Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriff auf Dateifreigabe nach IPSec Einrichtung

Frage Microsoft Windows Installation

Mitglied: didge4u

didge4u (Level 1) - Jetzt verbinden

02.09.2008, aktualisiert 22.09.2008, 6251 Aufrufe, 4 Kommentare

Nachdem ich IPSec hinter der Firewall auf zwei Windows Domänenrechnern erfolgreich getestet habe, wagte ich mich auf eine Dateifreigabe von der DMZ auf einen Windows 2003 Server innerhalb der Domäne zuzugreifen. Bisher vergeblich ...

Hallo Welt

Folgendes Szenario:

Ich betreue einen virtuellen VM-Ware Windows 2003 Server in der DMZ. Dieser Server müsste sich von einem weiteren Windows2003 Server in regelmässigen Abständen Textdateien einlesen und wieder abspeichern. (konkret: Laboranfragen und Laborresultate abspeichern)

Gemäss unseren Firewalladmins wurden der Port 500 und das ESP-Protokoll freigeschaltet, was für IPSec anscheinend ein Muss ist.

Ich bin nicht so der IPSec - Hirsch, aber ich habe hingekriegt, dass beide Rechner mit einem vordefiniertem Schlüssel über das IPSec Protokoll unterhalten. Folgendes wurde im "Event Viewer" eingetragen:


IKE security association established.
Mode:
Data Protection Mode (Quick Mode)

Peer Identity:

Filter:
Source IP Address 130..x.x.x
Source IP Address Mask 255.255.255.255
Destination IP Address 130..x.x.x
Destination IP Address Mask 255.255.255.255
Protocol 0
Source Port 0
Destination Port 0
IKE Local Addr 130.x.x.x
IKE Peer Addr 130..x.x.x
IKE Source Port 500
IKE Destination Port 500
Peer Private Addr

Parameters:
ESP Algorithm None
HMAC Algorithm None
AH Algorithm None
Encapsulation None
InboundSpi 4154220618 (0xf79c604a)
OutBoundSpi 0 (0x0)
Lifetime (sec) 28800
Lifetime (kb) 0
QM delta time (sec) 3
Total delta time (sec) 3


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


Aber weshalb kann ich nicht auf \\Servername\Freigabe zugreifen?
Liegt es daran, das mein Rechner in einer Domäne liegt und die Sicherheitsrichtlinien den Zugriff verweigern?

HEELP! weiss von Euch jemand Rat? Danke im voraus für Eure Antworten.

Gruss Patrick
Mitglied: aqui
02.09.2008 um 15:35 Uhr
Du musst in der Tat:
  • UDP 500 (IKE)
  • UDP 4500 (NAT Traversal)
  • ESP (IP Protokoll Nummer 50, Achtung NICHT TCP oder UDP 50 !!)

freigeben. Achtung: Das funktioniert nur wenn du IPsec im ESP Modus auch wirklich nutzt. IM IPsec AH Modus ist ein Port Forwarding technisch nicht möglich (Man in the Middle Attack!)
Du musst also sicherstellen, das du auch den ESP Modus nutzt und nicht irgendwas anderes !

Wenn der IPsec Tunnel sauber aufgebaut wird bist du schon mal auf der sicheren Seite ! Ein Ping des Geräts auf der anderen Seite und vice versa sollte in jedem Falle möglich sein, sonst brauchst du erstmal nicht weiterzusuchen.
Pingen muss klappen !!
Bedenke das du ggf. die lokale Firewall der Rechner customizen musst da du jetzt mit einem IP Fremdnetz zugreifst was normalerweise geblockt ist !!

Das Domänen Sicherheitsrichtlinien usw. netsprechen eingestellt sind um eine Zugriff zu erlauben setzen wir hier mal voraus !
Bitte warten ..
Mitglied: didge4u
03.09.2008 um 09:28 Uhr
Hallo
Besten Dank schon mal.
Leider habe ich keine Berechtigung auf der Firewall "rumzuschrauben". Das macht das ganze kompliziert. Anscheinend sind alle nötigen Ports offen (gemäss den Angaben der Security).

Ich muss nachfragen, ob der Port 4500 wirklich offen ist.


Gruss Patrick
Bitte warten ..
Mitglied: aqui
03.09.2008 um 12:19 Uhr
Anscheinen d.... klingt nicht gut !! Du solltest es da mit Lenin halten: "Vertrauen ist gut, Kontrolle ist besser...!" ; gerade in diesem Bereich und wenn du dich auf jemand anderes verlassen musst. Ohne das du selber die Firewall kontrollierst ist das ein Lotteriespiel oder du musst es eben mit einem Paketsniffer checken !

Du kannst ja sonst ganz einfach mal einen PC mit [http:
www.wireshark.org/ Wireshark] oder dem MS [http:
www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&displaylang=en Net-Monitor] dazwischenhängen und prüfen ob dort IKE UPD 500 und ESP Pakete durchkommen.
Dann bist du wenigstens ganz sicher ob die Firewall richtig funktioniert oder doch noch blockt... Kontollieren ist alles
Bitte warten ..
Mitglied: didge4u
22.09.2008 um 15:07 Uhr
Yess! Endlich geschafft! Mann war das eine Zangengeburt .... Ich konnte mit einem kompetenten Securitymenschen das ganze nochmals durchexerzieren.

Das "greppen" der Firewalllogs ergab, dass der Port 51 auch gesperrt war. ich hatte bei der Konfiguration den Authentification Header eingeschaltet. Das braucht es wirklich nicht (das sei schon fast paranoid).


Gruss Patrick
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Zugriff auf pfsense mit IPsec im WLAN (1)

Frage von maddig zum Thema Router & Routing ...

Router & Routing
gelöst MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (2)

Frage von JulianOhm zum Thema Windows Server ...

Netzwerkgrundlagen
IPsec - .conf und .secret erstellen aus Gruppe und User (16)

Frage von MaxMLe zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...