Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Firewall, Konfigurationsfehler oder Bug?

Frage Sicherheit Firewall

Mitglied: cyber40014

cyber40014 (Level 1) - Jetzt verbinden

24.05.2012 um 22:09 Uhr, 5708 Aufrufe, 2 Kommentare

Es handelt sich um einen Windows 2008 Server (MSDNAA Lizenz) auf dem OpenVPN installiert ist.
Das Problem betrifft die Filterregeln der Windows Firewall, welche erlauben sollen, dass Clients aus dem VPN Netz mit Clients im Intranet, Clients im VPN und dem VPN Server kommunizieren können.
Ein per VPN eingewählter Client soll sich in der Testumgebung GENAUSO verhalten,als wäre er im LAN.

Hallo Leute,
ich tüftle jetzt schon den ganzen Tag an folgendem Problem und ich komme einfach nicht weiter.
Ich bin mir inzwischen nicht mehr sicher, ob es sich um einen Fehler in der Windows Firewall handelt, oder um einen Konfigurationsfehler meinerseits.

Ich tippe zwar auf Zweites, schließer Ersteres aber nicht aus

Clients können sich über OpenVPN einwählen.
Clients können andere Clients im Intranet und VPN (sofern deren lokale Firewall entsprechend konfiguriert ist)
pingen.
Ich weiss, dass es einen enormen Unterschied zwischen einem ICMP und z.B. dem Zugriff auf eine Dateifreigabe gibt. Daher versuche ich allgemeine Firewallregeln zu erstellen und habe bisher nicht eine Regel genutzt, welche ein spezifisches Protokoll oder einen spezifischen Port nutzt. (Außer auf dem Server, damit die Portweiterleitung des Routers funktioniert)

Allerdings bekomm ich es partout nicht hin, dass ein Client im VPN Netz den Server pingen kann.

Anhand dieses Beispiels aus dem FirewallLog des Servers wird das ganze verdeutlicht:

"2012-05-24 21:18:47 DROP ICMP 10.10.0.6 10.10.0.1 - - 60 - - - - 8 0 - RECEIVE"

Ein Ping des Clients (10.10.0.6) auf den VPN NIC des Servers (10.10.0.1) wird einfach gedroppt.

Vollständigkeitshalber erwähne ich hier, dass es sich beim Intranet um das 10.10.1.0/24er Netz handelt.
Beim VPN um 10.10.0.0/24 bzw (10.10.0.0/30 aber dazu später.

Ziel ist es, wie schon erwähnt, dass das VPN und das Intranet sich verhält wie ein großes Intranet.
Ich habe eine Abneigung gegen Hamachi und Tunngle, deshalb diese Lösung.


Obskurität Nr 1:
Dies betrifft Openvpn... Obwohl als DHCP Range das 10.10.0.0/24er Netz angegeben ist, erhalten Clients bei der Einwahl IPs aus dem /30er Netz. Das ist aber gezielt so von OVPN gewollt.
Bei der Windows Firewall macht es keinerlei Unterschied, ob ich eine Ausnahme für das gesamte /24er Netz oder nur das /30er Netz eingestellt habe, solange die Client IP in beiden Netzen vertreten ist.
Scheinbar macht die Firewall bzgl IP Filterung nichts anderes als zu schauen, ob sie erlaubt oder nicht erlaubt ist. In meinen Augen sicherheitskritisch aber für mich nicht relevant.

Obskurität Nr 2 - oder das eigentliche Problem (Bug?)
Auf dem Firewall ist eine Ausnahme für eingehende und ausgehende Verbindung eingerichtet.
Diese erlaubt ALLEN Diensten, auf ALLEN Ports, JEDES Benutzers, auf JEDEM NIC (usw) zu kommunizieren, solange die Remote/Interne IP aus dem 10.10.0.0/24 oder 10.10.1.0/24 Netz kommt.

(Kurz gesagt in der Ausnahme ist alles für diese beiden Bereiche offen. Habe spaßeshalber auch mit 10.10.0.0/30 experimentiert (siehe Obskurität 1) aber das macht keinen unterschied (zu erkennen im Firewall Log)

Mit dieser Ausnahme ist ein Ping von 10.10.0.6 auf 10.10.0.1 nicht möglich! (Siehe oben Zeile aus dem Log)
Wenn ich nun aber diese Regel der einfachheit halber kopiere und explizit 10.10.0.6 und 10.10.0.1 bei Remote und Interner IP Eintrage, funktioniert der Ping einwandtfrei.

Fazit:
Aus unerfindlichen Gründen, erkennt die Windows Firewall nicht, dass sich die IP 10.10.0.6 und/oder 10.10.0.1 im 10.10.0.0/24er Netz befinden.

Hat jemand diesbezüglich Ratschläge o.ä. Ich will die Firewall nicht deaktivieren und mir auch keine extra Software zulegen. Vielleicht handelt es sich ja doch um einen Konfigurationsfehler meinerseits und jemand hat eine Lösung parat.

Hier das ganze Problem nochmals kurz und Knapp als Bild
In meinen Augen sollten beide Pings erfolgreich verlaufen.

e3154b818fa111b55da5ad2c617fa6e4 - Klicke auf das Bild, um es zu vergrößern

In Vorfreude auf viele rasche Antworten

lg

Chris
Mitglied: aqui
25.05.2012, aktualisiert um 11:37 Uhr
Wenn du Winblows benutzt auf der Client Seite hast du keine Chance einen linearen IP Adresspool zu benutzen der z.B. nur ein /24er Subnetz ist.
OpenVPN bietet diese Option mit dem Server Konfig Kommando "ifconfig-pool-linear" in der server.conf Datei.
Wie gesagt das geht nur einzig für NON Windows Clients, da der Win32/TAP Tunneltreiber sowas nicht zulässt und immer nur einen Point to Point Verbindung mit einem /30er Subnetting zulässt !
http://openvpn.net/index.php/open-source/faq/77-server/273-qifconfig-po ...
Damit musst du in einem Winblows Client Umfeld also immer leben.
Fazit ist dann aber das du dann für Server und Clients jeweils unterschiedliche IP Netze hast. Wenn du kein Routing aktiviert hast auf dem Server, dann hast du ein Problem.
Dieser Thread hier aus dem OVPN Forum beschreibt deine Problematik eigentlich recht genau da die Server Konfig zu deiner identisch ist und liefert auch die Lösung:
https://forums.openvpn.net/topic10602.html
Bitte warten ..
Mitglied: cyber40014
14.06.2012 um 22:13 Uhr
Also habe das Problem gelöst.
Es scheint wirklich ein Bug in der Firewall zu sein.

Wenn die IP Range manuell (mit Einstellungen "Ip Adressbereich" von 10.10.0.1 bis 10.10.1.255 setzt funktioniert es einwandtfrei........

Ty und lg

Chris
Bitte warten ..
Ähnliche Inhalte
Windows 7
Microsoft.NET Framework Parser Konfigurationsfehler
gelöst Frage von DasJulianWindows 72 Kommentare

Schönen guten Tag alle zusammen, und zwar bin ich heute früher von meiner Arbeit nachhause gekommen und wollte dann ...

Visual Studio
Dot.Net Bug?
gelöst Frage von MarabuntaVisual Studio2 Kommentare

Ich habe möglicherweise einen Bug gefunden, da der Befehl aus C# u.o. DotNet kommt, wollte ich fragen ob ihr ...

Sicherheit
Zufällige Speicherzuweisung: Windows-Bug hebelt Sicherheitsmechanismus ASLR aus
Information von Penny.CilinSicherheit1 Kommentar

Anbei eine neue Meldung bzgl.ASLR: Heise Newsticker: Zufällige Speicherzuweisung: Windows-Bug hebelt Sicherheitsmechanismus ASLR aus Gruss Penny

Windows 10
Keine Rechte oder Bugs nach einer automatischen Reperatur
Frage von GeomaxWindows 101 Kommentar

Hallo liebe User! Ich habe ein großes Problem, denn mein Windows lässt sich so gut wie nicht mehr bedienen. ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 3 StundenWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 11 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 11 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server23 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Exchange Server
Exchange empfängt Emails - Kann aber keine Senden
gelöst Frage von niklasschaeferExchange Server11 Kommentare

Hallo, ich stehe gerade bei mir zuhause vor folgender Problemstellung. Gegeben sind 2x Hyper-V Host mit Windows Server 2016 ...