Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec-Tunnel und Windows SP2 Firewall

Mitglied: HorstM

HorstM (Level 1) - Jetzt verbinden

29.11.2007, aktualisiert 16.01.2008, 6308 Aufrufe, 2 Kommentare

Hallo Leute,

ich sitze schon seit geraumer Zeit an folgendem Problem und komme einfach nicht weiter.

Ich habe einen IPSec-Tunnel zwischen einem Windows XP Professional Client und einer Hardware-Firewall eingerichtet. Die IPSec-Konfiguration (Windows Built-In-IPSec) als solches ist OK, der Tunnel kommt hoch und es können auch Daten im Tunnel übertragen werden. Die Kommunikation funktioniert aber nur solange, wie die Windows-Firewall nicht aktiviert wurde. Sobald die XP-Firewall aktiv geschaltet wird, werden beim Computer ankommende IPSec-Pakete nicht mehr zur Anwendung durchgereicht; beispielsweise geht ein Ping-Request im Tunnel raus, das Ping-Reply kommt auch im Tunnel zum IP-Interface des Rechners zurück, das Ping-Programm bekommt die Antwort aber nicht.
Ich habe natürlich schon alle möglichen Einstellungen der Windows-Firewall variiert, allerdings ohne Erfolg. Leider kann ja ESP als Protokoll überhaupt nicht freigegeben werden, sondern nur TCP oder UDP. Auf der anderen Seite bietet die IPSec-Tunnel-Implementation im Windows XP keine UDP-Encapsulation an, sondern nur normales ESP/AH.

Nun ist bei Microsoft bezüglich der beschriebenen Problematik die Rede von einer "Windows Firewall: Allow authenticated IPSec bypass"-Gruppenrichtlinie, die via MMC konfiguriert werden kann. Abgesehen von der wirklich kruden SDDL-Syntax ist mir völlig unklar, wie ich auf einem Standalone-XP-Client den fernen IPSec-Partner (bei mir also die Hardware-Firewall) bekanntgeben soll. Irgendwie soll dies mit einem Gruppenkonto gehen, aber alle Hinweise, die ich dazu im Netz gefunden habe, beziehen sich auf Domänencomputer oder Active Directory.

Konkret:

IP-Adresse des Computers: 192.168.2.1
IP-Adresse der Hardware-Firewall: 192.168.2.2
Beide IP-Adressen dienen als Tunnel-Endpoints.

Was muß ich auf dem XP-Rechner wie administrieren, damit ich in der o.g. Windows-Firewall-Gruppenrichtlinie die notwendige SID eingeben kann?

Gruß
Horst
Mitglied: graealex
13.01.2008 um 03:09 Uhr
"Allow authenticated IPSec bypass" funktioniert tatsächlich nur, wenn der Client Mitglied der Domäne ist, und sich das verwendete Benutzerkonto in einer mittels der SDDL-Syntax freigegebenen Benutzergruppe befindet.

Das alles bezieht sich aber auf ein anderes Szenario, bei dem Windows Clients mit einem durch die Windows Firewall geschützten Windows Server kommunizieren. Die o.g. Richtlinie erlaubt dann per IPSec authentifizierten Clients, die Firewall zum umgehen, beispielsweise um dann auf RPC und Fileserver zugreifen zu können. "Normale" Clients könnten dann nur auf die in der Firewall freigegebenen Ports wie 80 oder 21 zugreifen.

Hast du in der Firewall auch UDP 500 (IKE) freigegeben? Eventuell:

PPTP 1723/TCP
500/UDP
1701/TCP
1723/TCP
50/TCP

Ping solltest du generell nicht zum Debugging verwenden, da es ICMP verwendet, dass von der Windows Firewall gesondert behandelt wird. In manchen Fällen, z.B. bei DMZ mit Routing&RAS kann man bestimmte Server für ICMP gar nicht ohne weiteres erreichbar machen.

Besser ist es, mittels Telnet auf bekannte Ports wie HTTP oder eben Telnet Server zuzugreifen.
Bitte warten ..
Mitglied: HorstM
16.01.2008 um 17:47 Uhr
Danke für Deine Antwort.
Mittlerweile hat sich herausgestellt, daß TCP- und UDP-Pakete durchaus auch bei aktivierter XP-Firewall durchkommen (IKE hatte ich bereits zu Beginn der ganzen Konfiguriererei freigegeben), bloß ICMP wird immer noch blockiert.
Daß ping nicht zum Debugging verwendet werden sollte, ist natürlich so eine Sache... M.E. ist ping ja eigentlich genau dafür gedacht.
Die ganze IPSec-Geschichte im Windows erscheint mir doch recht aufgepfropft und ich muß wahrscheinlich froh sein, daß es wenigstens mit Nutzdaten leidlich funktioniert.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

Windows Server

Windows Firewall Einstellungen für OpenVPN Tunnel

Frage von AubananWindows Server4 Kommentare

Hallo zusammen, habe einen Windows Server 2008R2 zu Testzwecken auf einem vServer im Internet installiert. Auf diesen kann ich ...

Firewall

Firewall einstellungen auf bestimmten VPN Tunnel

Frage von oScuryFirewall6 Kommentare

Hallo, ich habe einen Virutellen Server mit nur einer Netzwerkverbindung. Ich habe 2 VPN Tunnel Einer zu unserem Unternehemen ...

Voice over IP

3CXPhone Clients hinter Firewall mit 3CX Tunnel

gelöst Frage von istike2Voice over IP6 Kommentare

Hallo, wir arbeiten hier mit 3CX VoIP-Server der draußen gehostet wird und die Clients des Büros hinter NAT / ...

Neue Wissensbeiträge
Sicherheit

Interessante Methode für Leute, die in einer Windowsdomäne starke Kennwörter erzwingen wollen

Information von DerWoWusste vor 42 MinutenSicherheit1 Kommentar

Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann. Der Grundgedanke lautet: wir prüfen ...

Windows Server

SBS 2011: Installation von KB4457144 schlägt beim Reboot fehl - Von Dienst gesperrte Schriftart ursächlich

Tipp von the-buccaneer vor 11 StundenWindows Server1 Kommentar

Moinsen zusammen! Das hat mich einige graue Haare gekostet: Ein SBS 2011 weigerte sich schon im August, das monatl. ...

Windows Netzwerk
Browser-Lags und IPv6
Erfahrungsbericht von NixVerstehen vor 17 StundenWindows Netzwerk1 Kommentar

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 20 StundenHumor (lol)5 Kommentare

Was es so alles gibt. :-)

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...