Kein DNS bei Internet-Sharing

[xtragood 10]

Hi Leutz,

 

hab ein DNS-Problem. Auf einem Notebook einer Mitarbeiterin ist McAfee Desktop Firewall installiert.

 

Die Mitarbeiterin geht über PCMCIA-ISDN ins Internet (Call-by-Call-Provider) und hat das Internet-Sharing eingeschaltet.

 

Über WLAN verbindet sich ein zweiter Mitarbeiter mit dem Internet des ersten Notebooks.

 

Das hat soweit auch immer funktioniert, bis zur Installation der Desktop Firewall. Dort ist eine Standard-Regel definiert: UDP(53) beide Richtungen zulassen.

 

Regeln die Netzwerkverkehr blocken, hat der Mitarbeiter mal testweise deaktiviert, funktioniert trotzdem nicht. Was funktioniert nicht? Die DNS-Auflösung. Ping funzt. Sobald die Firewall deaktiviert wird funktioniert auch das Sharing wieder...

 

Anyone any idea?

 

 

Gruß, xtra.

[xtragood 10]

So,

 

hab mal wieder alleine gelöst.

 

Lösung war die IP des 2. Notebooks unter "vertrauenswürdige Netze" einzutragen und darauf dann den UDP-Datenverkehr komplett zuzulassen.

 

Ich denke, die Firewall hat sich da mit dem Routing des DNS an das angehängte Notebook verheddert und Port 53 hat ihm nicht gelangt.

 

Würde es denn auch anders gehen?

 

- Port 1033 (eingehend/ausgehend?)

- Port 53 (eingehend/ausgehend?)

[dmetzger 10]

Die McAfee Firewall ist nicht die einzige, die so konfiguriert werden muss. Bei Zone Alarm ist es das Gleiche. Eigentlich ist das ja auch verständlich: Die Firewall soll das Notebook vor unverlangt eingehendem Datenverkehr schützen, also gegen jede Verbindung, die nicht das Notebook selbst angefordert hat. Aus dieser Sicht ist der Datenverkehr des Mitarbeiters über ICS unverlangt eingehender Verkehr. Das hat mit den Ports weniger zu tun als mit der Definition vertrauter Netzwerke.

 

Im schlimmsten Fall, durch eine Fehlkonfiguration, könnte man ja das Internet an sich (Quelle: Any) als vertrauenswürdiges Netzwerk in der Firewall definieren. Das ist dann eine sehr, sehr gutgläubige Firewall.

 

Andererseits frage ich mich, weshalb ein Notebook für ICS herhalten muss. Was, wenn die Dame unterwegs ist? Reist der Mitarbeiter dann immer mit;-)

[xtragood 10]

Keine Angst, dmetzger ;)

 

Diese Konfig besteht nur beim Kunden, bei dem sich die Dame nicht ins Netz einwählen darf. Gutgläubigerweise (und das ist schon sehr viel, weil eine Bank) hat der Kunde den beiden eine ISDN-Leitung für genau einen Provider freigeschaltet, bei dem man sich mit nur einem Account einwählen kann. (ich weiß! ...Bank)

 

Und da die beiden immer gleichzeitig da sind, bietet sich das so an ;)

 

Könnte ich diese Regel also noch etwas "kürzen", oder muss ich das so konfiguriert lassen?

 

 

Gruß, xtra.

[dmetzger 10]

Wenn die (hoffentlich feste) IP des Mitarbeiters in der Notebook-Firewall als vertrauenswürdig eingetragen ist, werden automatisch für diese Verbindung sehr viele Ports geöffnet (bei einigen Produkten gleich alle). Das kann man so lassen oder, meine Empfehlung, nur die wirklich nötigen Ports öffnen, je nach Anwendung. Das wären in der Regel 25, 53, 80, 110, 443 für Internet und E-Mail.

 

Ich sollte die Desktop-Firewall von McAfee in ihrer jüngsten Version irgendwann demnächst ausprobieren. Die Software liegt herum, aber ich bin noch nicht dazu gekommen. Wollte die ganze McAfee Antivirus Enterprise 8.0 mal mit F-Secure vergleichen. Hoffe gegen Ende Woche dazu zu kommen; die passende virtuelle Domäne existiert schon einmal. Allein, es fehlt ständig an der Zeit.

 

Hast Du mal die drei Handbücher der Firewall gedruckt?

[xtragood 10]

Seltsam war nur, dass es nicht funktioniert, wenn ich eine Regel Port 53 für das Vertraute Netz erstelle...

 

Erst wenn ich den kompletten Datenverkehr UDP freischalte...

 

Wo hängts da noch?

[checkms 10]

Erst wenn ich den kompletten Datenverkehr UDP freischalte...

Wo hängts da noch?

Vielleicht, weil DHCP auf Port 67(UDP) läuft.

[dmetzger 10]

Hattest Du für Port 53 sowohl TCP wie UDP freigegeben?

[xtragood 10]

Vielleicht, weil DHCP auf Port 67(UDP) läuft.

 

Für was brauch ich DHCP?

 

 

@dmetzger:

 

Nur UDP...

[dmetzger 10]

Dann muss ich für den Moment passen. Mir fällt nicht ein, weshalb es denn esrt nach der Freigabe des gesamten UDP-Verkehrs die Verbindungsaufnahme klappt.

 

In einem anderen Thread heute wurde erwähnt, es sei mistig, wenn man nicht selbst vor dem betroffenen PC sitzen und das Problem lösen könne. Hier geht es mir ebenso. Das ist der Nachteil eines Forums, in dem man sich nur virtuell begegnet.

[checkms 10]

Für was brauch ich DHCP?

Ich dachte du verwendest ICS? ;)

[xtragood 10]

Hast du wohl Recht! Und mir geht's nämlich auch so, da das Notebook nicht vor mir steht.

 

Ich probier mal ein wenig rum, wenn ich's wieder hier hab und poste dann mal meine Ergebnisse.

 

@checkms:

 

Die IP's der Rechner sind fest eingetragen. Wozu muss ich dann DHCP aktivieren?

Bin bischen verwirrt...

[checkms 10]

Die IP's der Rechner sind fest eingetragen.

sry...konnte ich nirgends lesen :wink2: ...war auch nur so´n Gedanke.

Ich hab zwar auch nicht so die Erfahrung mit ICS, hab aber gehört, das viele Probleme bei Aktivierung des integrierten DHCP verschwinden.

Welche IP´s haben eigentlich die beiden NBs?

 

Auch wenn dort dein Problem nicht behandelt wird, hier noch so´n kleines Troubleshooting zu ICS von MS ...aber bitte nicht hauen :D

[dmetzger 10]

@checkms

 

Die externe NIC müsste eine dynamisch zugewiesene IP haben, je nach Provider. Die interne ist 192.168.0.1. Das ist bei ICS der Standard. Entsprechend bekommen die ICS-Clients dynamisch IP-Adressen im Subnetz 192.168.0.0/24 zugewiesen.

 

@xtragood

Vielleicht liegt genau hier das Problem. Wenn der Mitarbeiter eine feste IP in diesem Bereich hat, kann es durchaus geschehen, dass der DHCP-Miniserver auf der NIC 192.168.0.1 dem Mitarbeiter ganz zufällig die gleiche Adresse zuteilen will. Das gibt dann natürlich Probleme, d.h. kein Internet mehr. Im schlimmsten Fall pröbelst Du dann stundenlang an dr Firewall herum, obwohl diese gar nicht das Problem ist. Erkennst Du aber nicht, weil ebenso zufällig in diesen Minuten eine neue IP zugeteilt wird, alles in Butter scheint und Du glücklich bist, weil Du die Ursache gefunden zu haben meinst - bis irgendwann in naher oder ferner Zukunft wieder der gleiche Adressenkonflikt passiert, weil auf dem DHCP-Miniserver natürlich keine Reservationen eingetragen sind.

 

Also: Mitarbeiter soll die IP in Zukunft dynamisch beziehen. Das erleichtert auch den Wechsel von Netz zu Netz. Gleichzeitig definierst Du auf der McAfee Firewall, gebunden an die interne NIC des Notebooks, den gesamten Adressbereich 192.168.0.0/24 als vertrauenswürdig. Und dann schauen wir mal.

 

Ach, und hier nochmals was zum Thema:

http://support.microsoft.com/kb/309642/en-us

[checkms 10]

Die interne ist 192.168.0.1. Das ist bei ICS der Standard.

Genau deswegen hinterfragte ich ;)