Jump to content
Sign in to follow this  
ads2k

IPSEC Tunnel 2 Standorte keine Zugriff auf Shares

Recommended Posts

Hi Leute,

habe Probleme bei einem IPSEC TUnnel zwischen 2 Standorten.

ICMP DNS usw. funzen alles perfekt, problem ist nur das ich auf keine Freigabe zugreifen kann, die Rechner wurden der Domäne zugefügt als der PDC noch am urspr. Standort war.

Habe folgende Pakete durchgelassen:

Kerberos

Netbios

DNS

ICMP

LDAP

 

Habe auch schon versucht per IP drauf zuzugreifen \\192.X.X.X\

geht alles nicht, was muss noch geöffnet werden.

P.S. DNS funktioniert vorwärts als auch rückwärts.

Danke!!!

Share this post


Link to post
Share on other sites

Hi,

habe sogar schon von Port 1-65000 TCP und UDP freigegeben, geht aber nicht,

zur Info: verwende kein WINS.

Der Computerbrowser zeigt mir den PDC auch nicht an.

Aber das sollte ja eigentlich nicht der Grund sein.

Fehlen hier vielleicht noch andere Protokolle ausser TCP und UDP?

AUf Exchange kann ich per Outlook ohne probs zugreifen!

Danke!

Share this post


Link to post
Share on other sites

Am einfachsten wäre doch das FW Protokoll auszulesen um zu sehen was geblockt wird.

Ansonsten wären mehr Infos zu Deinen Netzen hilfreich.

 

Greetings Ralf

Share this post


Link to post
Share on other sites

Haste recht, der Bintec zeigt mir auch schön ein refuse für SMB und Netbios ports,

Hier habe ich schon gesehen das Filter gesetzt sind, dort habe ich aber der Virtuellen Schnittstelle keine Regel hinterlegt. Ich muss mal gucken ob auf der anderen Seite (Gateprotect) noch irgendeine Systemrichtlinie ala ISA vorhanden ist, leider ist hier die Protokollierung nicht so schön wie z.B. beim ISA oder Bintec, wo man ne "On Access"

Liste sieht bzw. ich habe diese noch nicht gefunden.

Share this post


Link to post
Share on other sites

hi

 

also wenn du einen Site to Site Tunnel aufgebaut hast, dann hast du 2 logische netze.

Somit könne keien Broadcasts das andere subnet erreichen !

 

1. Lösung:

Errichte ine jeden Subnet einen WINS Server und lass dies replizieren.

 

2. Lösung:

trage auf den clients in der host datei den DNS Server der Domäne ein (wahrs. im anderen Subnet)

 

3. Lösung:

Trage bei den Clients den DNS Server des anderen Subnetzes ein sprcih den DC !

 

lg

rossi

Share this post


Link to post
Share on other sites

Hi Mr.Rossi,

 

tja das is ja lustig WINS Server aufsetzen, der Server wurde outgesourced und deswegen der Tunnel eingerichtet ;) Auf Site A stehen nurnoch Clients.

Die Broadcasts brauche ich ja eigentlich nur für Netbios und DHCP oder.

Bin grad am überlegen ob ich nicht Netbios deaktiviere, denn DNS auf den Server auf der anderen Seite (ohne LMHOSTS) funzt einwandfrei.

Clients haben mom. eh static IPs.

Share this post


Link to post
Share on other sites

hi

 

hast dus auch schon mit "net use x: \\servername\freigabe /user:DOMAIN\administrator

 

probiert !

 

oder einem user der 100% zugriff auf die freigabe hat !?

 

lg

Share this post


Link to post
Share on other sites

HI Mr. Rossi,

kloar hab ich das auch mit \\ipdesservers\freigabe usw.

ich versuche das ganze heute Abend, hab grad keinen Zugriff,

aber ich werde folgendes versuchen:

1. Netbios im TCP/IP abschalten

2. Basisfilter für Netbios im Bintec komplett kicken

Dann sollte es funktionieren, ansonsten debuggen debuggen debuggen.

Axo: Netbios brauche ich doch eh nimmer bei XP Clients und 2K Server, oder?

Hatte da irgendein Whitepaper von Microsoft, mal ganz abgesehen davon das der 2K Server eh keinen WINS Server installiert hat und als er noch in Standort A war alles funktionierte.

Danke erstmal für die Hilfe!

Share this post


Link to post
Share on other sites

Hallo,

habe den Fehler gefunden, war wie schon vermutet ein Filter für NetBios und CIF´s.

Habe nun folgende Rules definiert:

1. CIF IN deny

2. CIF OUT deny

3. Netbios IN deny

4. Netbios OUT deny

5. Broadcast deny

6. Allow

 

In den Schnittstellen habe ich die Rules folgendermaßen angewandt:

ETH0 LAN: FirstRule 3

Virtuell WAN: FirstRule 1

Virtuell Tunnel: FirstRule 3

 

Auf dem Client Netbios deaktiviert und alles funzt prächtig!!!

@ Spezialisten: Gibts da was dran auszusetzen (Sicherheitsrisiko)?

Danke

Share this post


Link to post
Share on other sites

Hi,

 

Ich nehme an, du meinst die Filter auf dem Bintec?

 

Was sollen den die Clients können, auch z.B. surfen?

Direkte Verbindung in das Internet oder geht alles durch den Tunnel?

Diese Seite gegenüber der Zentrale schützen?

Nur bestimmte Rechner (zentral) für Clients zulassen?

 

Du solltest Dir eine Tabelle machen, mit dem Inhalt was über welches Interface an IP-Verkehr gehen darf. Die gesamten Filterregeln - wenn möglich - dann mit SIF (statefull inspection) absichern und keine statischen Filter benutzen, ist ein bischen übersichtlicher.

 

Gruß Kai

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...