netbios über VPN bzw. ADS-Probleme

[achim]

Ich bekomme bei einer neuen Site-to-Site-Verbindung zwischen zwei Securepoint keine Anmeldung mehr in der ADS hin:

Site A:
Netz: 192.168.100.0 /24
PDC: 192.168.100.1 (DNS-Server für Site B)
Gateway: 192.168.100.254 (Securepoint)

Site B:
Netz: 192.168.175.0 /24
Client (z.B.):
IP: 192.168.175.100 /24
DNS: 192.168.100.1
Gateway: 192.168.175.1 (Securepoint)
DHCP-Server: 192.168.175.1

Will ich nun mit einem Client von Site B an der ADS von Site A anmelden, kommt die Fehlermeldung:

"kann keine Verbindung mit Domäne 123.local herstellen" (sinngemäß)

Da die DNS-Einstellungen korrekt sind (und auch eine Namensauflösung, Reverselookup funktionieren) fällt mir nur noch der Microsoft-Mist (Netbios etc.) ein.

Auf die Logeinträge der Securepoints möchte ich mich nicht verlassen, wobei ich der Meinung bin, bereits broadcasts gesehen zu haben, die gedropt wurden... (momentan ist leider kein PC in Site B an, kann daher die logs momentan nicht genauer auswerten)

Bei anderen Firewalls lässt sich meistens das Zulassen der Netbios-Broadcasts über den VPN-Tunnel aktivieren.

Kann mir jemand mit ner Regel oder nem anderen Tipp weiterhelfen?

Danke
Achim

PS: die client-PCs sind bereits in der Domäne registriert (daher existiert also auch das domain-suffix)

[carsten]

Hallo,

ich denke nicht das es Sinn macht Brodcasts in andere Netze zu forwarden. Ich glaube auch nicht das es daran liegt. Die Authetifizierung geschieht in der Regel über TCP Port 389 (ldap).

[achim]

da ich aber auf beiden seiten folgende regeln angelegt habe

Lan-Site-B -> LAN-Site-A any allow
LAN-Site-A -> LAN-Site-B any allow

und das Hide-Nat natürlich durch den Tunnel deaktiviert ist, müsste port 389 durchgehen.
(Ich habe bisher keine Log-Einträge über 389 tcp gesehen.)

[carsten]

Es muss ja nicht die FW sein!

Ein tcpdump auf beiden FWs die den Port 389 sowie 53 belauschen wären ganz hilfreich.