JoBo85 10 Geschrieben 27. Oktober 2008 Melden Teilen Geschrieben 27. Oktober 2008 Hallo, ich hoffe Ihr könnt mir weiterhelfen. Ich will/soll unser kleines Netzwerk vor domänenfremden PCs absichern und wollte dafür IPsec benutzen. Es soll nur die Integrität der fremden PCs überprüft werden und keine Verschlüsselung des Datenverkehrs erfolgen. Unser Netzwerk besteht aus einem Windows Server 2003 SP2 und so ca. 25 Clients mit Windows XP. Dieses wird über WDS verteilt. Der Server ist der DC der Domäne und verfügt über die Standarddienste wie DHCP,DNS und WDS, er hat natürlich auch eine AD. Ich hab/hatte keine Vorkenntnisse zum Thema IPsec. Ich habe mich aber mit mühe durch den Microsoftbeitrag zum Thema IPsec Domänenisolierung durch gearbeitet. Und dann angefangen wie in einigen Whitepapers beschrieben Filterlisten und -aktionen zu erstellen und diese der Default Domain Policy zugeordnet. Meine ersten 3 Regeln sahen wie folgt aus: 1. Filterliste: gesamter IP-Verkehr (Quell-IP: beliebig | Ziel-IP: beliebig | Protokoll: beliebig) Filteraktion: ESP-Integrität mit SHA1 | keine Verschlüsselung | Sicherheit aushandeln Authentifizierungsmethode: Kerberos 2. Filterliste: DC (Quell-IP: eigene | Ziel-IP: IP vom DC | Protokoll: beliebig) Filteraktion: Permit 3. Filterliste: ICMP (Quell-IP: eigene | Ziel-IP: beliebige | Protokoll: ICMP) Filteraktion: Permit Ich hab zwar nicht genau verstanden wieso, aber überall stand dass man die Standardantwort deaktivieren soll und das hab ich auch gemacht. Nach längerem rumfummeln an den Einstellungen, hat es zu meinen erstauen funktioniert. Die Clients meiner Domäne konnten unter einander und auch mit dem DC kommunizieren und aufeinander zugreifen. Die domänenfremden PCs waren ausgesperrt. Dank der ICMP-Regel konnte ich sie zwar anpingen aber mehr auch nicht. Ich war anfangs auch noch der Meinung DHCP und WDS müssten auch gleich wieder funktionieren, weil ich die Regel für den DC so verstand, dass alle auf ihn vollen Zugriff haben. Aber irgendwo habe ich gelesen, dass ich für DHCP auch eine Ausnahmeliste benötige. Diese sieht bei mir wie folgt aus: 4. Filterliste: DHCP (Quell-IP: eigene - Quellport 68 | Ziel-IP: IP vom DC - Zielport 67| Protokoll: UDP) Filteraktion: Permit natürlich auch gespiegelt Nun zu meinem Problem, ich hab die Regel entweder falsch konfiguriert oder es funktioniert nicht so wie ich es mir vorgestellt hatte. DHCP funktioniert jedenfalls nicht und in Folge dessen natürlich auch nicht WDS. Ich würde mich über Hilfe bzw. Anmerkungen bezüglich meines Problems wirklich freuen. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Oktober 2008 Melden Teilen Geschrieben 27. Oktober 2008 Ja, das sind die kleinen Tücken von IPSec, weshalb oftmals IPSec und Domain Isolation so toll klingt, aber dann die Konfiguration wirklich manchnmal Hirnschmalz fordert. In dem Fall "fehlen" ein klein wenig Grundkenntnis, oder auch nur schlichtweg nicht drangedacht, z.B. die dass eine DHCP-Lease (mit einer Ausnahme, Leaseerneuerung nach 50% der TTL) alles über die eingeschränkte Broadcastadresse (255.255.255.255) macht. Hilft dir das als Tip erst mal weiter? ;);) Ich denke schon, sonst melde dich nochmal BTW: Netzwerkmonitor hilft bei solchen "es stimmt was mit dem Regelwerk für den bestimmten Netzwerkverkehr nicht" ungemein weiter :) grizzly999 Zitieren Link zu diesem Kommentar
JoBo85 10 Geschrieben 28. Oktober 2008 Autor Melden Teilen Geschrieben 28. Oktober 2008 mmhh... Erstmal danke für die schnelle Antwort. Anscheinend fehlt mir da doch etwas Verständnis dafür. Ich hab dich so verstanden, dass ich eine Regel schreiben soll die ungefähr so aussieht: Filterliste: DHCP (Quell-IP: beliebige - Quellport 68 | Ziel-IP: 255.255.255.255 - Zielport 67| Protokoll: UDP) Filteraktion: Permit Aber wenn ich diese so anlegen will, erzählt er mir was von Datenfehler. Kannst du das bitte etwas genauer erläutern. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.