Netzwerkerkennung über VPN-Verbindungen ausschalten bzw. deaktivieren
Moin beisammen,
ich habe folgendes Anliegen:
Zwei Standorte sind über eine VPN-Verbindung zweier Draytek-Router
miteinander verbunden. Alles läuft super.
Was mich stört: Da die eine Seite nur auf bestimmte Geräte zugreifen
soll und gar nicht durch das "Entdecken" von Geräten auf der anderen Seite
in Versuchung geführt werden soll, sich damit zu verbinden (z.B. Drucker),
möchte ich die gegenseitige Netzwerkerkennung deaktivieren, bzw.
am liebsten auf das "eigene" Subnetz einschränken.
Ist das bei VPN-Verbindungen möglich und wie mache ich das
gegebenenfalls. ICh habe jetzt versucht, intensiv zu googeln, habe aber
nur Themen gefunden, die meinen Wunsch überhaupt nicht berühren.
Was nicht gewünscht ist: Auschalten der Netzwerkerkennung generell,
das wäre im Prinzip ist mit Kanonen auf Spatzen geschossen.
Die "Kür" wäre es, die gegenseitige Netzwerkerkennung nur einseitig
deaktivieren zu können, also Geräte des ersten Subnetzes sehen die Geräte des anderen,
umgekehrt aber nicht.
Kann mir jemand helfen oder einen Tipp geben? ÜBer
Hilfe würde ich mich freuene und wäre sehr dankbar.
Vielen Dank für Eure Mühe.
Gruß
Kay
ich habe folgendes Anliegen:
Zwei Standorte sind über eine VPN-Verbindung zweier Draytek-Router
miteinander verbunden. Alles läuft super.
Was mich stört: Da die eine Seite nur auf bestimmte Geräte zugreifen
soll und gar nicht durch das "Entdecken" von Geräten auf der anderen Seite
in Versuchung geführt werden soll, sich damit zu verbinden (z.B. Drucker),
möchte ich die gegenseitige Netzwerkerkennung deaktivieren, bzw.
am liebsten auf das "eigene" Subnetz einschränken.
Ist das bei VPN-Verbindungen möglich und wie mache ich das
gegebenenfalls. ICh habe jetzt versucht, intensiv zu googeln, habe aber
nur Themen gefunden, die meinen Wunsch überhaupt nicht berühren.
Was nicht gewünscht ist: Auschalten der Netzwerkerkennung generell,
das wäre im Prinzip ist mit Kanonen auf Spatzen geschossen.
Die "Kür" wäre es, die gegenseitige Netzwerkerkennung nur einseitig
deaktivieren zu können, also Geräte des ersten Subnetzes sehen die Geräte des anderen,
umgekehrt aber nicht.
Kann mir jemand helfen oder einen Tipp geben? ÜBer
Hilfe würde ich mich freuene und wäre sehr dankbar.
Vielen Dank für Eure Mühe.
Gruß
Kay
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258595
Url: https://administrator.de/contentid/258595
Ausgedruckt am: 19.11.2024 um 17:11 Uhr
7 Kommentare
Neuester Kommentar
Leider bleibst du recht oberflächlich bei deiner Beschreibung was genau du mit "Netzwerkerkennung" meinst ?! Wenigstens unter Winblows gibt es dafür ja mehrere mögliche Definitionen ?!
Die Erkennenung ohne AD bzw. DNS klappt so oder so nicht, denn deine VPN Verbindung ist eine geroutete Verbindung und wie jeder netzwerker weiss werden naming Broadcasts auf UDP Basis per Definition im TCP/IP nicht über geroutete Verbindungen geforwardet.
Anders sieht das mit normalem DNS aus in einer AD. Dort kann man wenigstens mit Namen arbeiten aber automatisch funktioniert das auch nicht.
Eigentlich hat man so schon einen Mindestschutz.
Fragt sich aber immer nich was du nun wirklich genau damit meinst ?!
Die Erkennenung ohne AD bzw. DNS klappt so oder so nicht, denn deine VPN Verbindung ist eine geroutete Verbindung und wie jeder netzwerker weiss werden naming Broadcasts auf UDP Basis per Definition im TCP/IP nicht über geroutete Verbindungen geforwardet.
Anders sieht das mit normalem DNS aus in einer AD. Dort kann man wenigstens mit Namen arbeiten aber automatisch funktioniert das auch nicht.
Eigentlich hat man so schon einen Mindestschutz.
Fragt sich aber immer nich was du nun wirklich genau damit meinst ?!
Hallo Kay,
das Verhalten der Netzwerkerkennung kannst du in der lokalen Security-Policy secpol.msc festlegen:
http://www.eightforums.com/tutorials/9837-network-location-set-private- ...
Unter dem Link die Optionen drei oder vier.
Grüße Uwe
das Verhalten der Netzwerkerkennung kannst du in der lokalen Security-Policy secpol.msc festlegen:
http://www.eightforums.com/tutorials/9837-network-location-set-private- ...
Unter dem Link die Optionen drei oder vier.
Grüße Uwe
Zitat von @KLinnebank:
Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
unter anderem, Primär werden die Firewall-Einstellungen des Clients damit entweder restriktiver(public) oder eben weniger restriktiv(private) eingestellt. Das beinhaltet hauptsächlich die Datei- und Druckerfreigabe bzw. die Ports 139 und 445 und die Aktivierung von ICMP. Defaultmässig sind diese aber auf das eigene Subnetz beschränkt, somit ist eine Auflösumg von anderen Rechnern in fremden Subnetzen zusätzlich ausgeschlossen. Ihr müsst somit also schon an den Einstellungen geschraubt haben...Über die Privat/Public-Einstellung kann ich wohl (bitte
korrigieren, wenn ich mich irre) nur einstellen ob "ich"
- also mein Rechner und dessen Geräte/ Freigaben -
im gesamten Netzwerk, mit dem ich verbunden bin,
sichtbar bin oder nicht.
Also nochmal: die von Windows sogenannte Netzwerkerkennung dient primär dazu ein Netz als privat oder öffentlich einzustufen und anhand dieser Information die Firewall anzupassen. Sie hat nichts mit dem ermitteln von anderen Rechnern zu tun, welche nur stattfinden kann wenn sich Rechner im eigenen Subnetz befinden oder beide Netze eine gemeinsame Broadcast-Domain bilden, was in deinem obigen Beispiel nicht der Fall ist!
Mir fehlt da aber wohl das grundsätzliche Wissen wie und
über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Die Netzwerkerkennung fragt den Benutzer ob ein Netz als Public oder Private klassifiziert werden soll, wenn es in den Verbindungseigenschaften ein default Gateway findet das es selber noch nicht kennt (Windows speichert die Gateways der entsprechenden Netze anhand Ihrer MAC-Adresse.über welche Mechanismen z.B. Ports die Netzwerkerkenunng
arbeitet. Ggf. kann ich über die Frewall entsprechende Ports
innerhalb der VPN-Verdung (weiß gar nicht ob das geht, habs noch nie versucht)
sperren.
Die Clients beider Netze sollen sich jeweils intern
gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Wie schon von @aqui erwähnt findet über geroutete Netze keine Broadcast-Auflösung statt. Entweder du blockst auf den Firewalls der VPN-Router ICMP und die Ports 139 und 445 oder machst das auf den Clients in der Windows-Firewall, so dass nur Subnetzinterne Clients zugreifen dürfen, was normalerweise standardmäßig der Fall ist, trotzdem auf den Clients in der Firewall nochmals prüfen!gegenseitig sehen, aber eben keine Rechner des
gegenüberliegenden Netzes.
Auf folgendem Bild siehst du das du in der Firewall den Zugriff auf die Dienste (SMB/ICMP) auf Subnetze beschränken kannst:
Routing zwischen 2 Subnetzen über einen Cisco Router (1800er Series)
Grüße Uwe