Невозможно подключиться к службам MS через сети

tag-icon tag-icon windows network-share
Невозможно подключиться к службам MS через сети

Итак, у нас есть два офиса, подключенных через Sonicwall IKE VPN:

  • Главный офис — 10.42.0.0/16
  • Удалённый — 10.63.0.0/16

На компьютере с Windows 7 Pro в главном офисе есть общий файловый ресурс MS, 10.42.3.203, и машинам в удаленном офисе нужен доступ к нему. Оба брандмауэра имеют правила «разрешить любой любому» для трафика между двумя сетями и не имеют запрещающих правил, которые бы применялись к трафику.

Ниже приведена расшифровка tshark, где кто-то в удаленном офисе пытается получить доступ к общему ресурсу в HQ. Машина, на которой он работает, прослушивает зеркальный порт восходящей связи за брандмауэром HQ.

414.411940   10.63.3.39 -> 10.42.3.203  TCP 66 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.518100   10.63.3.39 -> 10.42.3.203  TCP 66 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.519325   10.63.3.39 -> 10.42.3.203  TCP 66 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
417.429670   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
418.516965   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
418.516969   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
423.421594   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=65535 Len=
424.525998   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
424.526002   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
436.553750   10.63.3.39 -> 10.42.3.203  NBNS 92 Name query NBSTAT *<00><00><00><00><00><00><00><00><00><00><00><00>
436.554051  10.42.3.203 -> 10.63.3.39   NBNS 217 Name query response NBSTAT
436.603070   10.63.3.39 -> 10.42.3.203  TCP 66 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
439.614949   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
445.600591   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
457.620875   10.63.3.39 -> 10.42.3.203  TCP 66 55734 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
457.621149  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.159020   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.159258  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.689704   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.690002  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.725494   10.63.3.39 -> 10.42.3.203  TCP 66 55736 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
458.725696  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.260930   10.63.3.39 -> 10.42.3.203  TCP 66 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.261180  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.795362   10.63.3.39 -> 10.42.3.203  TCP 62 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.795640  10.42.3.203 -> 10.63.3.39   TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Похоже, он просто игнорирует пакеты до тех пор, пока не поступит запрос NBNS, на который он ответит, а затем попеременно игнорирует или отправляет RST любые другие пакеты.

А еще есть забавная вещь, когда ping работает в одну сторону, но не в другую:

 29.683073  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=36/9216, ttl=128
 29.688421   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=36/9216, ttl=128
 30.758418  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=37/9472, ttl=128
 30.764715   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=37/9472, ttl=128
 31.759546  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=38/9728, ttl=128
 31.764583   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=38/9728, ttl=128
 32.760653  10.42.3.203 -> 10.63.3.39   ICMP 74 Echo (ping) request  id=0x0001, seq=39/9984, ttl=128
 32.766173   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) reply    id=0x0001, seq=39/9984, ttl=128
 45.221105   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4217/30992, ttl=128
 49.749227   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4218/31248, ttl=128
 54.747578   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4219/31504, ttl=128
 59.754256   10.63.3.39 -> 10.42.3.203  ICMP 74 Echo (ping) request  id=0x0001, seq=4220/31760, ttl=128

Брандмауэр Windows не включен на машине, и все машины в HQ могут получить к нему доступ. В другом месте сети есть сервер Samba, который также отлично работает из всех офисов. Как будто эти машины Windows просто отказываются от трафика от вещей, которые не находятся в их подсети.

Отказ от ответственности: я не выбирал ни подсети, ни запуск файлового ресурса на компьютере с Windows 7. Они оба опередили мое время, и я не могу изменить это в настоящее время. Я знаю, что они глупые/плохие соответственно, пожалуйста, постарайтесь не обращать на них внимания. Спасибо.

решение1

ТыконечноБрандмауэр Windows (и все остальные брандмауэры, если таковые имеются) настроены правильно? Вы говорите, что он выключен, однако это довольно плохая идея сама по себе. Чтобы подтвердить, что он правильно выключен длявсеинтерфейсы, не могли бы вы опубликовать снимок экрана панели управления брандмауэра Windows с ПК с ОС Win 7.

Брандмауэр Windows по умолчанию блокирует запросы на обмен файлами из-за пределов локальной подсети (а ping считается протоколом обмена файлами...), и ваша проблема похожа либо на эту, либо на проблему маршрутизации (но работа ping в обратном направлении говорит о том, что это маловероятно).

Существование параметра subnet-only, а также то, как его изменить, не особенно очевидно в настройках брандмауэра Windows. Вам нужно перейти в Дополнительные параметры через панель управления или напрямую запустить wf.msc и убедиться, что все правила Inbound File and Printer Sharing на вкладке Scope не ограничены "Local subnet".

Связанный контент