und wieder bin ich weiter gekommen - aber dennoch wieder ein paar KLeinigkeiten, die die Profis hier wahrscheinlich müde lächelnd beantworten können.
Von der Aufgabenstellung her (siehe auch Thread http://www.lancom-forum.de/aktuelle-lan ... 14903.html).
Also die Struktur:
- 2 Standorte ("HOME" und "OFFICE")
- jeweils nur Win7 Arbeitsgruppen
- zertifikatsbasierter Tunnel ist eingerichtet und läuft auch
- NETBIOS Routing ist an....ich seh auf jeder Seite alle Teilnehmer der Arbeitsgruppen (LANCOMs sind jeweils die WINS Server)
- auf beiden Seiten Firewall mit DENY ALL Strategie
Aufgabenstellung:
- "HOME" soll auf alles in "OFFICE" zugreifen können
- nur einige Arbeitsstationen aus "OFFICE" sollen auf einige Arbeitsstationen in "HOME" zugreifen können
Hinsichtlich der Zugriffe hätte ich das jetzt in der Firewall ganz naiv so eingestellt:
a) in der Firewall "HOME"
Gar nichts geändert, da ja nichts beschränkt werden soll.
b) in der Firewall "OFFICE"
- die automatische FW Regel fürs VPN die der Wizard erstellt hat deaktivieren
- neue Regel die im Quell- und Zielnetz jeweils die IPs hat die möglich sein sollen
- in der neuen Regel den Haken bei "wird für VPN Regel herangezogen"
Nun hab ich aber im Ref Handbuch der LCOS 9.10 folgenden Satz gelesen (https://www.lancom-systems.de/docs/LCOS ... 46199.html) :
Heißt dieser Satz, dass das garnicht geht wie ich das haben will oder was will mir der Autor sagen ?Anmerkung: Die Quell- und Zielnetze müssen auf beiden Seiten der VPN-Verbindung übereinstimmend definiert werden. Es ist z. B. nicht möglich, einen größeren Ziel-Adressbereich auf einen kleineren Quell-Adressbereich auf der Gegenseite abzubilden. Maßgebend sind dabei die in den VPN-Regeln gültigen IP-Adressbereiche, nicht die in den Firewall-Regeln eingetragenen Netze. Diese können aufgrund der Schnittmengenbildung durchaus von den Netzbeziehungen in den VPN-Regeln abweichen.
Je nach Bedarf kann die VPN-Verbindung zusätzlich auf bestimmte Dienste oder Protokolle eingeschränkt werden. So kann die VPN-Verbindung z. B. nur auf die Nutzung für ein Windows-Netzwerk reduziert werden.
Und der zweite:
Soll ich also den Haken für das was ich vorhabe lieber rausnehmen ? Sofern es überhaupt möglich ist was ich vorhabe.Anmerkung: Verwenden Sie für diese Einschränkungen eigene Regeln, die nur für die Firewall gelten und nicht zur Erzeugung von VPN-Regeln herangezogen werden. Kombinierte Firewall/VPN-Regeln können sehr leicht komplex und schwer überschaubar werden.
Nun zum zweiten Thema: NetBIOS
Grundsätzlich bin ich etwas hinsichtlich der Begriffe unsicher.
Ist in der "LANCOM-Sprache" NetBIOS-Modul und NetBIOS-Proxy das selbe?
In den folgenden Links wird das aus meiner Sicht äquivalent verwendet.
Also, hinsichtlich des NETBIOS hab ich auch im Ref Handbuch gestöbert:
Unter (https://www.lancom-systems.de/docs/LCOS ... 46183.html) heißt es
Wie oben beschrieben ist der LANCOM jeweils der WINS Server.Sind jedoch bei einer Standortkopplung in beiden Netzwerken eigene WINS-Server vorhanden, dann sollte das NetBIOS-Modul deaktiviert werden, so dass das Gerät keine NetBIOS-Proxy-Funktionen mehr ausführt.
Muss ich dann den Haken rausnehmen?
Der Grund, dass ich den Proxy aktiviert habe war, dass ich dafür gewappnet sein möchte, wenn ich mal weitere Subnetze aufziehe damit sich dann eben die Rechner gegenseitig sehen.
Oder hab ich da nen Denkfehler?
Vor allem hat mich an folgender Fundstelle (https://www.lancom-systems.de/docs/LCOS ... 42811.html) etwas verunsichert:
Erster NBNS IP-Adresse des NetBIOS-Nameservers, an den NBNS-Anfragen weitergeleitet werden sollen. Mögliche Werte:
Gültige IP-Adresse
Default: 0.0.0.0
Besondere Werte:
0.0.0.0: Die IP-Adresse des Geräts in diesem Netzwerk wird als NBNS-Server übermittelt, wenn der NetBIOS-Proxy für dieses Netzwerk aktiviert ist. Ist der NetBIOS-Proxy für dieses
Netzwerk nicht aktiv, so wird die IP-Adresse aus den globalen TCP/IP-Einstellungen als NBNS-Server übermittelt.
in Verbindung mit )https://www.lancom-systems.de/docs/LCOS ... 42675.html)
Öhm das widerspricht sich doch....erste Fundstelle gibt die Router-IP als WINS nur weiter wenn der Proxy deaktiviert ist, in der anderen wird die Router-IP Adresse weitergegeben, wenn der DNS aktiviert ist.Ist bei den entsprechenden Feldern kein Server angegeben, so gibt der Router seine eigene IP-Adresse in diesem Netzwerk als DNS- bzw. NBNS-Adresse weiter, wenn der DNS-Server für dieses Netzwerk aktiviert ist. Ist der DNS-Server für dieses Netzwerk nicht aktiv, so wird die IP-Adresse aus den globalen TCP/IP-Einstellungen als DNS-Server übermittelt.
Oder versteh ich hier was falsch?
Ich dachte WINS im LANCOM wird dadurch aktiviert, dass ich den Haken bei "namen von NetBIOS Stationen auflösen" in den DNS Einstellungen reinmache und der NetBIOS Proxy wird in den Einstellungen des NetBIOS aktiviert.
Ich bin verwirrt
Was würde denn passieren, wenn ich - trotz WINS Server im jeweiligen LANCOM - den NetBIOS Proxy anlasse.....
Die andere Sache ist die Frage, wie ich verhindern kann, dass in einem Rechner jeweils die komplette Netzwerkumgebung sichtbar ist.
"Gießkannenprinzip" : einfach NETBIOS-Routing aus ?
Oder kann ich das auch asymmetrisch machen und sagen "HOME" bekommt von "OFFICE" die Info, aber umgehert nicht ?
Sorry wenns mal wieder sehr speziell ist.
Ich wäre für jeden Hinweis dankbar.
Sven
Ne Spaß, will keine Spuren hinterlassen.