Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriff auf Dateifreigabe nach IPSec Einrichtung

Frage Microsoft Windows Installation

Mitglied: didge4u

didge4u (Level 1) - Jetzt verbinden

02.09.2008, aktualisiert 22.09.2008, 6294 Aufrufe, 4 Kommentare

Nachdem ich IPSec hinter der Firewall auf zwei Windows Domänenrechnern erfolgreich getestet habe, wagte ich mich auf eine Dateifreigabe von der DMZ auf einen Windows 2003 Server innerhalb der Domäne zuzugreifen. Bisher vergeblich ...

Hallo Welt

Folgendes Szenario:

Ich betreue einen virtuellen VM-Ware Windows 2003 Server in der DMZ. Dieser Server müsste sich von einem weiteren Windows2003 Server in regelmässigen Abständen Textdateien einlesen und wieder abspeichern. (konkret: Laboranfragen und Laborresultate abspeichern)

Gemäss unseren Firewalladmins wurden der Port 500 und das ESP-Protokoll freigeschaltet, was für IPSec anscheinend ein Muss ist.

Ich bin nicht so der IPSec - Hirsch, aber ich habe hingekriegt, dass beide Rechner mit einem vordefiniertem Schlüssel über das IPSec Protokoll unterhalten. Folgendes wurde im "Event Viewer" eingetragen:


IKE security association established.
Mode:
Data Protection Mode (Quick Mode)

Peer Identity:

Filter:
Source IP Address 130..x.x.x
Source IP Address Mask 255.255.255.255
Destination IP Address 130..x.x.x
Destination IP Address Mask 255.255.255.255
Protocol 0
Source Port 0
Destination Port 0
IKE Local Addr 130.x.x.x
IKE Peer Addr 130..x.x.x
IKE Source Port 500
IKE Destination Port 500
Peer Private Addr

Parameters:
ESP Algorithm None
HMAC Algorithm None
AH Algorithm None
Encapsulation None
InboundSpi 4154220618 (0xf79c604a)
OutBoundSpi 0 (0x0)
Lifetime (sec) 28800
Lifetime (kb) 0
QM delta time (sec) 3
Total delta time (sec) 3


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


Aber weshalb kann ich nicht auf \\Servername\Freigabe zugreifen?
Liegt es daran, das mein Rechner in einer Domäne liegt und die Sicherheitsrichtlinien den Zugriff verweigern?

HEELP! weiss von Euch jemand Rat? Danke im voraus für Eure Antworten.

Gruss Patrick
Mitglied: aqui
02.09.2008 um 15:35 Uhr
Du musst in der Tat:
  • UDP 500 (IKE)
  • UDP 4500 (NAT Traversal)
  • ESP (IP Protokoll Nummer 50, Achtung NICHT TCP oder UDP 50 !!)

freigeben. Achtung: Das funktioniert nur wenn du IPsec im ESP Modus auch wirklich nutzt. IM IPsec AH Modus ist ein Port Forwarding technisch nicht möglich (Man in the Middle Attack!)
Du musst also sicherstellen, das du auch den ESP Modus nutzt und nicht irgendwas anderes !

Wenn der IPsec Tunnel sauber aufgebaut wird bist du schon mal auf der sicheren Seite ! Ein Ping des Geräts auf der anderen Seite und vice versa sollte in jedem Falle möglich sein, sonst brauchst du erstmal nicht weiterzusuchen.
Pingen muss klappen !!
Bedenke das du ggf. die lokale Firewall der Rechner customizen musst da du jetzt mit einem IP Fremdnetz zugreifst was normalerweise geblockt ist !!

Das Domänen Sicherheitsrichtlinien usw. netsprechen eingestellt sind um eine Zugriff zu erlauben setzen wir hier mal voraus !
Bitte warten ..
Mitglied: didge4u
03.09.2008 um 09:28 Uhr
Hallo
Besten Dank schon mal.
Leider habe ich keine Berechtigung auf der Firewall "rumzuschrauben". Das macht das ganze kompliziert. Anscheinend sind alle nötigen Ports offen (gemäss den Angaben der Security).

Ich muss nachfragen, ob der Port 4500 wirklich offen ist.


Gruss Patrick
Bitte warten ..
Mitglied: aqui
03.09.2008 um 12:19 Uhr
Anscheinen d.... klingt nicht gut !! Du solltest es da mit Lenin halten: "Vertrauen ist gut, Kontrolle ist besser...!" ; gerade in diesem Bereich und wenn du dich auf jemand anderes verlassen musst. Ohne das du selber die Firewall kontrollierst ist das ein Lotteriespiel oder du musst es eben mit einem Paketsniffer checken !

Du kannst ja sonst ganz einfach mal einen PC mit [http:
www.wireshark.org/ Wireshark] oder dem MS [http:
www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&displaylang=en Net-Monitor] dazwischenhängen und prüfen ob dort IKE UPD 500 und ESP Pakete durchkommen.
Dann bist du wenigstens ganz sicher ob die Firewall richtig funktioniert oder doch noch blockt... Kontollieren ist alles
Bitte warten ..
Mitglied: didge4u
22.09.2008 um 15:07 Uhr
Yess! Endlich geschafft! Mann war das eine Zangengeburt .... Ich konnte mit einem kompetenten Securitymenschen das ganze nochmals durchexerzieren.

Das "greppen" der Firewalllogs ergab, dass der Port 51 auch gesperrt war. ich hatte bei der Konfiguration den Authentification Header eingeschaltet. Das braucht es wirklich nicht (das sei schon fast paranoid).


Gruss Patrick
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows 2012 Server - Dateifreigabe - Zugriff
gelöst Frage von FuryStageWindows Server7 Kommentare

Hallo zusammen, ich habe momentan einen Windows 2012 Server im Einsatz, und habe dort eine Freigabe laufen für "Jeden". ...

Router & Routing
Zugriff auf pfsense mit IPsec im WLAN
Frage von maddigRouter & Routing1 Kommentar

Guten Abend, Ich habe mal wieder eine verständnis Frage. Angenommen ich bin mit meinen iPhone in einem Fremden WLAN. ...

Windows Server
Dateifreigabe plötzlich weg
Frage von windows10Windows Server7 Kommentare

Hallo Forum Auf unserem Server 2008 SP2 ist plötzlich die Dateifreigabe weg das heisst weder via unc noch mit ...

Rechtliche Fragen
Dateifreigaben regeln
Frage von Thor01Rechtliche Fragen8 Kommentare

Hallo, wie regelt ihr eure Dateifreigaben? Wie läuft es bei euch ab wenn euer Chef zu euch kommt und ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 14 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 17 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 17 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 21 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...