Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netzwerkerkennung über VPN-Verbindungen ausschalten bzw. deaktivieren

Frage Microsoft Windows Server

Mitglied: KLinnebank

KLinnebank (Level 1) - Jetzt verbinden

29.12.2014, aktualisiert 12:30 Uhr, 1837 Aufrufe, 7 Kommentare

Moin beisammen,

ich habe folgendes Anliegen:

Zwei Standorte sind über eine VPN-Verbindung zweier Draytek-Router
miteinander verbunden. Alles läuft super.

Was mich stört: Da die eine Seite nur auf bestimmte Geräte zugreifen
soll und gar nicht durch das "Entdecken" von Geräten auf der anderen Seite
in Versuchung geführt werden soll, sich damit zu verbinden (z.B. Drucker),
möchte ich die gegenseitige Netzwerkerkennung deaktivieren, bzw.
am liebsten auf das "eigene" Subnetz einschränken.

Ist das bei VPN-Verbindungen möglich und wie mache ich das
gegebenenfalls. ICh habe jetzt versucht, intensiv zu googeln, habe aber
nur Themen gefunden, die meinen Wunsch überhaupt nicht berühren.

Was nicht gewünscht ist: Auschalten der Netzwerkerkennung generell,
das wäre im Prinzip ist mit Kanonen auf Spatzen geschossen.

Die "Kür" wäre es, die gegenseitige Netzwerkerkennung nur einseitig
deaktivieren zu können, also Geräte des ersten Subnetzes sehen die Geräte des anderen,
umgekehrt aber nicht.

Kann mir jemand helfen oder einen Tipp geben? ÜBer
Hilfe würde ich mich freuene und wäre sehr dankbar.

Vielen Dank für Eure Mühe.

Gruß

Kay

Mitglied: aqui
29.12.2014, aktualisiert um 10:30 Uhr
Leider bleibst du recht oberflächlich bei deiner Beschreibung was genau du mit "Netzwerkerkennung" meinst ?! Wenigstens unter Winblows gibt es dafür ja mehrere mögliche Definitionen ?!
Die Erkennenung ohne AD bzw. DNS klappt so oder so nicht, denn deine VPN Verbindung ist eine geroutete Verbindung und wie jeder netzwerker weiss werden naming Broadcasts auf UDP Basis per Definition im TCP/IP nicht über geroutete Verbindungen geforwardet.
Anders sieht das mit normalem DNS aus in einer AD. Dort kann man wenigstens mit Namen arbeiten aber automatisch funktioniert das auch nicht.
Eigentlich hat man so schon einen Mindestschutz.
Fragt sich aber immer nich was du nun wirklich genau damit meinst ?!
Bitte warten ..
Mitglied: KLinnebank
29.12.2014 um 10:39 Uhr
Hey aqui,

vielen Dank für Deine Antwort.

Stimmt, habe ich nicht richtig formuliert:
Wenn ein Benutzer auf den Eintrag "Netzwerk" im Windows-Explorer
klickt, so werden bei aktivierter Netzwerkerkennung
im Netz Rechner und Geräte gesucht und dargestellt.

Dies sind dann für das gegebene Beispile die Rechner und Drucker
des eigenene Netzes UND des per VPN angebundenen Netzes.

ICh denke auch, dasss das was mit DNS-Anfragen zu tun hat,
aber ich habe noch nicht verstanden, warum DNS-Anfragen auch
in das VPN-Netz geroutet werden, der "gegnerische" DNS-Server
ist nicht in den betroffenen Geräten eingerichtet.

Es ist sogar beim in den Clients eingetragenen DNS-Server als Weiterleitung
für DNS-Abfragen ein anderer Router (der Standard-Gateway-Router) eingetragen,
als der Router, der für die VPN-Verbindung ztuständig ist, die läuft separat.

Ich hoffe ich konnte mihc etwas klarer ausdrücken und wäre über weitere Hilfe
sehr dankbar.

Gruß

Kay
Bitte warten ..
Mitglied: colinardo
29.12.2014, aktualisiert um 10:41 Uhr
Hallo Kay,
das Verhalten der Netzwerkerkennung kannst du in der lokalen Security-Policy secpol.msc festlegen:
http://www.eightforums.com/tutorials/9837-network-location-set-private- ...
Unter dem Link die Optionen drei oder vier.

Grüße Uwe
Bitte warten ..
Mitglied: KLinnebank
29.12.2014, aktualisiert um 10:59 Uhr
Hallo colinardo,

danke für Deinen Hilfsversuch, aber das ist leider nicht,
was ich meine.

Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.

Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.

Also konkreteres Beispiel:

Netz 1:
LAN-IPs: 192.168.0.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.0.1
Gateway: 192.168.0.254
VPN-Gateway zu Netz 2: 192.168.0.253

Netz 2:
LAN-IPs: 192.168.10.x
lokales Subnetz: 255.255.255.0
DNS-Server: 192.168.10.1
Gateway: 192.168.10.254
VPN-Gateway zu Netz 1: 192.168.10.253

Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.

Ich hoffe, ich hab mich klar ausgedrückt.

Hat noch jemand eine Idee?

Gruß

Kay
Bitte warten ..
Mitglied: colinardo
LÖSUNG 29.12.2014, aktualisiert um 12:30 Uhr
Zitat von KLinnebank:
Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
unter anderem, Primär werden die Firewall-Einstellungen des Clients damit entweder restriktiver(public) oder eben weniger restriktiv(private) eingestellt. Das beinhaltet hauptsächlich die Datei- und Druckerfreigabe bzw. die Ports 139 und 445 und die Aktivierung von ICMP. Defaultmässig sind diese aber auf das eigene Subnetz beschränkt, somit ist eine Auflösumg von anderen Rechnern in fremden Subnetzen zusätzlich ausgeschlossen. Ihr müsst somit also schon an den Einstellungen geschraubt haben...

Also nochmal: die von Windows sogenannte Netzwerkerkennung dient primär dazu ein Netz als privat oder öffentlich einzustufen und anhand dieser Information die Firewall anzupassen. Sie hat nichts mit dem ermitteln von anderen Rechnern zu tun, welche nur stattfinden kann wenn sich Rechner im eigenen Subnetz befinden oder beide Netze eine gemeinsame Broadcast-Domain bilden, was in deinem obigen Beispiel nicht der Fall ist!

Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Die Netzwerkerkennung fragt den Benutzer ob ein Netz als Public oder Private klassifiziert werden soll, wenn es in den Verbindungseigenschaften ein default Gateway findet das es selber noch nicht kennt (Windows speichert die Gateways der entsprechenden Netze anhand Ihrer MAC-Adresse.

Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Wie schon von @aqui erwähnt findet über geroutete Netze keine Broadcast-Auflösung statt. Entweder du blockst auf den Firewalls der VPN-Router ICMP und die Ports 139 und 445 oder machst das auf den Clients in der Windows-Firewall, so dass nur Subnetzinterne Clients zugreifen dürfen, was normalerweise standardmäßig der Fall ist, trotzdem auf den Clients in der Firewall nochmals prüfen!

Auf folgendem Bild siehst du das du in der Firewall den Zugriff auf die Dienste (SMB/ICMP) auf Subnetze beschränken kannst:
http://www.administrator.de/forum/routing-zwischen-2-subnetzen-übe ...

Grüße Uwe
Bitte warten ..
Mitglied: KLinnebank
29.12.2014 um 12:19 Uhr
Hallo Uwe,

vielen Dank für die ausführliche Beschreibung.

Das Blockieren des Ports 139 hat bereits ausgereicht, das gewünschte Verhalten
zu erreichen. Leider nur auf meinen Testsystemen, da dort neuere Draytek-Router eingesetzt
werden, die das Anweden der Firewallregeln für VPN-Verbindungen erlauben.

Die im eingetlichen Produktivsystem eingesetzten Router sind etwas älter und erlauben
das nicht.

Aber ich bin dank Deiner Hilfe auf dem richtigen Weg.

Danke auch nochmal an aqui.

Gruß

Kay
Bitte warten ..
Mitglied: KLinnebank
29.12.2014 um 12:30 Uhr
Zusatz: Scheint auch mit den älteren Routern zu klappen....
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerkmanagement
VPN: mehrere TCP Verbindungen pro Session

Frage von twoDarkMessiah zum Thema Netzwerkmanagement ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...