Wir haben also zwei Büros, die über Sonicwall IKE VPN verbunden sind:
- HQ ist 10.42.0.0/16
- Remote ist 10.63.0.0/16
Auf einer Windows 7 Pro-Box in der Zentrale gibt es eine MS-Dateifreigabe (10.42.3.203), und die Rechner im Remote-Büro müssen darauf zugreifen. Beide Firewalls haben „Alles zulassen“-Regeln für den Datenverkehr zwischen den beiden Netzwerken und keine Verweigerungsregeln, die auf den Datenverkehr anwendbar wären.
Unten sehen Sie ein Tshark-Transkript von jemandem in der Außenstelle, der versucht, auf die Freigabe in der Zentrale zuzugreifen. Die Maschine, auf der es läuft, lauscht auf einem gespiegelten Uplink-Port hinter der Firewall der Zentrale.
414.411940 10.63.3.39 -> 10.42.3.203 TCP 66 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.518100 10.63.3.39 -> 10.42.3.203 TCP 66 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.519325 10.63.3.39 -> 10.42.3.203 TCP 66 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
417.429670 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
418.516965 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
418.516969 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
423.421594 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=65535 Len=
424.525998 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
424.526002 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
436.553750 10.63.3.39 -> 10.42.3.203 NBNS 92 Name query NBSTAT *<00><00><00><00><00><00><00><00><00><00><00><00>
436.554051 10.42.3.203 -> 10.63.3.39 NBNS 217 Name query response NBSTAT
436.603070 10.63.3.39 -> 10.42.3.203 TCP 66 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
439.614949 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
445.600591 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
457.620875 10.63.3.39 -> 10.42.3.203 TCP 66 55734 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
457.621149 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.159020 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.159258 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.689704 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.690002 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.725494 10.63.3.39 -> 10.42.3.203 TCP 66 55736 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
458.725696 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.260930 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.261180 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.795362 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.795640 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
Es scheint die Pakete einfach bis zur NBNS-Abfrage zu ignorieren, auf die es antwortet, und ignoriert dann abwechselnd alle anderen Pakete oder sendet ein RST.
Außerdem passiert etwas Lustiges, weil der Ping in eine Richtung funktioniert, in die andere aber nicht:
29.683073 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=36/9216, ttl=128
29.688421 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=36/9216, ttl=128
30.758418 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=37/9472, ttl=128
30.764715 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=37/9472, ttl=128
31.759546 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=38/9728, ttl=128
31.764583 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=38/9728, ttl=128
32.760653 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=39/9984, ttl=128
32.766173 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=39/9984, ttl=128
45.221105 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4217/30992, ttl=128
49.749227 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4218/31248, ttl=128
54.747578 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4219/31504, ttl=128
59.754256 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4220/31760, ttl=128
Die Windows-Firewall ist auf dem Computer nicht aktiviert und alle Computer in der Zentrale können problemlos darauf zugreifen. An anderer Stelle im Netzwerk gibt es einen Samba-Server, der von allen Büros aus ebenfalls problemlos funktioniert. Es ist, als würden diese Windows-Computer einfach den Datenverkehr von Dingen ablehnen, die sich nicht in ihrem Subnetz befinden.
Haftungsausschluss: Ich habe weder die Subnetzbildung noch die Ausführung einer Dateifreigabe auf einer Windows 7-Box gewählt. Beides ist vor meiner Zeit und ich kann es derzeit nicht ändern. Ich weiß, dass sie dumm bzw. schlecht sind, bitte versuchen Sie, darüber hinwegzusehen. Danke.
Antwort1
Bist duSicherIst die Windows-Firewall (und alle anderen Firewalls, falls vorhanden) richtig konfiguriert? Sie sagen, sie ist ausgeschaltet, aber das ist an sich schon eine ziemlich schlechte Idee. Um zu bestätigen, dass sie füralleSchnittstellen, können Sie bitte einen Screenshot des Bildschirms der Windows-Firewall-Systemsteuerung vom Win 7-PC posten.
Die Windows-Firewall blockiert standardmäßig Dateifreigabeanforderungen von außerhalb des lokalen Subnetzes (und Ping wird als Dateifreigabeprotokoll angesehen ...), und Ihr Problem klingt genau wie dieses oder nach einem Routing-Problem (aber die andersherum funktionierenden Pings lassen darauf schließen, dass dies nicht wahrscheinlich ist).
Die Existenz der Einstellung „Nur Subnetz“ sowie deren Änderung sind in den Windows-Firewall-Einstellungen nicht besonders offensichtlich. Sie müssen über die Systemsteuerung oder durch direkte Ausführung von wf.msc zu den erweiterten Einstellungen gehen und sicherstellen, dass alle Regeln für die Freigabe eingehender Dateien und Drucker unter der Registerkarte „Bereich“ nicht auf „Lokales Subnetz“ beschränkt sind.