5
Fernwartung via Dameware über Sonicwall
Hey,
es geht um ein Netzwerk mit insgesamt 7 Clients (Windows 7 pro) + Windows 2008 r2 Server, abgesichert/geroutet durch eine Sonicwall TZ210TS mit mehreren IP-Ranges(192.168.172.x = Modem bzw alles was von draußen kommt, 192.168.101.x = intern, also Server und alle Clients) und mit dem Internet verbunden über ein Telekom Sinus W 500V Modem.
Ich möchte zur Fernwartung Dameware Mini Remote Control einsetzen. Dazu möchte ich mich von einem beliebigen PC in- und außerhalb des Netzwerks sowohl mit dem Server als auch mit allen 7 Clients verbinden können. Verbindung intern ist kein Problem, aber sobald ich versuche mich von außen aufzuschalten bleibt meine Anfrage am WAN-Port der Sonicwall hängen ("TCP Connection dropped" -> xxx.xxx.xxx.xxx,49573,X1 -> 192.168.172.4,12120,X1). In der Firewall habe ich über Access Rules folgende Verbindung freigegeben: Wan>Lan Source:Any Destination:192.168.101.120(Client-IP) Service:Port12120 Allow
Was mich jetzt verwundert ist, dass die Sonicwall trotz Firewallregel nicht vom 172er in den 101er Bereich routet.
Hoffe irgendjemand hat eine Idee.
MfG,
Nagus
Was mich jetzt verwundert ist, dass die Sonicwall trotz Firewallregel nicht vom 172er in den 101er Bereich routet.
Hoffe irgendjemand hat eine Idee.
MfG,
Nagus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150825
Url: https://administrator.de/contentid/150825
Printed on: April 26, 2024 at 09:04 o'clock
5 Comments
Latest comment
hallo,
is ganz einfach, woher soll die sonicwall wissen, auf welchen client du willst? du gibts ja nur deine externe ip adresse an.
du müsstet jetzt für jeden pc einen port freigeben, auf welchem du dann weiterroutest.
aber denk doch auch an die sicherheit, jeder, kann sich dann über deine offenen ports verbinden.
wie wärs wenn du einfach ein vpn zur sonicwall aufbaust und dann bist ja quasi im normalen lan und kannst alles wie gehabt nutzten ? und noch dazu ist alles sicher ^^
grüße
is ganz einfach, woher soll die sonicwall wissen, auf welchen client du willst? du gibts ja nur deine externe ip adresse an.
du müsstet jetzt für jeden pc einen port freigeben, auf welchem du dann weiterroutest.
aber denk doch auch an die sicherheit, jeder, kann sich dann über deine offenen ports verbinden.
wie wärs wenn du einfach ein vpn zur sonicwall aufbaust und dann bist ja quasi im normalen lan und kannst alles wie gehabt nutzten ? und noch dazu ist alles sicher ^^
grüße
Hallo CresCent,
danke für Deine Antwort. Ganz nachvollziehen kann ich sie aber leider nicht.
Richtig ist, dass sich meine Lösung nur auf einen Client bezieht. Ich war einfach zu bequem, für alle Clients einen Port freizugeben, sodass es hier erstmal nur um einen geht. Leider funktioniert aber auch diese Verbindung nicht.
Ich zitiere nochmal aus der SW-GUI, Reiter Firewall --> Access Rules:
Wan>Lan | Source:Any | Destination:192.168.101.120 (Client-IP) | Service:Port12120 | Allow
Soweit ich das verstehe, habe ich doch damit der Client-IP (192.168.101.120) den entsprechenden Port, über welchen der Remote-Access erfolgen soll (12120), zugewiesen - oder? Auch wenn dies meine ersten Erfahrungen mit Sonicwall Appliances sind, so komme ich dennoch nicht umhin, die Logs ein wenig anders zu lesen: es scheint mir, als käme die Sonicwall in ihrem Programmablauf gar nicht bis zu der Frage, an welchen Client der Port 12120 denn nun durchgeroutet werden soll, da die Verbindung bereits beim Auflaufen am WAN-Port (X1) gedropped wird. Ein eventuelles Routing würde ja erst "im Kasten" zwischen X1 (WAN) und X0 (primary LAN) stattfinden, oder liege ich da falsch?
Danke auch für den Hinweis mit VPN. Da ich leider laut "Licences" nur zwei VPN Verbindungen verfügbar habe, möchte ich diese eigentlich nicht für Fernwartung "verspielen", obwohl ich mir des Sicherheitsrisikos durchaus bewusst bin. Da sich das System momentan aber auch noch nicht im Produktivbetrieb befindet, weiß ich auch nicht, wie viele der Mitarbeiter im weiteren Verlauf (ebenfalls) von zuhause arbeiten möchten. Um am Ende nicht völlig unnötig die Lizenz erweitert zu haben, wollte ich es daher erstmal so versuchen. Für einen temporären Testbetrieb sollte das zu verschmerzen sein...
Beste Grüße,
Nagus
danke für Deine Antwort. Ganz nachvollziehen kann ich sie aber leider nicht.
Richtig ist, dass sich meine Lösung nur auf einen Client bezieht. Ich war einfach zu bequem, für alle Clients einen Port freizugeben, sodass es hier erstmal nur um einen geht. Leider funktioniert aber auch diese Verbindung nicht.
Ich zitiere nochmal aus der SW-GUI, Reiter Firewall --> Access Rules:
Wan>Lan | Source:Any | Destination:192.168.101.120 (Client-IP) | Service:Port12120 | Allow
Soweit ich das verstehe, habe ich doch damit der Client-IP (192.168.101.120) den entsprechenden Port, über welchen der Remote-Access erfolgen soll (12120), zugewiesen - oder? Auch wenn dies meine ersten Erfahrungen mit Sonicwall Appliances sind, so komme ich dennoch nicht umhin, die Logs ein wenig anders zu lesen: es scheint mir, als käme die Sonicwall in ihrem Programmablauf gar nicht bis zu der Frage, an welchen Client der Port 12120 denn nun durchgeroutet werden soll, da die Verbindung bereits beim Auflaufen am WAN-Port (X1) gedropped wird. Ein eventuelles Routing würde ja erst "im Kasten" zwischen X1 (WAN) und X0 (primary LAN) stattfinden, oder liege ich da falsch?
Danke auch für den Hinweis mit VPN. Da ich leider laut "Licences" nur zwei VPN Verbindungen verfügbar habe, möchte ich diese eigentlich nicht für Fernwartung "verspielen", obwohl ich mir des Sicherheitsrisikos durchaus bewusst bin. Da sich das System momentan aber auch noch nicht im Produktivbetrieb befindet, weiß ich auch nicht, wie viele der Mitarbeiter im weiteren Verlauf (ebenfalls) von zuhause arbeiten möchten. Um am Ende nicht völlig unnötig die Lizenz erweitert zu haben, wollte ich es daher erstmal so versuchen. Für einen temporären Testbetrieb sollte das zu verschmerzen sein...
Beste Grüße,
Nagus
Hi Nagus,
Grüße,
Dani
Wan>Lan | Source:Any | Destination:192.168.101.120 (Client-IP) | Service:Port12120 | Allow
Das ist eine Accesslisten-Eintrag. Was du benötigst ist ein Port-Forwarding auf die 192.168.101.120 damit das mit VNC klappt.Grüße,
Dani
Außerdem solltest du vielleicht nur deine eigene Source-IP anstelle von "Any" angeben. Das minimiert zumindest das Angriffsrisiko...
Perfekt, genau das war's. Hatte die Access-Freigabe für das Forwarding gehalten 
Wie gesagt, erste SW. Danke, Dani!
Wie bereits gesagt: Das Problem mit der relativ offenen Verbindung ist mir bewusst. Da ich jedoch als Source über keine statische IP verfüge (und in dieser Richtung kann wohl auch kein Dynamic DNS Abhilfe schaffen), muss ich mir vorerst so behelfen.
Die Verbindung über ein VPN herzustellen, wird sowieso in absehbarer Zeit vorgenommen. Aber auch für den Hinweis - danke!
Wie gesagt, erste SW. Danke, Dani!Wie bereits gesagt: Das Problem mit der relativ offenen Verbindung ist mir bewusst. Da ich jedoch als Source über keine statische IP verfüge (und in dieser Richtung kann wohl auch kein Dynamic DNS Abhilfe schaffen), muss ich mir vorerst so behelfen.
Die Verbindung über ein VPN herzustellen, wird sowieso in absehbarer Zeit vorgenommen. Aber auch für den Hinweis - danke!