Verzweiflung AD Domain Controller und pingbarkeit...

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3542

22.02.2017 - 23:37

Hallo,

Ich steh grad böse an.
Ich spiel mich grad ein bisschen herum und will einen AD Domaincontroller in Virtualboxen zum laufen bringen.
Hab eine Box mit PfSense, so weit so gut. WAN ist reingebridged von meinem LAN am Hostsystem und bezieht eine 192.168.x.x IP vom DHCP, LAN geht raus als 10.0.0.254.

Dann hab ich einen Windows Server2012R2 mit IP 10.0.0.11 und Gateway 10.0.0.254.
Und ein Windows 7 mit IP 10.0.0.12 und Gateway 10.0.0.254.

Beide Rechner können problemlos raus ins Internet pingen.
Der Server kann auch die .12 anpingen

ABER
Windows7 auf .12 kann 10.0.0.11 nicht pingen???
.254 lässt sich pingen.
WTF? Wo genau ist mein Denkfehler??

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

22.02.2017 - 23:45

Hostfirewall blockiert default ICMP eingehend.

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3542

22.02.2017 - 23:51

Jesusmaria, ich bin einer der dümmsten Mitteleuropäer...

Dass S2012R2 die Firewall automatisch aktiv hat, hab ich wieder nicht bedacht... Danke. :bash:

xtrm

social assassin

Registered: Jul 2002
Location:
Posts: 12096

23.02.2017 - 00:36

Puh, das ist aber bei quasi jedem "neueren" Windows OS so, egal ob Server oder nicht

.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

23.02.2017 - 08:10

Hängt vom Firewall Profil ab. Afaik ist es bei Home nicht.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12161

23.02.2017 - 08:31

vor allem das ping standardmäßig geblockt wird find ich ned ideal.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

23.02.2017 - 08:34

Ich verstehe es auch nicht unbedingt.
Afaik ist das aber im Domain Profil nicht so - hängt halt vom firewall rulest ab das gewählt wird.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19688

23.02.2017 - 13:02

Zitat von davebastard
vor allem das ping standardmäßig geblockt wird find ich ned ideal.

Für Geräte die in public domain stehen eher normal denke ich (Firewall setting für Public Network vermutlich?).

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12161

24.02.2017 - 00:58

Zitat von daisho
Für Geräte die in public domain stehen eher normal denke ich (Firewall setting für Public Network vermutlich?).

wer stellt schon einen windows server direkt ins internet

?

edit: worauf ich eigentlich hinaus will: ping ist ein essentielles diagnose tool. das dreht man normal nicht ab, vor allem weil das riskio sehr gering ist. dafür muss es schon sehr gute gründe geben. von security by obscurity halt ich nix.

Bearbeitet von davebastard am 24.02.2017, 01:05

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11236

24.02.2017 - 14:03

Zitat von davebastard
wer stellt schon einen windows server direkt ins internet ?

Wir machen sowas, ich sehe heute eigentlich kaum noch einen Unterschied zwischen "extern" und "intern"

Zitat von davebastard
edit: worauf ich eigentlich hinaus will: ping ist ein essentielles diagnose tool..

Wenn dann test-connection oder test-netconnection, "ping.exe" ist schon sehr "rudimentär".

Im Grunde sehe ich da eigentlich kein Problem, im Grunde sollte man die FW so oder so per GPO, DSC oder sonstigen Lösungen steuern und auch die Logs entsprechend überwachen. Von daher macht es durchaus Sinn auch ICMP nur dort zu aktivieren wo es "notwendig" ist.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

24.02.2017 - 14:25

bin eher ein fan von telnet auf einen port. ping ist ein schlechter test, da ich ohnehin keinen service darüber ansprechen kann. abgesehen davon können pings auch z.b. bei mehreren interfaces aufgrund von global icmp allow auf firewalls über eine andere route retourkommen.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

26.02.2017 - 21:17

eine (gute) Firewall sollte asymmetrisches Routing nicht erlauben, das geht mit IP Spoofing Schutz einher

UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3542	22.02.2017 - 23:37 Hallo, Ich steh grad böse an. Ich spiel mich grad ein bisschen herum und will einen AD Domaincontroller in Virtualboxen zum laufen bringen. Hab eine Box mit PfSense, so weit so gut. WAN ist reingebridged von meinem LAN am Hostsystem und bezieht eine 192.168.x.x IP vom DHCP, LAN geht raus als 10.0.0.254. Dann hab ich einen Windows Server2012R2 mit IP 10.0.0.11 und Gateway 10.0.0.254. Und ein Windows 7 mit IP 10.0.0.12 und Gateway 10.0.0.254. Beide Rechner können problemlos raus ins Internet pingen. Der Server kann auch die .12 anpingen ABER Windows7 auf .12 kann 10.0.0.11 nicht pingen??? .254 lässt sich pingen. WTF? Wo genau ist mein Denkfehler??
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	22.02.2017 - 23:45 Hostfirewall blockiert default ICMP eingehend.
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3542	22.02.2017 - 23:51 Jesusmaria, ich bin einer der dümmsten Mitteleuropäer... Dass S2012R2 die Firewall automatisch aktiv hat, hab ich wieder nicht bedacht... Danke.
xtrm social assassin Registered: Jul 2002 Location: Posts: 12096	23.02.2017 - 00:36 Puh, das ist aber bei quasi jedem "neueren" Windows OS so, egal ob Server oder nicht .
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	23.02.2017 - 08:10 Hängt vom Firewall Profil ab. Afaik ist es bei Home nicht.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12161	23.02.2017 - 08:31 vor allem das ping standardmäßig geblockt wird find ich ned ideal.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	23.02.2017 - 08:34 Ich verstehe es auch nicht unbedingt. Afaik ist das aber im Domain Profil nicht so - hängt halt vom firewall rulest ab das gewählt wird.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19688	23.02.2017 - 13:02 Zitat von davebastard vor allem das ping standardmäßig geblockt wird find ich ned ideal. Für Geräte die in public domain stehen eher normal denke ich (Firewall setting für Public Network vermutlich?).
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12161	24.02.2017 - 00:58 Zitat von daisho Für Geräte die in public domain stehen eher normal denke ich (Firewall setting für Public Network vermutlich?). wer stellt schon einen windows server direkt ins internet ? edit: worauf ich eigentlich hinaus will: ping ist ein essentielles diagnose tool. das dreht man normal nicht ab, vor allem weil das riskio sehr gering ist. dafür muss es schon sehr gute gründe geben. von security by obscurity halt ich nix. Bearbeitet von davebastard am 24.02.2017, 01:05
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11236	24.02.2017 - 14:03 Zitat von davebastard wer stellt schon einen windows server direkt ins internet ? Wir machen sowas, ich sehe heute eigentlich kaum noch einen Unterschied zwischen "extern" und "intern" Zitat von davebastard edit: worauf ich eigentlich hinaus will: ping ist ein essentielles diagnose tool.. Wenn dann test-connection oder test-netconnection, "ping.exe" ist schon sehr "rudimentär". Im Grunde sehe ich da eigentlich kein Problem, im Grunde sollte man die FW so oder so per GPO, DSC oder sonstigen Lösungen steuern und auch die Logs entsprechend überwachen. Von daher macht es durchaus Sinn auch ICMP nur dort zu aktivieren wo es "notwendig" ist.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	24.02.2017 - 14:25 bin eher ein fan von telnet auf einen port. ping ist ein schlechter test, da ich ohnehin keinen service darüber ansprechen kann. abgesehen davon können pings auch z.b. bei mehreren interfaces aufgrund von global icmp allow auf firewalls über eine andere route retourkommen.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	26.02.2017 - 21:17 eine (gute) Firewall sollte asymmetrisches Routing nicht erlauben, das geht mit IP Spoofing Schutz einher

Verzweiflung AD Domain Controller und pingbarkeit...

Forum Index > Software > Windows

UnleashThebeast

Smut

UnleashThebeast

xtrm

Smut

davebastard

Smut

daisho

davebastard

spunz

Smut

Neo-=IuE=-