blackserver 10 Geschrieben 23. Juli 2005 Melden Teilen Geschrieben 23. Juli 2005 Hallo, bin am am verzweifel, ihr seit meine letzte Hoffnung. Folgende Situation: Zentrale (Standort 1) 1 x MS Windows SBS 2003 Server 192.168.0.13 (DC, AD, WINS) 1 x MS Windows XP Client - IP: 192.168.0.3 3 x MS Windows 2000 Pro. Clients - IP: 192.168.0.5 ....... 1 x Cisco PIX 501 (192.168.0.1) 1 x Alcatel Speedtouch ADSL Modem (fixe IP) Innerhalb des Netzwerks läuft alles Problemlos, DNS funktioniert, Internetzugriff alles perfekt... Filiale (Standort 2) 1 x MS Windows XP Client - IP: 192.168.1.2 1 x MS Windows 2000 Pro. Client - IP: 192.168.1.3 1 x Cisco PIX 501 (192.168.1.1) 1 x Alcatel Speedtouch ADSL Modem (fixe IP) In die beiden Clients wurde DNS und WINS (192.168.0.13) sowie Gateway 192.168.1.1 eingetragen, innerhalb des 192.168.1.x Subnetz läuft ebenfalls alles super. Jetzt zu den Problemen: In der Netzwerkumgebung erscheinen nur die Rechner des jeweiligen Subnets nicht jedoch alle Rechner der Domain. Der VPN Tunnel steht grundsätzlich, Ping ist auf beiden Seiten per IP möglich. Auf dem XP Rechner treten in unregelmäßigen Abständen Probleme mit der Outlook synchronisiernung auf, der DNS Server (192.168.0.13) scheint dann nicht mehr erreichbar zu sein obwohl ein Ping erfolgreich ist. Des weiteren funktioniert eine Remote Desktop Verbindung nicht, wird mit einem VB Script Fehler (interner Fehler ist aufgetreten) beendet. Meine Vermutung: DNS und WINS werden über VPN nicht zuverlässig übertragen. Hat jemand eine Lösung für mich oder ein ähnliches Problem? Mfg Arnold Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 23. Juli 2005 Melden Teilen Geschrieben 23. Juli 2005 Du hast in der Filiale keinen DC, somit ist das keine Site. Weshalb konfigurierst Du die Geräte dort nicht ebenfalls mit IP-Adressen aus dem Bereich 192.168.0.0/24 der Zentrale? Hat der SBS eine oder zwei Netzwerkkarten? Ist er, sofern zwei vorhanden sind, als Router konfiguriert? Wenn ja, dann beachte, dass der SBS-Assistent für Routing und RAS bestimmte IP-Adressreservationen automatisch anlegt. In diesem Fall solltest Du prüfen, ob von Dir für andere Geräte fest vergebene IPs möglicherweise in diesen Bereichen liegen (was falsch wäre). Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 23. Juli 2005 Melden Teilen Geschrieben 23. Juli 2005 Das Problem liegt beim Design des Computerbrowser Dienstes: • It is possible on some routers to enable the forwarding of NetBIOS broadcasts. This causes Computer Browser service to work as if all computers were connected to the same subnet. However, this practice propagates broadcast traffic and can create problems with browser elections. Microsoft recommends that you do not enable the forwarding of NetBIOS (UDP port 137 and UDP port 138) broadcast packets across routers. How Computer Browser Service Works Also entweder die Ports forwarden oder damit leben.... Brauchst du den Browserservice wirklich (Ich weiss das gewisse Antiviren und Backup Programme nicht ohne können, Veritas beispielsweise schon...). Gruss Velius P.S.: Sorry, sollte trotzdem gehen.... When you use domains that are split across routers, the TCP/IP subnets function as independent browsing entities, each with its own master browse server and backup browse servers. Therefore, browser elections occur within each subnet. In contrast, workgroups do not span across an IP router. ...aber ich vermute trotzdem mal ein Problem mit den Ports. Wie sieht denn die Konfig. der PIX aus? Zitieren Link zu diesem Kommentar
blackserver 10 Geschrieben 23. Juli 2005 Autor Melden Teilen Geschrieben 23. Juli 2005 Building configuration... : Saved : PIX Version 6.3(4) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxxxxxxxxxxxxxxxxxxx passwd xxxxxxxxxxxxxxxxxxxxxxxx hostname firewall1 domain-name domain.local fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list outside_access_in permit tcp any interface outside eq smtp access-list outside_access_in permit tcp any interface outside eq https access-list outside_access_in permit tcp any interface outside eq 444 access-list outside_access_in permit tcp any interface outside eq 4125 access-list inside_outbound_nat0_acl permit ip any 192.168.2.0 255.255.255.0 access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit ip 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit udp 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit icmp 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit tcp 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit ip 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit udp 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit icmp 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit tcp 192.168.0.0 255.255.255.0 host 192.168.1.3 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside dhcp setroute ip address inside 192.168.0.1 255.255.255.0 ip verify reverse-path interface outside ip verify reverse-path interface inside ip audit info action alarm ip audit attack action alarm ip local pool VPN-PPTP 192.168.2.1-192.168.2.254 pdm location 192.168.0.13 255.255.255.255 inside pdm location 192.168.2.0 255.255.255.0 outside pdm location 192.168.1.0 255.255.255.0 outside pdm location 192.168.0.3 255.255.255.255 inside pdm location 192.168.2.1 255.255.255.255 outside pdm location 81.xxx.xx.xx 255.255.255.255 outside pdm location 192.168.1.2 255.255.255.255 outside pdm location 192.168.1.3 255.255.255.255 outside pdm logging informational 100 Zitieren Link zu diesem Kommentar
blackserver 10 Geschrieben 23. Juli 2005 Autor Melden Teilen Geschrieben 23. Juli 2005 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_outbound_nat0_acl nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp interface smtp 192.168.0.13 smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp interface https 192.168.0.13 https netmask 255.255.255.255 0 0 static (inside,outside) tcp interface 444 192.168.0.13 444 netmask 255.255.255.255 0 0 static (inside,outside) tcp interface 4125 192.168.0.13 4125 netmask 255.255.255.255 0 0 access-group outside_access_in in interface outside timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server RADIUS (inside) host 192.168.0.13 xxxxxxxxx timeout 10 aaa-server LOCAL protocol local http server enable http 192.168.0.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec sysopt connection permit-pptp crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20 set peer 80.89.104.229 crypto map outside_map 20 set transform-set ESP-3DES-MD5 crypto map outside_map interface outside isakmp enable outside isakmp key ******** address 80.89.xxx.xxx netmask 255.255.255.255 no-xauth no-config-mode isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group PPTP-VPDN-GROUP accept dialin pptp vpdn group PPTP-VPDN-GROUP ppp authentication pap vpdn group PPTP-VPDN-GROUP ppp authentication chap vpdn group PPTP-VPDN-GROUP ppp authentication mschap vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto vpdn group PPTP-VPDN-GROUP client configuration address local VPN-PPTP vpdn group PPTP-VPDN-GROUP client configuration dns 192.168.0.13 vpdn group PPTP-VPDN-GROUP client authentication aaa RADIUS vpdn group PPTP-VPDN-GROUP client accounting RADIUS vpdn group PPTP-VPDN-GROUP pptp echo 60 vpdn enable outside dhcpd address 192.168.0.2-192.168.0.33 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside terminal width 80 Cryptochecksum:264c95662b2e4cc6cae5dbb2039ceb30 : end [OK] Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 23. Juli 2005 Melden Teilen Geschrieben 23. Juli 2005 access-list inside_outbound_nat0_acl permit ip any 192.168.2.0 255.255.255.0 access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit ip 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit udp 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit icmp 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit tcp 192.168.0.0 255.255.255.0 host 192.168.1.2 access-list outside_cryptomap_20 permit ip 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit udp 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit icmp 192.168.0.0 255.255.255.0 host 192.168.1.3 access-list outside_cryptomap_20 permit tcp 192.168.0.0 255.255.255.0 host 192.168.1.3 Ich hab jetzt zwar keine Pix, darum muss ich etwas raten. Für mich sieht das aber aus, als ob alles vom Netz 192.168.0.0/24 an deine beiden Rechner erlaubt ist, aber nicht zurück (also wenn der Rechner iniziert..) was jetzt so keinen Sinn macht von mir aus gesehen. Das "cryptomap" steht ja wahrscheinlich nur für Verschlüsselt. Oder interpretier ich das falsch? P.S.: Wie du siehst, bin ich nicht der Pix Pro, hatte das mit der Konfig auch nicht wörtlich gemeint ;) , aber vielleicht hilft dir auch dieser Artikel weiter Active Directory-Replikation über Firewalls Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.