4
Ping Netbios ISA 2006 Enterprise
Hallo,
ich habe folgend Netzwerkszenario:
Nun habe ich die Pingregeln auf dem Isa 2006 angepasst bzw. erweitert.
Alle Pings funktionieren bis auf folgende:
MKSAPP -> MKSUSR
MKSISA -> MKSUSR
MKSUSR->MKSISA
MKSUSR->MKSAPP
Beim Ping intern nach Extern, wird die passende Ping regel erfolgreich (allow) angewendet.
Bei diesen Ping versuchen steht folgende Fehlermeldung im Logging und sonst keine:
Ipconfig von MKSUSR:
Hoffe einer kann ein paar Tipps geben, wo ran es genau liegt, bzw. was ich machen muss, damit der Ping funktioniert.
Gruß
Dolphon
ich habe folgend Netzwerkszenario:
Nun habe ich die Pingregeln auf dem Isa 2006 angepasst bzw. erweitert.
Alle Pings funktionieren bis auf folgende:
MKSAPP -> MKSUSR
MKSISA -> MKSUSR
MKSUSR->MKSISA
MKSUSR->MKSAPP
Beim Ping intern nach Extern, wird die passende Ping regel erfolgreich (allow) angewendet.
Bei diesen Ping versuchen steht folgende Fehlermeldung im Logging und sonst keine:
192.168.1.30 192.168.1.255 137 NetBios Name Service Denied Connection 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED External External - MKSISA FirewallIpconfig von MKSUSR:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.1.30
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.20Hoffe einer kann ein paar Tipps geben, wo ran es genau liegt, bzw. was ich machen muss, damit der Ping funktioniert.
Gruß
Dolphon
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124046
Url: https://administrator.de/contentid/124046
Printed on: April 23, 2024 at 13:04 o'clock
4 Comments
Latest comment
NetBios Name Service hat mit einem Ping nicht das geringste zu tun ! Der Name Service ist für das Broadcasten der Windows Namen verantwortlich.... Das ist es also nicht im Log.
Ping ist ein ICMP Paket vom Typ 0 und 8
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Vermutlich hast du auf dem Client MKSAPP und MKSUSR in der Firewall ICMP blockiert ?! Hier musst du in den erweiterten Eigenschaften der Firewall unter ICMP den Haken bei "Auf eingehende Echoanforderungen antworten" setzen.
Ansonsten stimmen wohl dann vermutlich deine Firewall Regeln im ISA nicht in Bezug auf ICMP Typ 0 und 8 !
Ping ist ein ICMP Paket vom Typ 0 und 8
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Vermutlich hast du auf dem Client MKSAPP und MKSUSR in der Firewall ICMP blockiert ?! Hier musst du in den erweiterten Eigenschaften der Firewall unter ICMP den Haken bei "Auf eingehende Echoanforderungen antworten" setzen.
Ansonsten stimmen wohl dann vermutlich deine Firewall Regeln im ISA nicht in Bezug auf ICMP Typ 0 und 8 !
Danke für den ersten Hinweis.
Ich habe einmal Whireshark laufen gelassen auf dem MKSUSR.
Es scheitert daran, dass e rmittels ARP nicht die MAC Adresse vom MKSISA bzw. des Gateways bekommt.
Als Gateway ist beim MKSUSR die IP vom MKSISA vom eigenen Netz angegeben.
Ich habe einmal Whireshark laufen gelassen auf dem MKSUSR.
Es scheitert daran, dass e rmittels ARP nicht die MAC Adresse vom MKSISA bzw. des Gateways bekommt.
Als Gateway ist beim MKSUSR die IP vom MKSISA vom eigenen Netz angegeben.
Das ist auch soweit richtig, denn der ISA ist ja der Router zwischen beiden Netzen.
Mmmmhhh, da ist dann am ISA was faul. Ggf. blockt die Firewall dort alle Zugriffe aus diesem Segment.
Du könntest die Mac Adresse des MKSISA ja mal statisch in die ARP Tabelle eintragen ala:
arp -s 192.168.1.20 00-aa-00-62-c6-09
<00-aa-00-62-c6-09> musst du natürlich ersetzen mit deiner richtigen Mac am ISA die du mit ipconfig -all rausbekommst !
Mit dem Kommando arp -a kannst du checken ob die ISA Mac dann in der ARP Tabelle ist !
Damit hast du dann das ARPing überlistet. Obs allerdings hilft wenn der ISA Server eh dann alles blockt ist fraglich ??
Mmmmhhh, da ist dann am ISA was faul. Ggf. blockt die Firewall dort alle Zugriffe aus diesem Segment.
Du könntest die Mac Adresse des MKSISA ja mal statisch in die ARP Tabelle eintragen ala:
arp -s 192.168.1.20 00-aa-00-62-c6-09
<00-aa-00-62-c6-09> musst du natürlich ersetzen mit deiner richtigen Mac am ISA die du mit ipconfig -all rausbekommst !
Mit dem Kommando arp -a kannst du checken ob die ISA Mac dann in der ARP Tabelle ist !
Damit hast du dann das ARPing überlistet. Obs allerdings hilft wenn der ISA Server eh dann alles blockt ist fraglich ??
Das Problem wurde gefunden.
1. Der Hoster dieser VServer hat bei der Einrichtung den Clienten ins falsche Netz geschoben.
Daher keine Verbindung.
2. Durch Umstellung der Netzwerkregel von Nat auf Route klappt nun alles.
Danke für Eure Hilfe.
1. Der Hoster dieser VServer hat bei der Einrichtung den Clienten ins falsche Netz geschoben.
Daher keine Verbindung.
2. Durch Umstellung der Netzwerkregel von Nat auf Route klappt nun alles.
Danke für Eure Hilfe.
