ads2k 10 Geschrieben 7. Februar 2006 Melden Geschrieben 7. Februar 2006 Hi Leute, habe Probleme bei einem IPSEC TUnnel zwischen 2 Standorten. ICMP DNS usw. funzen alles perfekt, problem ist nur das ich auf keine Freigabe zugreifen kann, die Rechner wurden der Domäne zugefügt als der PDC noch am urspr. Standort war. Habe folgende Pakete durchgelassen: Kerberos Netbios DNS ICMP LDAP Habe auch schon versucht per IP drauf zuzugreifen \\192.X.X.X\ geht alles nicht, was muss noch geöffnet werden. P.S. DNS funktioniert vorwärts als auch rückwärts. Danke!!! Zitieren
Christoph35 10 Geschrieben 7. Februar 2006 Melden Geschrieben 7. Februar 2006 Was ist mit CIFS/SMB, Port 445? Oder fiel das bei Dir mit unter den Sammelbegriff NetBIOS? ;) Christoph Zitieren
ads2k 10 Geschrieben 7. Februar 2006 Autor Melden Geschrieben 7. Februar 2006 Hi, habe sogar schon von Port 1-65000 TCP und UDP freigegeben, geht aber nicht, zur Info: verwende kein WINS. Der Computerbrowser zeigt mir den PDC auch nicht an. Aber das sollte ja eigentlich nicht der Grund sein. Fehlen hier vielleicht noch andere Protokolle ausser TCP und UDP? AUf Exchange kann ich per Outlook ohne probs zugreifen! Danke! Zitieren
Userle 146 Geschrieben 8. Februar 2006 Melden Geschrieben 8. Februar 2006 Am einfachsten wäre doch das FW Protokoll auszulesen um zu sehen was geblockt wird. Ansonsten wären mehr Infos zu Deinen Netzen hilfreich. Greetings Ralf Zitieren
ads2k 10 Geschrieben 8. Februar 2006 Autor Melden Geschrieben 8. Februar 2006 Haste recht, der Bintec zeigt mir auch schön ein refuse für SMB und Netbios ports, Hier habe ich schon gesehen das Filter gesetzt sind, dort habe ich aber der Virtuellen Schnittstelle keine Regel hinterlegt. Ich muss mal gucken ob auf der anderen Seite (Gateprotect) noch irgendeine Systemrichtlinie ala ISA vorhanden ist, leider ist hier die Protokollierung nicht so schön wie z.B. beim ISA oder Bintec, wo man ne "On Access" Liste sieht bzw. ich habe diese noch nicht gefunden. Zitieren
Hr_Rossi 10 Geschrieben 8. Februar 2006 Melden Geschrieben 8. Februar 2006 hi also wenn du einen Site to Site Tunnel aufgebaut hast, dann hast du 2 logische netze. Somit könne keien Broadcasts das andere subnet erreichen ! 1. Lösung: Errichte ine jeden Subnet einen WINS Server und lass dies replizieren. 2. Lösung: trage auf den clients in der host datei den DNS Server der Domäne ein (wahrs. im anderen Subnet) 3. Lösung: Trage bei den Clients den DNS Server des anderen Subnetzes ein sprcih den DC ! lg rossi Zitieren
ads2k 10 Geschrieben 8. Februar 2006 Autor Melden Geschrieben 8. Februar 2006 Hi Mr.Rossi, tja das is ja lustig WINS Server aufsetzen, der Server wurde outgesourced und deswegen der Tunnel eingerichtet ;) Auf Site A stehen nurnoch Clients. Die Broadcasts brauche ich ja eigentlich nur für Netbios und DHCP oder. Bin grad am überlegen ob ich nicht Netbios deaktiviere, denn DNS auf den Server auf der anderen Seite (ohne LMHOSTS) funzt einwandfrei. Clients haben mom. eh static IPs. Zitieren
Hr_Rossi 10 Geschrieben 8. Februar 2006 Melden Geschrieben 8. Februar 2006 hi hast dus auch schon mit "net use x: \\servername\freigabe /user:DOMAIN\administrator probiert ! oder einem user der 100% zugriff auf die freigabe hat !? lg Zitieren
ads2k 10 Geschrieben 8. Februar 2006 Autor Melden Geschrieben 8. Februar 2006 HI Mr. Rossi, kloar hab ich das auch mit \\ipdesservers\freigabe usw. ich versuche das ganze heute Abend, hab grad keinen Zugriff, aber ich werde folgendes versuchen: 1. Netbios im TCP/IP abschalten 2. Basisfilter für Netbios im Bintec komplett kicken Dann sollte es funktionieren, ansonsten debuggen debuggen debuggen. Axo: Netbios brauche ich doch eh nimmer bei XP Clients und 2K Server, oder? Hatte da irgendein Whitepaper von Microsoft, mal ganz abgesehen davon das der 2K Server eh keinen WINS Server installiert hat und als er noch in Standort A war alles funktionierte. Danke erstmal für die Hilfe! Zitieren
ads2k 10 Geschrieben 8. Februar 2006 Autor Melden Geschrieben 8. Februar 2006 Hallo, habe den Fehler gefunden, war wie schon vermutet ein Filter für NetBios und CIF´s. Habe nun folgende Rules definiert: 1. CIF IN deny 2. CIF OUT deny 3. Netbios IN deny 4. Netbios OUT deny 5. Broadcast deny 6. Allow In den Schnittstellen habe ich die Rules folgendermaßen angewandt: ETH0 LAN: FirstRule 3 Virtuell WAN: FirstRule 1 Virtuell Tunnel: FirstRule 3 Auf dem Client Netbios deaktiviert und alles funzt prächtig!!! @ Spezialisten: Gibts da was dran auszusetzen (Sicherheitsrisiko)? Danke Zitieren
hh2000 10 Geschrieben 8. Februar 2006 Melden Geschrieben 8. Februar 2006 Hi, Ich nehme an, du meinst die Filter auf dem Bintec? Was sollen den die Clients können, auch z.B. surfen? Direkte Verbindung in das Internet oder geht alles durch den Tunnel? Diese Seite gegenüber der Zentrale schützen? Nur bestimmte Rechner (zentral) für Clients zulassen? Du solltest Dir eine Tabelle machen, mit dem Inhalt was über welches Interface an IP-Verkehr gehen darf. Die gesamten Filterregeln - wenn möglich - dann mit SIF (statefull inspection) absichern und keine statischen Filter benutzen, ist ein bischen übersichtlicher. Gruß Kai Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.