Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netzwerkerkennung über VPN-Verbindungen ausschalten bzw. deaktivieren

Frage Microsoft Windows Server

Mitglied: KLinnebank

KLinnebank (Level 1) - Jetzt verbinden

29.12.2014, aktualisiert 12:30 Uhr, 2267 Aufrufe, 7 Kommentare

Moin beisammen,

ich habe folgendes Anliegen:

Zwei Standorte sind über eine VPN-Verbindung zweier Draytek-Router
miteinander verbunden. Alles läuft super.

Was mich stört: Da die eine Seite nur auf bestimmte Geräte zugreifen
soll und gar nicht durch das "Entdecken" von Geräten auf der anderen Seite
in Versuchung geführt werden soll, sich damit zu verbinden (z.B. Drucker),
möchte ich die gegenseitige Netzwerkerkennung deaktivieren, bzw.
am liebsten auf das "eigene" Subnetz einschränken.

Ist das bei VPN-Verbindungen möglich und wie mache ich das
gegebenenfalls. ICh habe jetzt versucht, intensiv zu googeln, habe aber
nur Themen gefunden, die meinen Wunsch überhaupt nicht berühren.

Was nicht gewünscht ist: Auschalten der Netzwerkerkennung generell,
das wäre im Prinzip ist mit Kanonen auf Spatzen geschossen.

Die "Kür" wäre es, die gegenseitige Netzwerkerkennung nur einseitig
deaktivieren zu können, also Geräte des ersten Subnetzes sehen die Geräte des anderen,
umgekehrt aber nicht.

Kann mir jemand helfen oder einen Tipp geben? ÜBer
Hilfe würde ich mich freuene und wäre sehr dankbar.

Vielen Dank für Eure Mühe.

Gruß

Kay

Mitglied: aqui
29.12.2014, aktualisiert um 10:30 Uhr
Leider bleibst du recht oberflächlich bei deiner Beschreibung was genau du mit "Netzwerkerkennung" meinst ?! Wenigstens unter Winblows gibt es dafür ja mehrere mögliche Definitionen ?!
Die Erkennenung ohne AD bzw. DNS klappt so oder so nicht, denn deine VPN Verbindung ist eine geroutete Verbindung und wie jeder netzwerker weiss werden naming Broadcasts auf UDP Basis per Definition im TCP/IP nicht über geroutete Verbindungen geforwardet.
Anders sieht das mit normalem DNS aus in einer AD. Dort kann man wenigstens mit Namen arbeiten aber automatisch funktioniert das auch nicht.
Eigentlich hat man so schon einen Mindestschutz.
Fragt sich aber immer nich was du nun wirklich genau damit meinst ?!
Bitte warten ..
Mitglied: KLinnebank
29.12.2014 um 10:39 Uhr
Hey aqui,

vielen Dank für Deine Antwort.

Stimmt, habe ich nicht richtig formuliert:
Wenn ein Benutzer auf den Eintrag "Netzwerk" im Windows-Explorer
klickt, so werden bei aktivierter Netzwerkerkennung
im Netz Rechner und Geräte gesucht und dargestellt.

Dies sind dann für das gegebene Beispile die Rechner und Drucker
des eigenene Netzes UND des per VPN angebundenen Netzes.

ICh denke auch, dasss das was mit DNS-Anfragen zu tun hat,
aber ich habe noch nicht verstanden, warum DNS-Anfragen auch
in das VPN-Netz geroutet werden, der "gegnerische" DNS-Server
ist nicht in den betroffenen Geräten eingerichtet.

Es ist sogar beim in den Clients eingetragenen DNS-Server als Weiterleitung
für DNS-Abfragen ein anderer Router (der Standard-Gateway-Router) eingetragen,
als der Router, der für die VPN-Verbindung ztuständig ist, die läuft separat.

Ich hoffe ich konnte mihc etwas klarer ausdrücken und wäre über weitere Hilfe
sehr dankbar.

Gruß

Kay
Bitte warten ..
Mitglied: colinardo
29.12.2014, aktualisiert um 10:41 Uhr
Hallo Kay,
das Verhalten der Netzwerkerkennung kannst du in der lokalen Security-Policy secpol.msc festlegen:
http://www.eightforums.com/tutorials/9837-network-location-set-private- ...
Unter dem Link die Optionen drei oder vier.

Grüße Uwe
Bitte warten ..
Mitglied: KLinnebank
29.12.2014, aktualisiert um 10:59 Uhr
Hallo colinardo,

danke für Deinen Hilfsversuch, aber das ist leider nicht,
was ich meine.

Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.

Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.

Also konkreteres Beispiel:

Netz 1:
LAN-IPs: 192.168.0.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.0.1
Gateway: 192.168.0.254
VPN-Gateway zu Netz 2: 192.168.0.253

Netz 2:
LAN-IPs: 192.168.10.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.10.1
Gateway: 192.168.10.254
VPN-Gateway zu Netz 1: 192.168.10.253

Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.

Ich hoffe, ich hab mich klar ausgedrückt.

Hat noch jemand eine Idee?

Gruß

Kay
Bitte warten ..
Mitglied: colinardo
LÖSUNG 29.12.2014, aktualisiert um 12:30 Uhr
Zitat von KLinnebank:
Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
unter anderem, Primär werden die Firewall-Einstellungen des Clients damit entweder restriktiver(public) oder eben weniger restriktiv(private) eingestellt. Das beinhaltet hauptsächlich die Datei- und Druckerfreigabe bzw. die Ports 139 und 445 und die Aktivierung von ICMP. Defaultmässig sind diese aber auf das eigene Subnetz beschränkt, somit ist eine Auflösumg von anderen Rechnern in fremden Subnetzen zusätzlich ausgeschlossen. Ihr müsst somit also schon an den Einstellungen geschraubt haben...

Also nochmal: die von Windows sogenannte Netzwerkerkennung dient primär dazu ein Netz als privat oder öffentlich einzustufen und anhand dieser Information die Firewall anzupassen. Sie hat nichts mit dem ermitteln von anderen Rechnern zu tun, welche nur stattfinden kann wenn sich Rechner im eigenen Subnetz befinden oder beide Netze eine gemeinsame Broadcast-Domain bilden, was in deinem obigen Beispiel nicht der Fall ist!

Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Die Netzwerkerkennung fragt den Benutzer ob ein Netz als Public oder Private klassifiziert werden soll, wenn es in den Verbindungseigenschaften ein default Gateway findet das es selber noch nicht kennt (Windows speichert die Gateways der entsprechenden Netze anhand Ihrer MAC-Adresse.

Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Wie schon von @aqui erwähnt findet über geroutete Netze keine Broadcast-Auflösung statt. Entweder du blockst auf den Firewalls der VPN-Router ICMP und die Ports 139 und 445 oder machst das auf den Clients in der Windows-Firewall, so dass nur Subnetzinterne Clients zugreifen dürfen, was normalerweise standardmäßig der Fall ist, trotzdem auf den Clients in der Firewall nochmals prüfen!

Auf folgendem Bild siehst du das du in der Firewall den Zugriff auf die Dienste (SMB/ICMP) auf Subnetze beschränken kannst:
http://www.administrator.de/forum/routing-zwischen-2-subnetzen-übe ...

Grüße Uwe
Bitte warten ..
Mitglied: KLinnebank
29.12.2014 um 12:19 Uhr
Hallo Uwe,

vielen Dank für die ausführliche Beschreibung.

Das Blockieren des Ports 139 hat bereits ausgereicht, das gewünschte Verhalten
zu erreichen. Leider nur auf meinen Testsystemen, da dort neuere Draytek-Router eingesetzt
werden, die das Anweden der Firewallregeln für VPN-Verbindungen erlauben.

Die im eingetlichen Produktivsystem eingesetzten Router sind etwas älter und erlauben
das nicht.

Aber ich bin dank Deiner Hilfe auf dem richtigen Weg.

Danke auch nochmal an aqui.

Gruß

Kay
Bitte warten ..
Mitglied: KLinnebank
29.12.2014 um 12:30 Uhr
Zusatz: Scheint auch mit den älteren Routern zu klappen....
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Windows Netzwerkerkennung: Problem bei VPN
Frage von FirewireLAN, WAN, Wireless4 Kommentare

Hallo Kollegen, ich habe folgendes Problem auf einem Windows 7 Prof. Notebook: Auf dem Gerät soll die Einwahl ins ...

Windows Netzwerk
Netzwerkerkennung über NCSI.txt
Frage von ribrobWindows Netzwerk11 Kommentare

Hallo, vor folgendem Problem stehe ich: - Windows-Netzwerk mit ca 200 Clients (Win7 Prof. 64Bit) - einige Clients haben ...

Windows Netzwerk
Client Versucht SSL Verbindung (ausschalten)
Frage von 2SeitenWindows Netzwerk5 Kommentare

Hallo Zusammen, Ich habe einen Computer mit SQL Server 2014 Express und einem Programm (Drittanbieter) welches eine Verbindung zu ...

Vmware
Automatisches ausschalten von VMs in einem VMware Clusterverbund deaktivieren
gelöst Frage von saesch82Vmware2 Kommentare

Hallo Ich habe einen VMware 6.0 Clusterverbund und ab und an werde ich auf VMs damit überrascht, dass der ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 4 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 4 StundenSicherheit6 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 5 StundenSicherheit5 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 6 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen19 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...