7
Netzwerkerkennung über VPN-Verbindungen ausschalten bzw. deaktivieren
Moin beisammen,
ich habe folgendes Anliegen:
Zwei Standorte sind über eine VPN-Verbindung zweier Draytek-Router
miteinander verbunden. Alles läuft super.
Was mich stört: Da die eine Seite nur auf bestimmte Geräte zugreifen
soll und gar nicht durch das "Entdecken" von Geräten auf der anderen Seite
in Versuchung geführt werden soll, sich damit zu verbinden (z.B. Drucker),
möchte ich die gegenseitige Netzwerkerkennung deaktivieren, bzw.
am liebsten auf das "eigene" Subnetz einschränken.
Ist das bei VPN-Verbindungen möglich und wie mache ich das
gegebenenfalls. ICh habe jetzt versucht, intensiv zu googeln, habe aber
nur Themen gefunden, die meinen Wunsch überhaupt nicht berühren.
Was nicht gewünscht ist: Auschalten der Netzwerkerkennung generell,
das wäre im Prinzip ist mit Kanonen auf Spatzen geschossen.
Die "Kür" wäre es, die gegenseitige Netzwerkerkennung nur einseitig
deaktivieren zu können, also Geräte des ersten Subnetzes sehen die Geräte des anderen,
umgekehrt aber nicht.
Kann mir jemand helfen oder einen Tipp geben? ÜBer
Hilfe würde ich mich freuene und wäre sehr dankbar.
Vielen Dank für Eure Mühe.
Gruß
Kay
ich habe folgendes Anliegen:
Zwei Standorte sind über eine VPN-Verbindung zweier Draytek-Router
miteinander verbunden. Alles läuft super.
Was mich stört: Da die eine Seite nur auf bestimmte Geräte zugreifen
soll und gar nicht durch das "Entdecken" von Geräten auf der anderen Seite
in Versuchung geführt werden soll, sich damit zu verbinden (z.B. Drucker),
möchte ich die gegenseitige Netzwerkerkennung deaktivieren, bzw.
am liebsten auf das "eigene" Subnetz einschränken.
Ist das bei VPN-Verbindungen möglich und wie mache ich das
gegebenenfalls. ICh habe jetzt versucht, intensiv zu googeln, habe aber
nur Themen gefunden, die meinen Wunsch überhaupt nicht berühren.
Was nicht gewünscht ist: Auschalten der Netzwerkerkennung generell,
das wäre im Prinzip ist mit Kanonen auf Spatzen geschossen.
Die "Kür" wäre es, die gegenseitige Netzwerkerkennung nur einseitig
deaktivieren zu können, also Geräte des ersten Subnetzes sehen die Geräte des anderen,
umgekehrt aber nicht.
Kann mir jemand helfen oder einen Tipp geben? ÜBer
Hilfe würde ich mich freuene und wäre sehr dankbar.
Vielen Dank für Eure Mühe.
Gruß
Kay
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258595
Url: https://administrator.de/contentid/258595
Printed on: April 19, 2024 at 19:04 o'clock
7 Comments
Latest comment
Leider bleibst du recht oberflächlich bei deiner Beschreibung was genau du mit "Netzwerkerkennung" meinst ?! 
Wenigstens unter Winblows gibt es dafür ja mehrere mögliche Definitionen ?!
Die Erkennenung ohne AD bzw. DNS klappt so oder so nicht, denn deine VPN Verbindung ist eine geroutete Verbindung und wie jeder netzwerker weiss werden naming Broadcasts auf UDP Basis per Definition im TCP/IP nicht über geroutete Verbindungen geforwardet.
Anders sieht das mit normalem DNS aus in einer AD. Dort kann man wenigstens mit Namen arbeiten aber automatisch funktioniert das auch nicht.
Eigentlich hat man so schon einen Mindestschutz.
Fragt sich aber immer nich was du nun wirklich genau damit meinst ?!
Wenigstens unter Winblows gibt es dafür ja mehrere mögliche Definitionen ?!Die Erkennenung ohne AD bzw. DNS klappt so oder so nicht, denn deine VPN Verbindung ist eine geroutete Verbindung und wie jeder netzwerker weiss werden naming Broadcasts auf UDP Basis per Definition im TCP/IP nicht über geroutete Verbindungen geforwardet.
Anders sieht das mit normalem DNS aus in einer AD. Dort kann man wenigstens mit Namen arbeiten aber automatisch funktioniert das auch nicht.
Eigentlich hat man so schon einen Mindestschutz.
Fragt sich aber immer nich was du nun wirklich genau damit meinst ?!
Hey aqui,
vielen Dank für Deine Antwort.
Stimmt, habe ich nicht richtig formuliert:
Wenn ein Benutzer auf den Eintrag "Netzwerk" im Windows-Explorer
klickt, so werden bei aktivierter Netzwerkerkennung
im Netz Rechner und Geräte gesucht und dargestellt.
Dies sind dann für das gegebene Beispile die Rechner und Drucker
des eigenene Netzes UND des per VPN angebundenen Netzes.
ICh denke auch, dasss das was mit DNS-Anfragen zu tun hat,
aber ich habe noch nicht verstanden, warum DNS-Anfragen auch
in das VPN-Netz geroutet werden, der "gegnerische" DNS-Server
ist nicht in den betroffenen Geräten eingerichtet.
Es ist sogar beim in den Clients eingetragenen DNS-Server als Weiterleitung
für DNS-Abfragen ein anderer Router (der Standard-Gateway-Router) eingetragen,
als der Router, der für die VPN-Verbindung ztuständig ist, die läuft separat.
Ich hoffe ich konnte mihc etwas klarer ausdrücken und wäre über weitere Hilfe
sehr dankbar.
Gruß
Kay
vielen Dank für Deine Antwort.
Stimmt, habe ich nicht richtig formuliert:
Wenn ein Benutzer auf den Eintrag "Netzwerk" im Windows-Explorer
klickt, so werden bei aktivierter Netzwerkerkennung
im Netz Rechner und Geräte gesucht und dargestellt.
Dies sind dann für das gegebene Beispile die Rechner und Drucker
des eigenene Netzes UND des per VPN angebundenen Netzes.
ICh denke auch, dasss das was mit DNS-Anfragen zu tun hat,
aber ich habe noch nicht verstanden, warum DNS-Anfragen auch
in das VPN-Netz geroutet werden, der "gegnerische" DNS-Server
ist nicht in den betroffenen Geräten eingerichtet.
Es ist sogar beim in den Clients eingetragenen DNS-Server als Weiterleitung
für DNS-Abfragen ein anderer Router (der Standard-Gateway-Router) eingetragen,
als der Router, der für die VPN-Verbindung ztuständig ist, die läuft separat.
Ich hoffe ich konnte mihc etwas klarer ausdrücken und wäre über weitere Hilfe
sehr dankbar.
Gruß
Kay
Hallo Kay,
das Verhalten der Netzwerkerkennung kannst du in der lokalen Security-Policy secpol.msc festlegen:
http://www.eightforums.com/tutorials/9837-network-location-set-private- ...
Unter dem Link die Optionen drei oder vier.
Grüße Uwe
das Verhalten der Netzwerkerkennung kannst du in der lokalen Security-Policy secpol.msc festlegen:
http://www.eightforums.com/tutorials/9837-network-location-set-private- ...
Unter dem Link die Optionen drei oder vier.
Grüße Uwe
Hallo colinardo,
danke für Deinen Hilfsversuch, aber das ist leider nicht,
was ich meine.
Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Also konkreteres Beispiel:
Netz 1:
LAN-IPs: 192.168.0.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.0.1
Gateway: 192.168.0.254
VPN-Gateway zu Netz 2: 192.168.0.253
Netz 2:
LAN-IPs: 192.168.10.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.10.1
Gateway: 192.168.10.254
VPN-Gateway zu Netz 1: 192.168.10.253
Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Ich hoffe, ich hab mich klar ausgedrückt.
Hat noch jemand eine Idee?
Gruß
Kay
danke für Deinen Hilfsversuch, aber das ist leider nicht,
was ich meine.
Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Also konkreteres Beispiel:
Netz 1:
LAN-IPs: 192.168.0.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.0.1
Gateway: 192.168.0.254
VPN-Gateway zu Netz 2: 192.168.0.253
Netz 2:
LAN-IPs: 192.168.10.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.10.1
Gateway: 192.168.10.254
VPN-Gateway zu Netz 1: 192.168.10.253
Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Ich hoffe, ich hab mich klar ausgedrückt.
Hat noch jemand eine Idee?
Gruß
Kay
Zitat von @KLinnebank:
Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
unter anderem, Primär werden die Firewall-Einstellungen des Clients damit entweder restriktiver(public) oder eben weniger restriktiv(private) eingestellt. Das beinhaltet hauptsächlich die Datei- und Druckerfreigabe bzw. die Ports 139 und 445 und die Aktivierung von ICMP. Defaultmässig sind diese aber auf das eigene Subnetz beschränkt, somit ist eine Auflösumg von anderen Rechnern in fremden Subnetzen zusätzlich ausgeschlossen. Ihr müsst somit also schon an den Einstellungen geschraubt haben...Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
Also nochmal: die von Windows sogenannte Netzwerkerkennung dient primär dazu ein Netz als privat oder öffentlich einzustufen und anhand dieser Information die Firewall anzupassen. Sie hat nichts mit dem ermitteln von anderen Rechnern zu tun, welche nur stattfinden kann wenn sich Rechner im eigenen Subnetz befinden oder beide Netze eine gemeinsame Broadcast-Domain bilden, was in deinem obigen Beispiel nicht der Fall ist!
Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Die Netzwerkerkennung fragt den Benutzer ob ein Netz als Public oder Private klassifiziert werden soll, wenn es in den Verbindungseigenschaften ein default Gateway findet das es selber noch nicht kennt (Windows speichert die Gateways der entsprechenden Netze anhand Ihrer MAC-Adresse.über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Wie schon von @aqui erwähnt findet über geroutete Netze keine Broadcast-Auflösung statt. Entweder du blockst auf den Firewalls der VPN-Router ICMP und die Ports 139 und 445 oder machst das auf den Clients in der Windows-Firewall, so dass nur Subnetzinterne Clients zugreifen dürfen, was normalerweise standardmäßig der Fall ist, trotzdem auf den Clients in der Firewall nochmals prüfen!gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Auf folgendem Bild siehst du das du in der Firewall den Zugriff auf die Dienste (SMB/ICMP) auf Subnetze beschränken kannst:
Routing zwischen 2 Subnetzen über einen Cisco Router (1800er Series)
Grüße Uwe
Hallo Uwe,
vielen Dank für die ausführliche Beschreibung.
Das Blockieren des Ports 139 hat bereits ausgereicht, das gewünschte Verhalten
zu erreichen. Leider nur auf meinen Testsystemen, da dort neuere Draytek-Router eingesetzt
werden, die das Anweden der Firewallregeln für VPN-Verbindungen erlauben.
Die im eingetlichen Produktivsystem eingesetzten Router sind etwas älter und erlauben
das nicht.
Aber ich bin dank Deiner Hilfe auf dem richtigen Weg.
Danke auch nochmal an aqui.
Gruß
Kay
vielen Dank für die ausführliche Beschreibung.
Das Blockieren des Ports 139 hat bereits ausgereicht, das gewünschte Verhalten
zu erreichen. Leider nur auf meinen Testsystemen, da dort neuere Draytek-Router eingesetzt
werden, die das Anweden der Firewallregeln für VPN-Verbindungen erlauben.
Die im eingetlichen Produktivsystem eingesetzten Router sind etwas älter und erlauben
das nicht.
Aber ich bin dank Deiner Hilfe auf dem richtigen Weg.
Danke auch nochmal an aqui.
Gruß
Kay
Zusatz: Scheint auch mit den älteren Routern zu klappen....
