Jump to content

IPSEC Tunnel 2 Standorte keine Zugriff auf Shares


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Leute,

habe Probleme bei einem IPSEC TUnnel zwischen 2 Standorten.

ICMP DNS usw. funzen alles perfekt, problem ist nur das ich auf keine Freigabe zugreifen kann, die Rechner wurden der Domäne zugefügt als der PDC noch am urspr. Standort war.

Habe folgende Pakete durchgelassen:

Kerberos

Netbios

DNS

ICMP

LDAP

 

Habe auch schon versucht per IP drauf zuzugreifen \\192.X.X.X\

geht alles nicht, was muss noch geöffnet werden.

P.S. DNS funktioniert vorwärts als auch rückwärts.

Danke!!!

Link zu diesem Kommentar

Haste recht, der Bintec zeigt mir auch schön ein refuse für SMB und Netbios ports,

Hier habe ich schon gesehen das Filter gesetzt sind, dort habe ich aber der Virtuellen Schnittstelle keine Regel hinterlegt. Ich muss mal gucken ob auf der anderen Seite (Gateprotect) noch irgendeine Systemrichtlinie ala ISA vorhanden ist, leider ist hier die Protokollierung nicht so schön wie z.B. beim ISA oder Bintec, wo man ne "On Access"

Liste sieht bzw. ich habe diese noch nicht gefunden.

Link zu diesem Kommentar

hi

 

also wenn du einen Site to Site Tunnel aufgebaut hast, dann hast du 2 logische netze.

Somit könne keien Broadcasts das andere subnet erreichen !

 

1. Lösung:

Errichte ine jeden Subnet einen WINS Server und lass dies replizieren.

 

2. Lösung:

trage auf den clients in der host datei den DNS Server der Domäne ein (wahrs. im anderen Subnet)

 

3. Lösung:

Trage bei den Clients den DNS Server des anderen Subnetzes ein sprcih den DC !

 

lg

rossi

Link zu diesem Kommentar

Hi Mr.Rossi,

 

tja das is ja lustig WINS Server aufsetzen, der Server wurde outgesourced und deswegen der Tunnel eingerichtet ;) Auf Site A stehen nurnoch Clients.

Die Broadcasts brauche ich ja eigentlich nur für Netbios und DHCP oder.

Bin grad am überlegen ob ich nicht Netbios deaktiviere, denn DNS auf den Server auf der anderen Seite (ohne LMHOSTS) funzt einwandfrei.

Clients haben mom. eh static IPs.

Link zu diesem Kommentar

HI Mr. Rossi,

kloar hab ich das auch mit \\ipdesservers\freigabe usw.

ich versuche das ganze heute Abend, hab grad keinen Zugriff,

aber ich werde folgendes versuchen:

1. Netbios im TCP/IP abschalten

2. Basisfilter für Netbios im Bintec komplett kicken

Dann sollte es funktionieren, ansonsten debuggen debuggen debuggen.

Axo: Netbios brauche ich doch eh nimmer bei XP Clients und 2K Server, oder?

Hatte da irgendein Whitepaper von Microsoft, mal ganz abgesehen davon das der 2K Server eh keinen WINS Server installiert hat und als er noch in Standort A war alles funktionierte.

Danke erstmal für die Hilfe!

Link zu diesem Kommentar

Hallo,

habe den Fehler gefunden, war wie schon vermutet ein Filter für NetBios und CIF´s.

Habe nun folgende Rules definiert:

1. CIF IN deny

2. CIF OUT deny

3. Netbios IN deny

4. Netbios OUT deny

5. Broadcast deny

6. Allow

 

In den Schnittstellen habe ich die Rules folgendermaßen angewandt:

ETH0 LAN: FirstRule 3

Virtuell WAN: FirstRule 1

Virtuell Tunnel: FirstRule 3

 

Auf dem Client Netbios deaktiviert und alles funzt prächtig!!!

@ Spezialisten: Gibts da was dran auszusetzen (Sicherheitsrisiko)?

Danke

Link zu diesem Kommentar

Hi,

 

Ich nehme an, du meinst die Filter auf dem Bintec?

 

Was sollen den die Clients können, auch z.B. surfen?

Direkte Verbindung in das Internet oder geht alles durch den Tunnel?

Diese Seite gegenüber der Zentrale schützen?

Nur bestimmte Rechner (zentral) für Clients zulassen?

 

Du solltest Dir eine Tabelle machen, mit dem Inhalt was über welches Interface an IP-Verkehr gehen darf. Die gesamten Filterregeln - wenn möglich - dann mit SIF (statefull inspection) absichern und keine statischen Filter benutzen, ist ein bischen übersichtlicher.

 

Gruß Kai

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...