IPSec und kein Ende in Sicht !

[Thyral 10]

@all

 

Danke an alle für eure Mühe, ich glaube ich ahbe es jetzt verstanden. SO wie es nun mal so ist mit den Glauben !!

Aber, bitte noch eine ganz kleine Antwort, was sind das für IPs die sich noch so im Monitor abzeichnen, alles ungesichert und einine aus Netzen der Öffentlichkeit, das verstehe ich ja noch, die Internet Zugriffe, aber eine 192.168.0.13 gibt es in meinem Netz nicht.

 

Kann das jemand erklären ?

 

Muss ich mir Sorgen um die Sicherheit meiner Daten machen ?

 

THX

[IThome 10]

Wenn die da drin steht, dann wird eine Verbindung hergestellt worden sein (von einem Client, dessen Richtlinie nicht aktiv ist oder von einem Knoten, der IPSec nicht unterstützt), entweder vom Server aus dorthin oder umgedreht. Vielleicht ein Drucker, Switch ... ?

[Thyral 10]

@IThome

Das ist mein Problem, kein Drucker keine Switch, es ist zwar mein Netz, aber die 0.13 ist nicht vergeben und wird auch nicht verteilt, weil es bei mir erst ab 0.50 losgeht. Das ist ja das komische.

Aber, wie kommt jemand mit einer lokalen IP wenn, dann von aussen auf mein internes Netz !!

[IThome 10]

Eigentlich gar nicht, private IP-Adressen werden im Internet nicht geroutet und Dein Router wird sie wahrscheinlich auch nicht durchlassen, also doch von innen ...

Vielleicht irgendeiner mit nem Notebook, der sich die Adresse selbst gegeben hat ...

[Thyral 10]

@IThome

Hallo und Danke, ich sehe es auch so, das von aussen niemand mit einer privaten IP reinkommt, aber alles gescheckt und diese IP gibt es nicht bei mir !! Werde es weiter beobachten !!

 

Ich habe ebend mal zwei XP-Clients über einen Hub verbunden und auf einen IPSec server (sicherheit anfordern) und den anderen mit der Richtlinie Client (nur Antworten) eingerichtet. Logisch wäre jetzt, das ich Zugriff bekomme, ohne das ich was anderes einstellen muss.

Oder bin ich jetzt ganz neben der Spur ?

Bekomme ich aber nicht, nur wenn ich beiden einen Schlüssel zuweise, dann bekomme ich Zugriff, wo ist da die logik ?

Der Client (nur Antworten) kann ünverschlüsselt und der Server (sicherheit anfordern) auch, wenn ich eine unverschlüsselte Verbindung bekomme, aber es müsste eine zu stande kommen, warum passiert es nicht ??

HIIILLLFFFEEEEE !!!!!!!!!!!!!!!

[IThome 10]

Wenn alle Mitglied der Domäne sind und Kerberos ordnungsgemäss funktioniert, sollte das funktionieren. Da es läuft, wenn Du einen vordefinierten Schlüssel konfigurierst, musst den den Fehler auch bei der Authentifizierung suchen. Kerberos Authentifizierung funktioniert ausschliesslich im Active Directory ...

[Thyral 10]

@IThome

 

Puh, das war schnell geantwortet.

Der umkehrschluß wäre, dass man immer wenn man in einer peer2peer umgebung ist, einen Schlüssel konfiguriieren muss ?

Da hat Kerberos nichts zu tun !! Dachte ich mir, weil Kerberos ein verschlüsselung in AD ist.

THX

[IThome 10]

Nein, muss man nicht und sollte man auch nicht. Man kann IPSec-Zertifikate für die Authentifizierung benutzen, welche man mit einer Windows-PKI zur Verfügung stellen kann ...

[ChristianHemker 10]

weil Kerberos ein verschlüsselung in AD ist.

Genauer: Ein Authentifizierungsprotokoll ;)

[Thyral 10]

@all

 

Ich bin seit Tagen daran es zu versuchen. Bitte noch einmal eine kleine Hilfe. Zum Verständnis.

Ich habe zwei oder drei Clients, ich schalte auf einen die IPSec (Server) ein, auf den anderen (client nur Antworten) jetzt müsste doch eine Verbindung möglich sein, wenn auch ünverschlüsselt. Keine Domäne, einfach nur drei PCs untereinander.

Die Authentifizierung wäre Kerberos, soweit ist es klar, dasss funktioniert nur in einer Domäne, auch das ist soweit klar.

Aber, bitte bitte, warum können die Clients nicht ohne Verschlüsseleung ein Verbindung aufbauen ?

Sobald ich allen einen "selbstdefinierten Schlüssen" gebe, funktioniert alles wieder.

 

Ich bekomme es durch probieren nicht im Kopf und die Logig fehlt mir auch !

 

Kann mir es jemand bitte Erklären ?

[IThome 10]

Die Serverrichtlinie (Request Security) lässt unverschlüsselte Initialkommunikation zu und antwortet mit einer Sicherheitsaushandlung. Wird diese nicht beantwortet , weil der Client IPSec nicht beherrscht oder keine zugewiesene Richtlinie hat, wird unverschlüsselt kommuniziert. Da Dein Client aber eine Antwortrichtlinie hat (er wird niemals von selbst versuchen, eine verschlüsselte Verbindung herzustellen, sondern antwort ausschliesslich auf Sicherheitsaushandlungen), diese aber nicht funktioniert, schlägt diese Verbindung fehl. Entfernst Du die Zuweisung auf dem Client, sollte es klappen ...

[ChristianHemker 10]

ich schalte auf einen die IPSec (Server) ein

Welche, da gibt es zwei

- Request Security / Sicherheit anfordern

- Require Security / Sicherheit erforderlich

[IThome 10]

Im Grunde verhalten sich beide gleich, wenn der anfragende Client mit zugewiesener Nur Antwort Richtlinie (falsch konfiguriert) die Verbindung initiiert ... Die heissen auch unterschiedlich , Server (Sicherheit anfordern) und Sicherer Server (Sicherheit erforderlich) ;)

[ChristianHemker 10]

Wenn der Server aber Sicherheit erforderlich macht, sollte ein Client mit Nur Antwort doch mit diesem kommunizieren können.

Er kann zwar von sich aus kein IPSec aufbauen, aber damit antworten, was ja reichen sollte.

Vorausgesetzt natürlich immer, die Authentifizierung klappt.

[IThome 10]

Er wird auch mit ihm verschlüsselt kommunizieren, wenn Sicherheit nicht erforderlich, sondern nur angefordert wird (passendes Auth vorausgesetzt). Passt die Authentifizierung nicht, kommt keine Verbindung zustande. Der TO hat aber nur eine Arbeitsgruppe und benutzt die Standardauthentifizierung (Kerberos), was natürlich fehlschlägt. Wird die Zuweisung der Clientrichtlinie entfernt, kann er mit dem Server (Sicherheit anfordern) kommunizieren, mit Sicherer Server (Sicherheit erforderlich) dagegen nicht ...