Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Probleme mit Gruppenrichtlinie und Router

Mitglied: emis80
Hallo,

ich habe diese Frage schon im IPCOP Forum gestellt, konnte mir aber niemand was wirklich nützliches zu sagen, deshalb hier nochmal:

Config:
IPCOP Router mit drei Netzwerkkarten, Rot, Grün, Blau
Win XP SP2 Clients in Blau
W2003 Server in Grün

folgendes Problem:

Gruppenrichtlinien werden nicht auf dem Client in Blau ausgeführt, sobald der Client in Grün ist wird die Gruppenrichtlinie ausgeführt.
Alles andere funktioniert, alle Ports geschaltet, Freigaben funktionieren, Firewall Log ist sauber bis auf ICMP vom Client zum Server.
Habe in beiden Netzen gesnifft, der einzige Unterschied bei der Anmeldung ist tatsächlich, das in Grün ein Ping vom Client nicht in der Firewall hängenbleibt, sondern vom Server beantwortet wird, woraufhin die Gruppenrichtlinie übertragen wird. In Blau klappt das mit dem Ping logischer weise nicht, aber kann das denn das Problem sein ???

folgende Config:
über DMZ Pinholes für die Clients (jede IP extra) geöffnete Ports von Blau nach Grün:

53 UDP/TCP
67 U
80 T
88 U
135 T
137 U
138 U
139 T
389 T
445 T

laut Microsoft Infoblättchen sind das alle Ports, die gebraucht werden für ADS und Domänen, und wie gesagt, das Firewall LOG ist bis auf ICMP sauber.

Jemand ne Idee ?


Dirk

Content-Key: 6086

Url: https://administrator.de/contentid/6086

Ausgedruckt am: 19.09.2021 um 19:09 Uhr

Mitglied: fritzo
fritzo 25.01.2005 um 23:09:44 Uhr
Goto Top
Hi,

Deine Vermutung ist korrekt. Vor der Übermittlung von Profile und Policies wird ein ping gesendet, um die Netzwerkgeschwindigkeit zwischen Client und Server zu bestimmen. Wenn dieser nicht durchgeht, hat sich's mit Gruppenrichtlinien und dem Rest. Laß ICMP 8 mal zu und prüf dann nochmal.

Wollt Ihr pings explizit blocken oder ist das jetzt Zufall? Wenn Ihr NetBT aufschaltet, könnt Ihr ping problemlos auch zulassen, das schadet nicht.

Grüße,
fritzo
Mitglied: emis80
emis80 26.01.2005 um 09:50:52 Uhr
Goto Top
Hallo Fritzo,

beim IPCOP handelt es sich um einen Linux Router mit Firewall, das Blaue Netz bedient von der Grundkonfig her ein WLan und ist deshalb gegenüber dem Grünen Netz, in dem sich das kabelgebundene Netz befindet, komplett abgeschottet, nur Internetzugriff (Rotes Netz) ist möglich. Deshalb muß ich für jeden Rechner alle Ports von Blau nach Grün explizit freischalten, auch ICMP ist standardmäßig gesperrt. Das kann man aber nicht so einfach freischalten, dafür muß man die firewall Konfiguration manuell editieren und ich wollte wissen, ob der Aufwand lohnt, ist aber dann wohl so.
Danke für die schnelle ANtwort,

Dirk
Mitglied: Plominski
Plominski 21.02.2005 um 10:16:52 Uhr
Goto Top
grüße

kleine OFF-Topic frage.

hat dein Blaues sowie Grünes LAN die selbe Netmask?

GREEN: "192.168.0.x/255.255.255.0"
BLUE: "192.168.0.x/255.255.255.0"

hatte erst vor kurzem mal einen Win2003 Server in die DMZ der IPCop gestellt und dabei auch verschiedene Netzklassen gewählt...

GREEN: "192.168.0.x/255.255.255.0"
DMZ: "10.0.0.x/255.0.0.0"

Microsofts Datenblätterchen meinten das ein Domänenbetritt erst garnicht in ein anderes (Klassen)Netzwerk funktioniert. z.b "C->A"

vielleicht lag es doch nur an der mangelden Ping Fähigkeit vom Server -> DMZ -> GREEN -> (zum) Client?

MFG Daniel
Mitglied: emis80
emis80 21.02.2005 um 10:26:59 Uhr
Goto Top
Hallo,

es lag daran, das kein ping von blau nach grün durchgelassen wurde.
zwei simple firewallregeln in der rc.local haben das problem beseitigt.

Dirk
Heiß diskutierte Beiträge
question
Optimale Konfig Synology ISCSI 10GBit an Windows Server gelöst meltersVor 23 StundenFrageSAN, NAS, DAS12 Kommentare

Hallo zusammen, an einem Synology Storage habe ich einen Speicherpool, Raid 6 mit 100 TB erstellt. Die 100 TB sollen als ein Gesamtvolume an einem ...

question
LAN Verkabelung, DNS Fehler 651 und anderesSabineGVor 11 StundenFrageServer6 Kommentare

Ich habe seit 1.5 Jahren Problem mit dem Internet. Provider ist A1 (Österreich), ewige Geschichte, inzwischen 700 EUR weiter und keiner kann mir helfen. Modemtausch ...

question
Installation als Standardbenutzer oder als AdministratorUserUWVor 17 StundenFrageWindows Installation4 Kommentare

Ist die Benutzerkontensteuerung aktiviert, kann auch ein Standardbenutzer Software installieren. Das Installationsprogramm, oder genauer, UAC fragt den Benutzer dann nach einem Administrator und dem Passwort ...

question
OpnSense Unbound DNS Query Forwardingit-fraggleVor 1 TagFrageDNS3 Kommentare

Hallo zusammen, bin gerade dabei die Endian Firewall gegen eine OPNSense auszutauschen. Nun habe ich das Problem, dass bei Unbound DNS Query Forwarding keine "verünftigen" ...

question
Scheduled Tasks mit MSA ausführenFestus94Vor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, ich hoffe, ihr habt ein ruhiges Wochenende. :-) Ich sitze seit ein paar Tagen vor einem Problem, bei dem ich vermutlich einfach den ...

question
Suche CPU-Tabelle als CSV oder XLS gelöst SarekHLVor 6 StundenFrageCPU, RAM, Mainboards8 Kommentare

Hallo zusammen, kennt jemand eine Tabelle möglichst aller 64Bit-PC- und Notebook-Prozessoren im CSV-, ODS oder XLS/XLSX-Format mit Bezeichnung, Anzahl der Kerne, Geschwindigkeit und vielleicht sogar ...

question
Active Directory NTDS - Settings werden nicht automatisch generiertBombadilVor 22 StundenFrageWindows Server5 Kommentare

Hallo Community :), dies ist mein erster Beitrag bzw. die erste Frage, also nur vorab so zur Info. Mein "Problem" ist aufgetaucht im Zuge des ...

tip
Clonezilla kann Image von Samba-Share nicht mountenthe-buccaneerVor 21 StundenTippLinux

Moinsen allerseits! Ich hatte ein Clonezilla-Image in einen Share /images kopiert und diesen freigegeben um ein Restore zu machen. Allerdings wollte Clonezilla das Image nicht ...