erfüllt (weiss den Regkey im Moment nicht, schaue nachher nochmal nach) ...

Das ist normales Verhalten der Routenermittlung, dass über das Default Gateway (wahrscheinlich die einzig mögliche Route) gesendet wird. Die Pakete werden als Broadcast rausgehauen ? :suspect: Die werden einfach nur zurück zum Default Gateway geschickt und als Broadcast würden sie da kleben bleiben. Naja, wie auch immer, mir ist kein Weg bekannt, so etwas zu lösen ...

Ich hab es grösser geklickt ... :shock: – Oh Gott, ich sehe gerade, dass der SBS eine dynamische Adresse hat. :shock: Ich vermute auch, dass das ein Router ist, der hinter der 192.168.1.1 steckt. Ein Active Directory benötigt einen DNS-Server, der SRV-Resource Records unterstützt, die sich idealerweise dynamisch registrieren lassen. Der DNS-Server des SBS ist solch ein DNS-Server, den Du auch einsetzen solltest. Die Adressen kannst Du natürlich auch vom Router verteilen lassen, dann aber mit den richtigen Optionen (DNS-Server, DNS-Suffix, WINS ...). Ich würde den DHCP-Server des SBS benutzen, wofür Du aber den DHCP-Server des Routers abschalten MUSST, da sich sonst der SBS-DHCP automatisch beendet. Auch von mir noch mal die Frage: Wer ist die 192.168.1.254, ein weiterer (WINS-) Server ?

Ähm, die Hälfte davon nicht genutzt werden kann ? Das sind virtuelle Adressräume, keine physikalischen ...

Am besten der Benutzer selbst. Mit 2003 Server kannst Du Besitztum übertagen ...

Jo, wie alle schon gesagt haben, Copy and Paste ... Man kann nämlich nicht erkennen, o´b die Adresse des bevorzugten DNS-Servers des Server die 192.160.1.1 oder 192.168.1.1 ist, WINS ebenso. Weiterhin gehören bei keinem Domänenmitglied bzw. DC externe DNS-Server in die Konfiguration.

Wenn eine VPN-Verbindung zum SBS hergestellt werden kann, dann ist der externe Client quasi im internen Netzwerk. Wenn die Firewalleinstellungen der internen den Zugriff erlauben und je nach Konfiguration auch den SBS als Default Gateway haben, dann sollte das klappen. Welcher Adressbereich wird den Remote-Clients zugewiesen ? Poste bitte mal IPCONFIG /ALL des Remoteclients bei bestehender Verbindung und von einem internen Client ...

Und wer ist Besitzer ? Hast Du die Berechtigungen auch mal nach untern durchgedrückt ?

Der Router terminiert die Verbindungen oder leitet er weiter an einen internen RRAS z.B. ? Ist auf dem Server der VPN-Typ auf automatisch gestellt oder hast Du explizit PPTP-VPN ausgewählt ? Ist der Server aktuell gepatched ?

Was gibst Du als Domänennamen ein, wenn du beitreten willst ? Welcher bevorzugte DNS-Server ist beim Client eingetragen ?

Welche Berechtigungen sind denn gesetzt ? Wer ist Besitzer der Profilordner auf dem Server ? Ist die Offlineverfügbarkeit der Serverprofilfreigabe abgeschaltet worden ?

Das Problem von RUNAS ist, dass es bei eingeschalteter UAC kein Elevation Prompt hervorruft, was wiederum bedeutet, dass eine Privilegierungsanhebung nicht erfolgen kann. Man kann zwar einen anderen Benutzer angeben, der aber höchstens die gleiche Privilegebene wie der aufrufende Benutzer haben kann. Mit abgeschalteter UAC dagegen funktioniert RUNAS wie gewohnt, da es keinen Elevation Prompt gibt. So wie ich es sehe, funktioniert das mit der Verknüpfung zur GPMC und eingeschalteter UAC nur dann, wenn man schon als lokaler Administrator angemeldet ist (also keine Änderung der Privilegebene). Das probiere ich aber lieber nochmal aus ... ;) Der TO ist aber nicht als Administrator, sondern als Benutzer angemeldet ...

Wenn Du nicht gerade eine Vista-Maschine benutzt, dann ist das schon vorgeschlagene RUNAS eine gute Wahl. Ist es eine Vista-Maschine, dann musst Du die UAC abschalten (was ja nicht Sinn der Sache ist), da RUNAS sonst nicht richtig funktioniert ...