Thuroc

Hui, viele neue Ideen. Danke euch! Werde mich da mal ein wenig einlesen und natürlich den Chef nochmals auf VPN ansprechen. Allerdings erwarte ich von ihm nicht all zu viele Infos...

So, aktueller Stand: Cacti scheint soweit mit euren Vorschlägen, also auch mit VPN zu funktionieren. Leider sind meine Chefs von der Lösung garnicht überzeugt, weigern sich aber auch entsprechende Gründe zu nennen. Selbst der Admin von Cacti hat mir sein OK gegeben und trotzdem wird VPN strikt abgelehnt. Da scheint noch mehr dahinter zu stecken, worüber keiner gerne redet und deshalbt totgeschwiegen wird. Somit komme ich leider zu dem alten Problem zurück, obwohl mir die Idee mit den Zertifikaten via VPN letztendlich auch viel besser gefallen hat. Auf ein Neues: Wie kann ich eine Windows Vista oder Windos 7 Installation eindeutig wiedererkennen? Es gilt weiterhin, dass der Key vorab bekannt ist und nicht zwingend im Klartext ausgelesen werden muss. Hardware ist häufig identisch, da immer gleich 50-100 neue Lappies angeschafft werden, es muss also jede einzelne Installation erkannt und dem Techniker zugeordnet werden können. Vielleicht ist ja eine andere Art Zertifikat dafür geeignet. Google hat mich diezbezüglich aber eher verwirrt und nicht wirklich weitergebracht. Dazu sei auch nochmal explizit auf den ersten Beitrag verwiesen, um nicht alles nochmal zu wiederholen. Hilfe ist sehr Willkommen!

NAP hört sich gut an. Ich meine leider im Hinterkopf noch was von "kein VPN möglich" schallen zu hören. Ich glaube das war in Verbindung mit der Browseroberfläche von Cacti. Werde das wohl einfach mal prüfen müssen.

Hallo zusammen, ich bin gerade dabei für eine Server-Anmeldung eine möglichst sichere Authentifizierung zu programmieren. Da vom Außendienst von unterschiedlichen Netzen aus darauf zugegriffen wird, sollen die Laptops und das OS von den Technikern anhand diverser Merkmale identifiziert werden, um sowohl Hardwareänderungen als auch alternative Betriebssysteme zu erkennen. Da es sich ausschließlich um firmeninterne Geräte handelt, sind sowohl die Komponenten also auch die aufgespielten Versionen und Keys von Windows genau nachzuvollziehen. Die folgend genannte String wird von den Admins direkt auf dem "persönlichen" Gerät des Technikers erstellt und manuell in der Server-Auth-DB eingetragen. Ich dachte bei der Abfrage an eine gemischte Kontrolle via uuid des BIOS, der uuid der Festplatte, der LAN MAC und der Ferifizierung des Windows Keys im Format blowfish(uuidBIOS;uuidHDD;lanMAC;checksumKey). Dabei ist es vollkommen egal ob für den Key nur eine Prüfsumme oder der reale Key zurückgegeben wird. Wichtig ist, dass das originale System erkannt werden kann, auch wenn der (wie immer feindliche) Mitarbeiter ein neues OS auf die vorhandene Hardware aufspielt oder versucht die MAC zu ändern. Die Anmeldung auf dem Server erfolgt durch ein eigenes C-Programm auf dem Client, welches die gewünschten Infos zusammenträgt, für einige Sekunden einen Port öffnet und den verschlüsselten String bereitstellt. Der Server gibt nach dem ersten Kontakt den Blowfish Key vor, fragt den geöffneten Port ab und erwartet den Blowfisch-String mit der korrekten Verschlüsselung. Nun aber zu meinem Problem: Wie kann ich von den verschiedenen Versionen die Keys/Prüfsummen erfahren/erstellen? XP, klar in der Registry. Aber bei Vista und 7 steh ich ziemlich auf dem Schlauch. Es geht hier wie gesagt nur darum die Windows-Keys genau identifizieren zu können, nicht darum den eigentlichen Key in Erfahrung zu bringen. Grüße Thuroc

Jetzt wird ganz interessant. Hab nun einen neuen XP Client aufgesetzt und dort funktioniert die Netzwerkfreigabe sogar OHNE das auf dem Server auch nur ein Port via BOT geöffnet wird :D Wie dem auch sein, das Problem ist behoben und es funktioniert via Netzwerkfreigabe.

OK, es lag am IPCop. Mit Switch klappt es einwandfrei. Werde es wohl über eine VPN lösen müssen...

Hardware ist leider im Moment noch nicht drin, also wird die VMWare Lösung ein paar Monate durchhalten müssen. Für Heute Abend hab ich mir erstmal einen Switch besorgt, dann geb ich schon mal bescheid, ob es am IPCop lag.

Ich werd mir morgen einen Switch ausleihen, so scheint es ja wirklich nicht zu funktionieren. Schonmal vielen vielen Dank für deine Hilfe. Im übrigen lässt BOT keine Orange -> Grün Freigaben zu, es kommt gleich eine Fehlermeldung. Wie es mit den Orange -> All Freigaben aussieht (die ohne Fehlermeldung angenommen werden) weiss ich ehrlich gesagt nicht, aber ich schätze genau da wird das Problem liegen. Was ich vorhabe? Nunja, ich war etwas knapp an Recourcen, so hab ich mir letzte Woche nen SATA Controller und neue Festplatten besorgt. Da mein Client aber schon überquillt und absolut nix mehr rein passt, musste das neue Zeug in den Server einziehen. Der Server selbst ist eigentlich ein reiner Web/FTP Server und sollte nun auch noch für die Backups aus dem LAN herhalten. Aber so wie ich das bis jetzt einschätze komm ich um VMWare und zwei getrennte OS nicht herum. Das wollte ich eigentlich wegen der Performance vermeiden. Der kleine hat auch so schon genug zu tun und wird dann total überlasten. Hast du vielleicht noch irgendeine Idee, wie ich vom LAN auf den Server zugreifen könnte? Der Server muss ja noch nicht mal aufs LAN zugreifen können, anders herum reicht ja völlig aus...

Ja, ich nutze alle verfügbaren Netzwerke. Rot für Internet, Blau für mein WLAN, Orange für den Server und Grün für den Client. BOT hab ich zwar installiert aber bereits von Anfang an ausgeschaltet, damit es nicht zu kompliziert wird. Trotzdem hier kurz die BOT Freigaben: (Moe ist der Server = 192.168.3.2) Und da man von Orange auf Grün nicht freigeben kann, mussten DMZ-Schlupflöcher her: Mit Hostnamen arbeite ich garnicht, ich versuche also immer mit der IP das Netzlaufwerk zu verbinden: net share k: \\192.168.3.2\Ordner PASSWORT /USER:MOE\username Die Windowsfirewall auf dem Client ist jetzt testweise komplett ausgeschalet und trotzdem tut sich nichts... //EDIT Ich kann den Client leider nicht in Orange oder anders herum den Server in Grün einbinden, da ich keine Switches habe. Arbeite hier zum Einrichten nur mit Crossoverkabeln direkt an der Firewall. //EDIT2 Hier auch mal der tcpdump von Ethereal //EDIT 3 :D Hab noch was ausprobiert. Mir ist eingefallen das ich einen transparenten Proxy auf Port 800 laufen hab. Ich dachte bisher das hat mit den Windowsfreigaben nichts zu tun, da nur der Port 80 betroffen ist. Nun bekommen ich aber in Ethereal vom Server nur noch RST/ACK zurück. tcpdump.zip

So genau, das ich Netzwerktraces durchführen könnte, kenne ich mich leider nicht aus. Ich habe jetzt allerdings einmal in das Login-Protokoll geschaut und es wurden noch keine Versuche geloggt. Also scheint das Problem wirklich noch an der Firewall zu liegen. Ethereal sagt mir allerdings das der ACK vom Client mit einer falschen Cehcksum ausgeliefert wird. Aber selbst mit dem Wissen wüsste ich jetzt nicht unbedingt viel anzufangen... Was mich an den Etherealdaten wundert ist, das der Client bei der Einbindung des Netzlaufwerkes vom Port 1365 auf den Port 80 zugreifen möchte. Ich dachte das läuft auch über die 137-139!? Eine Firewall auf dem Server ist noch garnicht installiert und die vom Client filtert nur Input. //EDIT Ich hab noch ein paar interessante Zeilen vom Server aufgeschnappt: The requestes URL coult not be retrieved Connection to 192.168.3.2 Failed The remote host or network may be down.

Hab die Ports testweise alle Freigegeben und eine Domäne, bzw. AD nutze ich nicht. Selbst mit der IP, also ohne Kerberos, komme ich nicht weiter. Das ist ja das was mich so erstaunt... An den Ports scheint es jedenfalls schon mal nicht zu liegen.

Hab die Ports 445, 135 auf Clientseite und die Ports 1024-65535 für den Server nun geöffnet. Es tut sich leider immer noch nichts :( Ping zwischen den PCs funktioniert einwandfrei. Was ich eben noch vergessen hab zu erwähnen: NetBIOS TCP/IP ist auf beiden aktiviert. Das witzige ist ja, das die Eingabe von \\192.168.3.2\Files mit "Zugriff verweigert" abgelehnt wird. Also eine Verbindung scheint schon irgendwie da zu sein oder nicht?

Hallo zusammen, habe hier einen frisch aufgesetzten Windows 2003 Server, auf dem eine Netzwerkfreigabe existiert und ein paar Benutzer eingerichtet wurden. Heute habe ich versucht auf diese Freigabe von XP aus zuzugreifen. In der Console habe ich mit net use auch eine Verbindung, jedenfalls so weit dass er mich nach dem Passwort fragt. Sobald ich das eingebe kommt der Systemfehler 1231. Das Passwort und der Benutzername ist jetzt 10 mal kontrolliert worden, daran kann es nicht liegen. Der Server steht im Netz 192.168.3.0/24, der XP Client im 192.168.1.0/24 Netz. Dazwischen hängt eine IP-Cop Firewall, die die Ports 137-139 zwischen den beiden offen hat. Auf Server und Client ist die Datei- und Druckerfreigabe aktiviert. Kann mir jemand helfen?

Komisch, mein Bekannter hat sich bis jetzt nicht mehr gemeldet. Entweder ist das Problem erledigt oder er hat sich ganz abgeschossen und ich darf am WE Überstunden machen :D

Kann ich machen, ja. Wird dann leider Montag, da ich meinen Kumpel vorher nicht mehr zu Gesicht bekomme...