Toon posts:

inkijk in domein ....

Pagina: 1
Acties:

dinsdag 16 februari 2016 20:51

Acties:
  • 0 Henk 'm!

Anoniem: 373683

Topicstarter
Hoi, ik ben even helemaal het spoor bijster. Wat is er aan de hand:
Ik heb een fysieke Windows 2008R2 server met twee netwerkadapters. Eentje (domain discovery turned off ) bedient het domein met een aantal werkstations en de tweede is via een FritZ! router verbonden met internet. Windows fungeert als DHCP server voor de werkstations. Er is sprake van 2 gescheiden subnetten.
Op werkstations die internettoegang nodig hebben is het adres van de server als gateway ingesteld. De routering loopt via RASS –NAT. Op de router is portforwarding ingesteld voor VPN en mail.
Tot zover geen probleem.
Echter, de Fritz! router fungeert ook als DHCP server en internettoegang voor een thuisnetwerkje. Met een prive-PC, en enkele andere devices.
Mijn probleem is nu dat er iets open staat wat voor mijn gevoel niet open hoort. Ik kan namelijk op de prive-PC ( werkgroeplid ) het domein benaderen. Gewoon via de verkenner. Weliswaar met credentials maar toch.
Welke stommiteit heb ik begaan ?

dinsdag 16 februari 2016 21:49

Acties:
  • 0 Henk 'm!
  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 20:56

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Toevallig dezelfde IP reeks? 192.168.1.x? Firewall in/uitgeschakeld?

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

dinsdag 16 februari 2016 22:31

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Op de tweede adapter moet je Client for Microsoft Networks en File and Printer Sharing for Microsoft Networks allebei uitschakelen

QnJhaGlld2FoaWV3YQ==

woensdag 17 februari 2016 08:49

Acties:
  • 0 Henk 'm!

Anoniem: 373683

Topicstarter
Outerspace: Nee, niet de zelfde IP reeks ( gescheiden subnetten). Verschillende settings firewall geven geen effect.

Brah....: Op de tweede adapter heb ik de services die jij noemde uitgevinkt. Geen effect. Vanaf die prive-PC pingen naar het domeinsubnet gaat niet. ( gelukkig !) Intikken \\servernaam in de adresbalk van explorer geeft direct repons. ( \\ "IPadresvandeserver" geeft geen respons ) Kennelijk speelt DNS een rol.

woensdag 17 februari 2016 10:46

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Anoniem: 373683 schreef op woensdag 17 februari 2016 @ 08:49:
...Op de tweede adapter heb ik de services die jij noemde uitgevinkt. Geen effect. Vanaf die prive-PC pingen naar het domeinsubnet gaat niet. ( gelukkig !) Intikken \\servernaam in de adresbalk van explorer geeft direct repons. ( \\ "IPadresvandeserver" geeft geen respons ) Kennelijk speelt DNS een rol.
Doe dan eens 
nslookup <servernaam>
want dit doet vermoeden dat er toch verkeer naar het private subnet mogelijk is

QnJhaGlld2FoaWV3YQ==

woensdag 17 februari 2016 11:04

Acties:
  • 0 Henk 'm!

Anoniem: 373683

Topicstarter
prive PC: cmd >> nslookup <servernaam> geeft:
Server: fritz.box
adress: fysiekadres

naam: <servernaam>.fritz.box
adresses: fysieke adressen (IPv4+IPv6)
gevolgd door: IP adres van de 2 e adapter

woensdag 17 februari 2016 13:21

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Euh, sorry, maar wat bedoel je met fysieke adressen?

QnJhaGlld2FoaWV3YQ==

woensdag 17 februari 2016 13:43

Acties:
  • 0 Henk 'm!
  • elleP
  • Registratie: Januari 2001
  • Laatst online: 18-07 13:31

elleP

Zou je hier gebeten kunnen worden door ipv6? Dus dat je het domein onbewust via ipv6 benaderd die zich niet achter een nat kan verstoppen?

elleP

woensdag 17 februari 2016 13:46

Acties:
  • 0 Henk 'm!

Anoniem: 373683

Topicstarter
het mac adres. Nslookup geeft als respons eerst het mac adres en daarna het IP adres.

woensdag 17 februari 2016 13:56

Acties:
  • 0 Henk 'm!
  • ArCadE
  • Registratie: Januari 2000
  • Laatst online: 14-07 09:33

ArCadE

No banana available

Hoe staan je DNS instellingen? Verwijzen het Domein en het thuisnetwerk misschien naar dezelfde DNS server?

woensdag 17 februari 2016 14:13

Acties:
  • 0 Henk 'm!

Anoniem: 373683

Topicstarter
Ik heb zojuist IPv6 uitgeschakeld. Probleem blijft. Ik kan gewoon via die adapter aankloppen bij het domein vanaf een pc dat niet lid is van het domein.
intikken in adresbalk : \\<servernaam> volstaat. Windows Server2008R2 reageert met het aanbieden van een inlogscherm. Tik ik een username en ww. in dan zijn alle shares toegankelijk.
De server verschijnt dan ook linksonder als een item in het netwerk.
Normaal gesproken kan een pc dat niet lid is van het domein wel contact maken met de server om gegevens uit te wisselen. ( bv. aanmeldprocedure bij het domein) . Maar dan moet die PC wel in het zelfde subnet hangen toch ? Waar zit het gat ?

woensdag 17 februari 2016 14:19

Acties:
  • 0 Henk 'm!
  • SkiFan
  • Registratie: Juli 2001
  • Laatst online: 22:17

SkiFan

RPC open staan? Knal poort 139 meen ik eens dicht naar internet.

Jurist in zijn vrije tijd, IT'er van beroep.

woensdag 17 februari 2016 14:20

Acties:
  • 0 Henk 'm!
  • joeri681
  • Registratie: April 2014
  • Laatst online: 18-07 13:43

joeri681

Ik zou in je server even naar je openstaande TCP/UDP poorten kijken waarschijnlijk staat er eentje onbedoeld open?

woensdag 17 februari 2016 15:30

Acties:
  • 0 Henk 'm!

Anoniem: 373683

Topicstarter
RPC Poort 135 even geblokkeerd voor alle verkeer. Geen effect. Alle andere poorten zijn voor zover ik kan nagaan voor intern (domein)verkeer en services.

woensdag 17 februari 2016 16:07

Acties:
  • 0 Henk 'm!
  • ArCadE
  • Registratie: Januari 2000
  • Laatst online: 14-07 09:33

ArCadE

No banana available

Ik denk dat je het op de Fritz moet zoeken. Beide subnetten zijn daar bekend, dus daar zal je 2 vLANs moeten configureren en dan routing tussen die 2 uitzetten.

woensdag 17 februari 2016 16:48

Acties:
  • 0 Henk 'm!

Anoniem: 373683

Topicstarter
ArCadE , misschien heb je gelijk, maar dan nog zit ik met de vraag: Is dit verschijnsel normaal ?
Microsoft timmert immers altijd met grof geweld het eigen domein dicht.

In feite stel jij voor om een soort extra firewall te bouwen. Dat kan toch nooit de bedoeling zijn?

Ik ben nog steeds bang dat ik ergens een enorme blunder gemaakt heb en onbewust een achterdeur op een kier heb staan.

woensdag 17 februari 2016 19:54

Acties:
  • 0 Henk 'm!
  • mgizmo
  • Registratie: Januari 2009
  • Laatst online: 00:40

mgizmo

Teken het eens uit (laag 2 + 3 van het osi model), want waarschijnlijk mis je inderdaad iets in je denkwijze.

woensdag 17 februari 2016 20:55

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Anoniem: 373683 schreef op woensdag 17 februari 2016 @ 13:46:
het mac adres. Nslookup geeft als respons eerst het mac adres en daarna het IP adres.
Dat zie je verkeerd. Ik vermoed dat je het IPv6-adres bedoeld.
Ziet het er zo uit?
C:\Users\Brahiewahiewa>nslookup t110
Server:     t110.brahiewahiewa.dyndns.org
Address:    2001:x:y:z:f788:27de:99da:2d0d

Name:       t110.brahiewahiewa.dyndns.org
Addresses:  2001:x:y:z:f788:27de:99da:2d0d
            192.168.1.110

Je resolved ook het IPv6 adres en omdat je RRAS hebt ingeschakeld, routeert je server IPv6 van de ene nic naar de andere (en terug). 't Zal wel een aardig klusje worden om dat uit de routing tabellen te krijgen

QnJhaGlld2FoaWV3YQ==

donderdag 18 februari 2016 00:56

Acties:
  • 0 Henk 'm!
  • ArCadE
  • Registratie: Januari 2000
  • Laatst online: 14-07 09:33

ArCadE

No banana available

of gewoon ipv6 uitzetten. kijken wat er dan gebeurt..

donderdag 18 februari 2016 00:58

Acties:
  • 0 Henk 'm!
  • ArCadE
  • Registratie: Januari 2000
  • Laatst online: 14-07 09:33

ArCadE

No banana available

Anoniem: 373683 schreef op woensdag 17 februari 2016 @ 16:48:
ArCadE , misschien heb je gelijk, maar dan nog zit ik met de vraag: Is dit verschijnsel normaal ?
Microsoft timmert immers altijd met grof geweld het eigen domein dicht.
....
Dit klopt gedeeltelijk. Als de fritz als dns server dient voor beide netwerken dan kan ik het me voorstellen dat het op naam te benaderen is.

Bekijk idd eens je RRAS instellingen of daar iets open staat wat je niet wilt.

vrijdag 26 februari 2016 21:51

Acties:
  • +1 Henk 'm!

Anoniem: 373683

Topicstarter
Brahiewahiewa, ArCadE en alle anderen: Probleem is opgelost.. Het was inderdaad zeer stom van mij .....
Ik wist het , ik had er eerder over gelezen , maar toch ................

Het probleem zit hem in het oude brakke Netbios over TCP/IP. Ik heb de (internet) netwerkaart een handmatig IP adres gegeven en dus stond dit protocol aangevinkt.

Even voor de diegene die het niet snel kunnen vinden:
rechtsklik de netwerkverbinding / klik op eigenschappen / selecteer internetprotocol Versie4 (TCP IPv4) /
klik eigenschappen / klik geavanceerd / klik op tabblad WINS / klik op disable netbios over TCP/IP. Uitschakelen dus die hap.

Nadat ik deze nachtelijke ingeving getest heb ( geen toegang meer via een gedeelde router tot een domein ) heb ik met behulp van de juiste trefwoorden wat gestruind op het internet.

Ik bleek dus niet de enige met dit probleem. Een leerzame link vind je hier: http://www.faughnan.com/netbios.html

Ok, het leek mij nuttig deze oplossing hier te plaatsen om (natuurlijk) jullie te laten weten dat het opgelost is maar ook om anderen die wellicht later hetzelfde probleem onderkennen een oplossing te bieden.

Groet en nogmaals bedankt voor het meedenken.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq