Site-to-Site (SSL-VPN) Windows Domäne

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
PatrickL
Beiträge: 5
Registriert: Do 30.04.2020, 17:40

Site-to-Site (SSL-VPN) Windows Domäne

Beitrag von PatrickL »

Hi zusammen,

ich war heute beim Kunden und wollte ein Client in der Außenstelle zur Domäne in der Hauptstelle hinzufügen. Dabei habe ich auf beiden Seiten die vordefinierte Dienstgruppe "windows-domain" freigegeben, konnte aber mit dem Client nicht joinen (RPC Server nicht verfügbar). DNS passt, hat mir ein netter Securepoint Supporter konfiguriert, sprich der Client kann ohne Probleme die Domäne auflösen.
Ich habe es jetzt erstmal mit einer ANY Regel gelöst (so ging alles problemlos) aber würde es gerne richtig machen.

Hat bei euch die Dienstgruppe "windows-domain" gereicht oder habt ihr sonstige Ports noch freigegebn? Problem schient wohl auch der RPC Server zu sein da dieser mit dynamischen Ports antwortet. Laut der M$ Seite kann man diesen auf einen definierten Bereich beschränken, aber bevor ich das angehe, wollte ich mal hier nachfragen.

kennethj
Beiträge: 314
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Moin,

in der Dienstgruppe fehlen ein paar Dienste.

In der Dienstgruppe sind "nur" DNS (53), LDAP (389), SMB (445), Netbios (139/tcp & 137-138/udp) und Kerberos (80) freigegeben.
Es fehlen also unter anderem die ganzen dynamischen RPC Ports. 

Der Dienstgrupe muss also noch W32Time (NTP), Port 135/tcp sowie die dynamische Portrange von 49152-65535/tcp hinzugefügt werden.


[table][tr][th][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]Client-Port (s)[/font][/th]
[th][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]Serverport[/font][/th]
[th][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]Dienst[/font][/th]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]123/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]W32Time[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]135/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]RPC-Endpunktzuordnung[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]464/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]Kerberos-Kennwortänderung[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]RPC für LSA, Sam, Netlogon (*)[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]389/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]LDAP[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]636/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]LDAP SSL[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]3268/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]LDAP-GC[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]3269/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]LDAP GC SSL[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]53, 49152-65535/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]53/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]DNS[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]FRS-RPC (*)[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]88/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]Kerberos[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP/UDP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]445/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]SMB (* *)[/font][/td]
[/tr]
[tr][td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]49152-65535/TCP[/font][/td]
[td][font="Segoe UI", SegoeUI, "Helvetica Neue", Helvetica, Arial, sans-serif]DFSR-RPC (*)[/font][/td]
[/tr]
[/table]

Quelle der Tabelle
Ganz interessant dazu ist auch dieser Artikel - da hat jemand das schön sauber aufgeschrieben und mit einer pfsense getestet

Gruß

Kenneth

Edit: in der Vorschau wird die Tabelle korrekt angezeigt - im Beitrag aber selber nicht?

PatrickL
Beiträge: 5
Registriert: Do 30.04.2020, 17:40

Beitrag von PatrickL »

Hi,

vielen Dank! Die Seite hatte ich nich gefunden. Werde ich gleich mal testen.

PatrickL
Beiträge: 5
Registriert: Do 30.04.2020, 17:40

Beitrag von PatrickL »

Hat funktioniert! :D

Antworten