An die VPN/Netzwerk Profis

LouCypher · 02.12.2003, 10:14

Hab mein heimnetz mit dem firmennetz via vpn verbunden (firma: symantec vpn appliance, daheim zyxel zywall 10) auf beide router leiten netbios broadcasts durchs vpn. Daheim hab ich als dns server den firmenserver angegeben.
Firma=Domäne, Daheim=Arbeitsgruppe

Von der firma aus, kann ich meine geräte daheim in der netzwerkumgebung sehen, und sie auch über netbiosnamen pingen und auf sie zugreifen.

Vom daheim sehe ich zwar die firmendomäne in der nw umgebung kann aber nicht zugreifen. Zugriff über netbios namen funzt auch nicht, nur über FQDN's.

Es läuft kein wins server, aber wieso kann ich dennoch von der firma auf meinen rechner daheim via \\rechner zugreifen, aber von daheim auf irgendwelche firmenrechner nur via \\rechner.firma.local???

spunz · 02.12.2003, 11:08

in der suchreihenfolge auch "firma.local" eingetragen?

MANX · 02.12.2003, 11:48

Hi!

Du kannst Dich ja mal auf die Suche nach dem "Domain Master Browser" in der Domain bzw. Workgroup machen. Unter Linux mit "nmblookup -M DOMAIN/WORKGROUP" bzw. sollte es für Windows ein ResKit Tool browmon.exe geben.

Vielleicht bringt das ja Einblicke.

Grüße

Manx

LouCypher · 02.12.2003, 12:27

firma.local ist nicht eingetragen, nur wieso gehts in eine richtung aber nicht in die andere?

Masterbrowser in der Firma ist der DC
Masterbrowser daheim ist ein lokaler pc
Das commando unter windows ist übrigens:
browstat status

Ich vermute mal dass das netbios passthrough im zyxel nicht ganz ausgereift ist. Schliesslich hat das vpn auch erst mit der neuesten firmware stabil funktioniert, mit der älteren hat er alle 2 std ein zusätzliches vpn aufgebaut ohne das alte zu trennen.

Eine andere frage: Wenn ich daheim nur die dns server vom provider eingeb kann ich keinen firmenpc per dns namen ansprechen. Klar.

Wenn ich nur die dns server von der firma eingeb kann ich sie ansprechen. Auch Klar.

Jetzt hätte ich aber gern einen dns vom provider und einen von der firma, falls das vpn mal nicht funktioniert, aber sobald ich das tu kann ich die pc namen in der domäne nicht mehr auflösen. Ich dacht immer wenn man mehr dns server einträgt wird zuerst der erste gefragt und wenn der den namen nicht auflösen kann, wird der nächste gefragt usw. ???? Hierbei ist es egal ob es man den firmen dns als ersten oder 2. server einträgt, sobald ein nicht firmen dns irgendwo in der liste steht ist aus mit der namensauflösung der firma.local domäne.

spunz · 02.12.2003, 12:47

kannst du bei dem vpn client nicht den dns extra eintragen? das ist ja im prinzip ne eigene nw verbindung? trag mal firma.local in der suchreihenfolge ein.

dns 1 läuft => der erste wird gefragt, kennt die addresse nicht => fragt überstehenden root server => kennst auch nicht => meldet unbekannte adresse

dns 1 ausgefallen => der erste dns antwortet nicht => es wird der 2. dns verwendet

LouCypher · 02.12.2003, 13:08

der vpn client ist eine zyxel zywall, einen eigenen dns für die vpn verbindung kann ich nicht eintragen.

d.h. der 2. dns wird nur dann gefragt wenn der erste nicht antwortet, und nicht wenn der erste die antwort nicht kennt?

MANX · 02.12.2003, 13:25

Hi!

o.k, bin grad selber am testen.
Ich hab einen VPN-Zugang zu einem entfernten LAN mit Windows 2003 Server.
Allerdings ein host-2-net VPN. Client Windows2000 => VPN-Server Linux FreeS/WAN

Die eine Seite Workgroup, die andere, Domain.
Keine Ahnung ob in der Domain ein WINS läuft, aber normalerweise kann ich die Rechner nur per IP ansprechen.
Mal schnell den PDC als NS engetragen und ich erreiche die Rechner per FQDN.
Den PDC als WINS eingetragen UND ich erreiche die Rechner per hostname, allerdings geht die Netzwerkumgebung noch nicht, mal schauen.
Siehst Du die fremde Domain?

Manx

MANX · 02.12.2003, 13:32

[edit] Kommando zurück mit dem WINS, da muss sich was im Cache eingeschlichen haben

mal weitertesten.

Manx

LouCypher · 02.12.2003, 13:46

Beim mir gibts kein wins

Ich kann auf beiden standorten die arbeitsgruppe und die domäne in der netzwerkumgebung sehen. Allerdings ich von der firma in der domäne (eh klar) und in der arbeitsgruppe rumbrowsen. Von daheim kann ich nur in der arbeitsgruppe browsen, nicht in der domäne.

Ausserdem kann ich von der firma (OHNE WINS) die pcs in der arbeitsgruppe daheim mit dem netbios namen ansprechen. Von daheim kann ich die pcs in der firma nur durch ip oder fqdn ansprechen.

WINS ist in diesem setup eigentlich nicht nötig, weil bei den paar pcs netbios broadcasts erstens kein ernsthaftes performance problem darstellen und 2. die router netbios broadcasts ja durchlassen, bzw. durchlassen sollten.

Ich vermute daher das die zyxel firmware dran schuld ist, weil wenn ich so ein vpn mit 2 symantec vpn appliances aufbaue kann ich von beiden standorten browsen.

MANX · 02.12.2003, 14:33

Hi!

Gibt's WINS überhaupt noch bei einem 2003 Server? Hab auf die schnelle nix gefunden, außer ein gestartetes "TCP/IP Hilfsprogramm für NETBIOS" in den Diensten.

Komisch finde ich nur, dass ja IMHO Broadcasts die Subnetgrenzen nicht überschreiten.
Oder ist das ein spezielles Feature der Router, oder i bin zbled

Grüße

Manx

02.12.2003, 10:14	#1
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	An die VPN/Netzwerk Profis Hab mein heimnetz mit dem firmennetz via vpn verbunden (firma: symantec vpn appliance, daheim zyxel zywall 10) auf beide router leiten netbios broadcasts durchs vpn. Daheim hab ich als dns server den firmenserver angegeben. Firma=Domäne, Daheim=Arbeitsgruppe Von der firma aus, kann ich meine geräte daheim in der netzwerkumgebung sehen, und sie auch über netbiosnamen pingen und auf sie zugreifen. Vom daheim sehe ich zwar die firmendomäne in der nw umgebung kann aber nicht zugreifen. Zugriff über netbios namen funzt auch nicht, nur über FQDN's. Es läuft kein wins server, aber wieso kann ich dennoch von der firma auf meinen rechner daheim via \\rechner zugreifen, aber von daheim auf irgendwelche firmenrechner nur via \\rechner.firma.local??? ____________________________________ Greetings LouCypher

02.12.2003, 11:48	#3
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Du kannst Dich ja mal auf die Suche nach dem "Domain Master Browser" in der Domain bzw. Workgroup machen. Unter Linux mit "nmblookup -M DOMAIN/WORKGROUP" bzw. sollte es für Windows ein ResKit Tool browmon.exe geben. Vielleicht bringt das ja Einblicke. Grüße Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

02.12.2003, 12:27	#4
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	firma.local ist nicht eingetragen, nur wieso gehts in eine richtung aber nicht in die andere? Masterbrowser in der Firma ist der DC Masterbrowser daheim ist ein lokaler pc Das commando unter windows ist übrigens: browstat status Ich vermute mal dass das netbios passthrough im zyxel nicht ganz ausgereift ist. Schliesslich hat das vpn auch erst mit der neuesten firmware stabil funktioniert, mit der älteren hat er alle 2 std ein zusätzliches vpn aufgebaut ohne das alte zu trennen. Eine andere frage: Wenn ich daheim nur die dns server vom provider eingeb kann ich keinen firmenpc per dns namen ansprechen. Klar. Wenn ich nur die dns server von der firma eingeb kann ich sie ansprechen. Auch Klar. Jetzt hätte ich aber gern einen dns vom provider und einen von der firma, falls das vpn mal nicht funktioniert, aber sobald ich das tu kann ich die pc namen in der domäne nicht mehr auflösen. Ich dacht immer wenn man mehr dns server einträgt wird zuerst der erste gefragt und wenn der den namen nicht auflösen kann, wird der nächste gefragt usw. ???? Hierbei ist es egal ob es man den firmen dns als ersten oder 2. server einträgt, sobald ein nicht firmen dns irgendwo in der liste steht ist aus mit der namensauflösung der firma.local domäne. ____________________________________ Greetings LouCypher

02.12.2003, 13:08	#6
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	der vpn client ist eine zyxel zywall, einen eigenen dns für die vpn verbindung kann ich nicht eintragen. d.h. der 2. dns wird nur dann gefragt wenn der erste nicht antwortet, und nicht wenn der erste die antwort nicht kennt? ____________________________________ Greetings LouCypher

02.12.2003, 13:25	#7
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! o.k, bin grad selber am testen. Ich hab einen VPN-Zugang zu einem entfernten LAN mit Windows 2003 Server. Allerdings ein host-2-net VPN. Client Windows2000 => VPN-Server Linux FreeS/WAN Die eine Seite Workgroup, die andere, Domain. Keine Ahnung ob in der Domain ein WINS läuft, aber normalerweise kann ich die Rechner nur per IP ansprechen. Mal schnell den PDC als NS engetragen und ich erreiche die Rechner per FQDN. Den PDC als WINS eingetragen UND ich erreiche die Rechner per hostname, allerdings geht die Netzwerkumgebung noch nicht, mal schauen. Siehst Du die fremde Domain? Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

02.12.2003, 11:08	#2
spunz Super-Moderator Registriert seit: 22.03.2000 Beiträge: 9.666	in der suchreihenfolge auch "firma.local" eingetragen?

02.12.2003, 12:47	#5
spunz Super-Moderator Registriert seit: 22.03.2000 Beiträge: 9.666	kannst du bei dem vpn client nicht den dns extra eintragen? das ist ja im prinzip ne eigene nw verbindung? trag mal firma.local in der suchreihenfolge ein. dns 1 läuft => der erste wird gefragt, kennt die addresse nicht => fragt überstehenden root server => kennst auch nicht => meldet unbekannte adresse dns 1 ausgefallen => der erste dns antwortet nicht => es wird der 2. dns verwendet

02.12.2003, 13:32	#8
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	[edit] Kommando zurück mit dem WINS, da muss sich was im Cache eingeschlichen haben mal weitertesten. Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

02.12.2003, 13:46	#9
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Beim mir gibts kein wins Ich kann auf beiden standorten die arbeitsgruppe und die domäne in der netzwerkumgebung sehen. Allerdings ich von der firma in der domäne (eh klar) und in der arbeitsgruppe rumbrowsen. Von daheim kann ich nur in der arbeitsgruppe browsen, nicht in der domäne. Ausserdem kann ich von der firma (OHNE WINS) die pcs in der arbeitsgruppe daheim mit dem netbios namen ansprechen. Von daheim kann ich die pcs in der firma nur durch ip oder fqdn ansprechen. WINS ist in diesem setup eigentlich nicht nötig, weil bei den paar pcs netbios broadcasts erstens kein ernsthaftes performance problem darstellen und 2. die router netbios broadcasts ja durchlassen, bzw. durchlassen sollten. Ich vermute daher das die zyxel firmware dran schuld ist, weil wenn ich so ein vpn mit 2 symantec vpn appliances aufbaue kann ich von beiden standorten browsen. ____________________________________ Greetings LouCypher

02.12.2003, 14:33	#10
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Gibt's WINS überhaupt noch bei einem 2003 Server? Hab auf die schnelle nix gefunden, außer ein gestartetes "TCP/IP Hilfsprogramm für NETBIOS" in den Diensten. Komisch finde ich nur, dass ja IMHO Broadcasts die Subnetgrenzen nicht überschreiten. Oder ist das ein spezielles Feature der Router, oder i bin zbled Grüße Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)