ネットワーク経由で MS サービスに接続できない

tag-icon tag-icon windows network-share
ネットワーク経由で MS サービスに接続できない

つまり、Sonicwall IKE VPN 経由で接続された 2 つのオフィスがあります。

  • 本社は10.42.0.0/16です
  • リモートは10.63.0.0/16です

本社の Windows 7 Pro ボックス 10.42.3.203 には MS ファイル共有があり、リモート オフィスのマシンはそれにアクセスする必要があります。両方のファイアウォールには、2 つのネットワーク間のトラフィックに対して「any to any」ルールが設定されており、トラフィックに適用される拒否ルールはありません。

以下は、リモート オフィスの誰かが HQ の共有にアクセスしようとしたときの tshark トランスクリプトです。これを実行しているマシンは、HQ ファイアウォールの背後にあるミラー化されたアップリンク ポートをリッスンします。

414.411940   10.63.3.39 -> 10.42.3.203  TCP 66 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.518100   10.63.3.39 -> 10.42.3.203  TCP 66 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.519325   10.63.3.39 -> 10.42.3.203  TCP 66 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
417.429670   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
418.516965   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
418.516969   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
423.421594   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=65535 Len=
424.525998   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
424.526002   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
436.553750   10.63.3.39 -> 10.42.3.203  NBNS 92 Name query NBSTAT *<00><00><00><00><00><00><00><00><00><00><00><00>
436.554051  10.42.3.203 -> 10.63.3.39   NBNS 217 Name query response NBSTAT
436.603070   10.63.3.39 -> 10.42.3.203  TCP 66 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
439.614949   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
445.600591   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
457.620875   10.63.3.39 -> 10.42.3.203  TCP 66 55734 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
457.621149  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.159020   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.159258  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.689704   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.690002  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.725494   10.63.3.39 -> 10.42.3.203  TCP 66 55736 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
458.725696  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.260930   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.261180  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.795362   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.795640  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

応答する NBNS クエリまでのパケットを無視しているように見えますが、その後は他のパケットを交互に無視するか、RST します。

また、ping は一方方向には機能するが、もう一方方向には機能しないという面白いことも起こります。

 29.683073  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=36/9216, ttl=128
 29.688421   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=36/9216, ttl=128
 30.758418  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=37/9472, ttl=128
 30.764715   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=37/9472, ttl=128
 31.759546  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=38/9728, ttl=128
 31.764583   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=38/9728, ttl=128
 32.760653  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=39/9984, ttl=128
 32.766173   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=39/9984, ttl=128
 45.221105   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4217/30992, ttl=128
 49.749227   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4218/31248, ttl=128
 54.747578   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4219/31504, ttl=128
 59.754256   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4220/31760, ttl=128

このマシンでは Windows ファイアウォールが有効になっていませんが、HQ 内のすべてのマシンは問題なくアクセスできます。ネットワーク内の別の場所に Samba サーバーがあり、これもすべてのオフィスから問題なく動作します。これらの Windows マシンは、サブネット上にないものからのトラフィックを単に拒否しているようです。

免責事項: 私は、Windows 7 ボックスでサブネット化やファイル共有の実行を選択しませんでした。どちらも私が登場する前のものであり、現時点では変更できません。それぞれが愚かで悪いものであることは承知していますが、どうかそれらを無視してください。ありがとうございます。

答え1

あなたはもちろんWindowsファイアウォール(および他のファイアウォールがある場合はすべて)は正しく設定されていますか?オフになっているとおっしゃっていますが、それ自体はよくありません。全てインターフェイスについては、Win 7 PC の Windows ファイアウォール コントロール パネル画面のスクリーンショットを投稿してください。

Windows ファイアウォールは、デフォルトでローカル サブネットの外部からのファイル共有要求をブロックします (ping はファイル共有プロトコルと見なされます...)。問題はまさにこれか、ルーティングの問題のようです (ただし、ping が逆方向に動作していることから、これはありそうにありません)。

サブネットのみの設定の存在とその変更方法は、Windows ファイアウォールの設定では特に明らかではありません。コントロール パネルから、または wf.msc を直接実行して詳細設定に移動し、[スコープ] タブのすべての受信ファイルとプリンターの共有ルールが「ローカル サブネット」に制限されていないことを確認する必要があります。

関連情報