Ich bekomme bei einer neuen Site-to-Site-Verbindung zwischen zwei Securepoint keine Anmeldung mehr in der ADS hin:
Site A:
Netz: 192.168.100.0 /24
PDC: 192.168.100.1 (DNS-Server für Site B)
Gateway: 192.168.100.254 (Securepoint)
Site B:
Netz: 192.168.175.0 /24
Client (z.B.):
IP: 192.168.175.100 /24
DNS: 192.168.100.1
Gateway: 192.168.175.1 (Securepoint)
DHCP-Server: 192.168.175.1
Will ich nun mit einem Client von Site B an der ADS von Site A anmelden, kommt die Fehlermeldung:
"kann keine Verbindung mit Domäne 123.local herstellen" (sinngemäß)
Da die DNS-Einstellungen korrekt sind (und auch eine Namensauflösung, Reverselookup funktionieren) fällt mir nur noch der Microsoft-Mist (Netbios etc.) ein.
Auf die Logeinträge der Securepoints möchte ich mich nicht verlassen, wobei ich der Meinung bin, bereits broadcasts gesehen zu haben, die gedropt wurden... (momentan ist leider kein PC in Site B an, kann daher die logs momentan nicht genauer auswerten)
Bei anderen Firewalls lässt sich meistens das Zulassen der Netbios-Broadcasts über den VPN-Tunnel aktivieren.
Kann mir jemand mit ner Regel oder nem anderen Tipp weiterhelfen?
Danke
Achim
PS: die client-PCs sind bereits in der Domäne registriert (daher existiert also auch das domain-suffix)
netbios über VPN bzw. ADS-Probleme
Moderator: Securepoint
netbios über VPN bzw. ADS-Probleme
Zuletzt geändert von achim am Do 04.06.2009, 14:56, insgesamt 1-mal geändert.
Hallo,
ich denke nicht das es Sinn macht Brodcasts in andere Netze zu forwarden. Ich glaube auch nicht das es daran liegt. Die Authetifizierung geschieht in der Regel über TCP Port 389 (ldap).
ich denke nicht das es Sinn macht Brodcasts in andere Netze zu forwarden. Ich glaube auch nicht das es daran liegt. Die Authetifizierung geschieht in der Regel über TCP Port 389 (ldap).
There are 10 types of people in the world... those who understand binary and those who don\'t.
da ich aber auf beiden seiten folgende regeln angelegt habe
Lan-Site-B -> LAN-Site-A any allow
LAN-Site-A -> LAN-Site-B any allow
und das Hide-Nat natürlich durch den Tunnel deaktiviert ist, müsste port 389 durchgehen.
(Ich habe bisher keine Log-Einträge über 389 tcp gesehen.)
Lan-Site-B -> LAN-Site-A any allow
LAN-Site-A -> LAN-Site-B any allow
und das Hide-Nat natürlich durch den Tunnel deaktiviert ist, müsste port 389 durchgehen.
(Ich habe bisher keine Log-Einträge über 389 tcp gesehen.)