8
Komische Namensauflösung von einem VLAN ins andere
Hallo,
folgendes bin ich am erstellen, wir wollen Segmentierung machen.
Dazu bin ich natürlich mit den unwichtigsten angefangen, den Azubis.
Zur Zeit gibt es ein Azubi-VLAN 85 mit 192.168.2.0/24, als Firewall nutzen wir eine Fortigate, die im Azubi LAN DHCP im IPv4 und IPv6 macht, aber als DNS die beiden Namensserver mitgibt und unsere Domain als Suffix mitgibt.
Es gibt noch ein Hausnetz in dem die Server und die Clients liegen, das soll bald getrennt werde,
Jetzt habe ich den folgenden Fehler und komme nicht weiter.
Ich habe ein Notebook (Mitglied der Domäne), sobald ich dieses in das Azubi Lan hänge, kann ich zwar web.de ansurfen, kann aber zum Beispiel nicht per RDP auf den Server srv15 oder srv15.test.local oder einen interne Webserver aufrufen.
Mache ich nslookup srv15 oder srv15.test.local bekomme ich den Namensserver wieder und sogar die IP des Servers.
Mache ich ping srv15 oder srv15.test.local kann er den Zielhost nicht finden
Zwischen den Netzen gibt es eine ALL Policie (die wird später aufgeräumt)
Nehme ich ein Notebokk, welches nicht in der Domäne ist, kann ich ins Netzwerk alles machen was ich will.
Kann mir einer Helfen??
folgendes bin ich am erstellen, wir wollen Segmentierung machen.
Dazu bin ich natürlich mit den unwichtigsten angefangen, den Azubis.
Zur Zeit gibt es ein Azubi-VLAN 85 mit 192.168.2.0/24, als Firewall nutzen wir eine Fortigate, die im Azubi LAN DHCP im IPv4 und IPv6 macht, aber als DNS die beiden Namensserver mitgibt und unsere Domain als Suffix mitgibt.
Es gibt noch ein Hausnetz in dem die Server und die Clients liegen, das soll bald getrennt werde,
Jetzt habe ich den folgenden Fehler und komme nicht weiter.
Ich habe ein Notebook (Mitglied der Domäne), sobald ich dieses in das Azubi Lan hänge, kann ich zwar web.de ansurfen, kann aber zum Beispiel nicht per RDP auf den Server srv15 oder srv15.test.local oder einen interne Webserver aufrufen.
Mache ich nslookup srv15 oder srv15.test.local bekomme ich den Namensserver wieder und sogar die IP des Servers.
Mache ich ping srv15 oder srv15.test.local kann er den Zielhost nicht finden
Zwischen den Netzen gibt es eine ALL Policie (die wird später aufgeräumt)
Nehme ich ein Notebokk, welches nicht in der Domäne ist, kann ich ins Netzwerk alles machen was ich will.
Kann mir einer Helfen??
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 580186
Url: https://administrator.de/contentid/580186
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
die Azubis als Pilot zu verwenden finde ich auch eine sehr gute Idee.
Windows bevorzugt IPv6-DNS-Server vor IPv6-DNS-Server, während nslookup IPv4-DNS-Server bevorzugt.
Werden unter "ipconfig /all" IPv6-DNS-Server aufgelistet und wenn ja, sind diese über Port 53/UDPv6 zu erreichen?
Einen blick durch Wireshark kann durchaus auch das Mysterium lösen.
Viele Grüße
Marco
die Azubis als Pilot zu verwenden finde ich auch eine sehr gute Idee.
Windows bevorzugt IPv6-DNS-Server vor IPv6-DNS-Server, während nslookup IPv4-DNS-Server bevorzugt.
Werden unter "ipconfig /all" IPv6-DNS-Server aufgelistet und wenn ja, sind diese über Port 53/UDPv6 zu erreichen?
Einen blick durch Wireshark kann durchaus auch das Mysterium lösen.
Viele Grüße
Marco
IPv6 ist eine ANY-REGEL in das andere Netzwerk erstelllt.
nslookup funktioniert auch und zeigt auch v6 adressen
Dann wurde ich auf jeden Fall mal mit Wireshark drauf schauen.
Einfach als Filter "dns" eingeben und mal versuchen einen Server anzupingen.
Grüße Marco
Einfach als Filter "dns" eingeben und mal versuchen einen Server anzupingen.
Grüße Marco
Hallo,
Was sagt dein Router der die vLANs routed?
Wireshark hilft auch hier...
Gruß,
Peter
Was sagt dein Router der die vLANs routed?
Wireshark hilft auch hier...
Gruß,
Peter
Moin,
Mal vorsichtig gefragt:
Wie ist denn die Firewall am Zielserver definiert: per se blockt die Windows-eigene ja alles, was nicht aus dem selben Netz kommt..
Das passt zwar nicht zu deiner Aussage, dass ein Notebook ohne Domain-Zugehörigkeit normal agieren kann. Aber prüfe dennoch die Windows-Firewall.
Gruß
em-pie
Zitat von @Finchen961988:
Mache ich nslookup srv15 oder srv15.test.local bekomme ich den Namensserver wieder und sogar die IP des Servers.
Mache ich ping srv15 oder srv15.test.local kann er den Zielhost nicht finden
Mache ich nslookup srv15 oder srv15.test.local bekomme ich den Namensserver wieder und sogar die IP des Servers.
Mache ich ping srv15 oder srv15.test.local kann er den Zielhost nicht finden
Mal vorsichtig gefragt:
Wie ist denn die Firewall am Zielserver definiert: per se blockt die Windows-eigene ja alles, was nicht aus dem selben Netz kommt..
Das passt zwar nicht zu deiner Aussage, dass ein Notebook ohne Domain-Zugehörigkeit normal agieren kann. Aber prüfe dennoch die Windows-Firewall.
Gruß
em-pie
Hallo,
was für IPv6 Addressen nutzt ihr denn? Und kann der Router sowie die Clients und Server damit umgehen? Link-Local Adressen fe80:: werden nicht geroutet.
ICMPv4 und ICMPv6 braucht auch jeweils eigene Firewallregeln.
Grüße
lcer
was für IPv6 Addressen nutzt ihr denn? Und kann der Router sowie die Clients und Server damit umgehen? Link-Local Adressen fe80:: werden nicht geroutet.
ICMPv4 und ICMPv6 braucht auch jeweils eigene Firewallregeln.
Grüße
lcer
So,
ich glaube ich habe den Fehler,
ein Notebook ohne Domäne kann alles machen was es soll.
Ein Notebook aus Domäne hatte den Fehler mit der Namensauflösung in das andere Netz, allerdings ist mir nicht dabei aufgefallen, dass dieses Notebook DirectAccess hat, bei meinen Test habe ich ein Notebook aus der Domäne genommen, welches keine DirectAccess hat und siehe da es geht.
Mich hat nur die ganze Zeit gestört, dass ich auf Firewall im Sniffer die Pakete nachverfolgen konnte und das die Pakete den richtigen Weg genommen haben, ich aber auf dem Notebook(mit DirectAccess) im Wireshark keine Anwort gesehen habe.
ich glaube ich habe den Fehler,
ein Notebook ohne Domäne kann alles machen was es soll.
Ein Notebook aus Domäne hatte den Fehler mit der Namensauflösung in das andere Netz, allerdings ist mir nicht dabei aufgefallen, dass dieses Notebook DirectAccess hat, bei meinen Test habe ich ein Notebook aus der Domäne genommen, welches keine DirectAccess hat und siehe da es geht.
Mich hat nur die ganze Zeit gestört, dass ich auf Firewall im Sniffer die Pakete nachverfolgen konnte und das die Pakete den richtigen Weg genommen haben, ich aber auf dem Notebook(mit DirectAccess) im Wireshark keine Anwort gesehen habe.
