[Problem] be.ip plus: Zwei separate Netzwerkbereiche mit Dateifreigabe untereinander erstellen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

F_G

Neuer User
Mitglied seit
17 Nov 2015
Beiträge
15
Punkte für Reaktionen
1
Punkte
3
Hallo
ich bin dabei eine be.ip plus (praktisch baugleich der Digitalisierungsbox Premium der Telekom) in einer Tierarztpraxis als zentrale Schnittstelle für IP und Telefon einzurichten.
Das Meiste habe ich (auch dank dieses hervorragenden Forums !) schon hinbekommen.

Jetzt stehe ich aber vor dem Problem, dass ein Rechner noch unter Win XP läuft (jaja - ich weiß: Am Besten abschalten, wegwerfen und neu kaufen...)
Da dieser Rechner ein bestimmtes Analysegerät steuert und die Software nicht für Win 7 etc. zur Verfügung steht muss der Rechner leider jetzt doch ins Netz.

(Virtuelle Maschine für XP unter Win 10 war auch eine Idee, aber der XP-Rechner hat eine Firewire-Schnittstelle, weshalb man (leider) keine virtuelle Maschine nutzen kann.)


Der Win XP PC selbst läuft problemlos, braucht keine Updates mehr, braucht kein Internet etc.
Das Ding spricht nur mit dem Analysegerät und wirft am Ende eine Datei heraus. Die soll in einer Dateifreigabe im Netz der anderen Rechner abgelegt werden.

Die ganzen Workshops von bintec-elmeg habe ich durchgesehen, aber ein passendes Beispiel war nicht dabei.

Jetzt habe ich also am Switchport #5 des Routers ein eigenes Netz aufgebaut und dem Rechner eine statische Adresse zugewiesen.

Grundsätzliches Setup:
be.ip plus an Telekomanschluss
Router hat die interne IP 192.168.50.1 und einen DHCP Server für die "normalen" Clients laufen

WinXP Rechner hat statische IP 192.168.52.3 mit Maske 255.255.255.0 und Gateway und DNS <leer>

Physikalische Schnittstellen
Switch Port 1-4 auf en1-0
Switch Port 5 auf en1-4 (hier steckt das Kabel vom WIN XP Rechner)

LAN IP Konfiguration
br0 192.168.50.1 / 255.255.255.0 vertrauenswürdig/Proxy ARP aktiviert
en1-4 192.168.52.1/255.255.255.0 nicht vertrauenswürdig/Proxy ARP nicht aktiviert

IP-Routen Standardeinstellungen belassen:
ZielIP:192.168.50.0 Netzmaske:255.255.255.0 Gateway:192.168.50.1 Schnittstelle:BRIDGE_BR0
ZielIP:192.168.52.0 Netzmaske:255.255.255.0 Gateway:192.168.52.1 Schnittstelle:LAN_EN1-4

NAT-Schnittstellen
bei bridge_br0 und LAN_EN1-4 alles aus

Firewall Dienste Gruppen
neue Gruppe "Dateifreigabe" definiert mit netbios, UDP 139, TCP 445 (Das müssten alle benötigten Ports sein)

Firewall Richtlinien IPv4-Filterregeln
2 Neue angefügt:
LAN_EN1-4 -> BRIDGE_BR0 Dienst:"Dateifreigabe" Zugriff
BRIDGE_BR0 -> LAN_EN1-4 Dienst:"Dateifreigabe" Zugriff

Nach meinem Verständnis sollte der Zugriff jetzt möglich sein:
Unter Windows (ein PC aus dem normalen Netz mit 192.168.50.80) versuche ich jetzt auf \\192.168.52.3\MeineFreigabe zuzugreifen.
Geht aber nicht. Also stimmt was mit meinem Verständnis nicht...

Falls irgendjemand eine Idee hat was ich hier noch einstellen müsste würde ich mich über eine Antwort sehr freuen !

Danke
Frank
 
Warum ist en1-4 denn als "nicht vertrauenswürdig" eingestuft? Das ist doch in deinem Fall ein internes Netz.
 
Hallo
die Idee war, dass damit die Firewall erstmal alles dichtmacht und nur die neu definierten Regeln die Dateifreigaben wieder aufmachen.
Vielleicht brauche ich das auch nicht - ich habe testweise mal "vertrauenswürdig" eingestellt - ändert aber leider auch nichts.
Gruß
Frank
 
Lasse doch mal beide Rechner testweise im gleichen Netzwerk laufen. Denn möglicherweise liegt das Problem ganz woanders. Verträgt sich die Datenfreigabe überhaupt mit neueren Windows Versionen?
 
Hallo
Win XP Rechner auf statische Adresse 192.168.50.97 (Hauptnetz) --> Keine Änderung
Zusätzlich Kabel umstecken von Port 5 auf Port 4 (also en1-0) --> Alles läuft.

Prinzipiell funktioniert die Dateifreigabe also. Allerdings ist der Rechner jetzt wieder stärker angreifbar.

Die Idee stammt aus der c't ("Quarantäne: Windows XP im LAN absondern" in Heft 06/2014 Seite 128), die den Weg der verschiedenen Netzwerkbereiche mal als Notlösung für Win XP Rechner vorgestellt hat (allerdings auf Basis eines Servers mit zwei Netzwerkkarten und einer gemeinsamen Dateifreigabe). Müsste eigentlich auch bei der be.ip plus funktionieren - irgendwas in der Konfiguration scheint noch nicht richtig zu sein.

Wäre schade wenn das nicht gehen würde:
Das Problem beschränkt sich ja nicht auf Win XP Rechner. Mit einer solchen Abschottung von zwei Bereichen kann ich auch Abteilungen in Firmen trennen oder verschiedene Bewohner einer WG.

Vielleicht gibt's ja noch eine Idee.
Frank
 
Der Unterschied bei dem Server-Beispiel ist, das sich die Dateifreigabe im gleichen Netzsegment befindet. Das Routing zw. den Schnittstellen über die be.ip wird wohl funktionieren.
 
Verstehe ich leider nicht: In dem c't Artikel hatte der XP Rechner 192.168.2.1, der Windows PC mit den beiden Netzwerkkarten 192.168.1.1.
Das sind doch auch zwei verschiedene Netzsegmente ?

Und was meintest du mit dem "das Routing wird wohl funktionieren". Muss ich am Routing noch was anderes einstellen ?

Gruß
Frank
 
Wenn der Windows PC zwei Netzwerkkarten hat, dann werden es doch auch zwei IP-Adressen sein. Eine im Netz des XP Rechners, und die andere im Netz was mit dem Internet verbunden ist. Oder?
 
Stimmt natürlich.

Aber die be ip.plus spannt doch auch zwei Netze auf:
Einmal nennt die sich selbst 192.168.52.1
und einmal 192.168.50.1

Und der Win XP Rechner hängt auf der 52er-Linie und allen anderen auf der 50er-Linie.
Das sollte doch eigentlich das gleiche sein.

Leider kann die be.i plus ja nicht selbst Dateien freigeben (wie es der PC aus dem c't Artikel oder auch eine einfache FritzBox mit angestecktem USB-Stick kann). Ist das vielleicht das Problem ?

Falls das so nicht lösbar ist: kann man denn den WInXP Rechner ansonsten per Firewall so isolieren, dass der ausser Dateifreigaben im selben Netzsegment nichts kann ?

Danke
Frank
 
XP ist schon sehr lange her ... aber wenn ich mich richtig erinnere, gab es dort (spätestens ab SP3, aber wohl auch schon vorher) bereits eine Firewall.

Solange sich beide Rechner in verschiedenen Subnetzen befinden, solltest Du dort die entsprechenden Einstellungen noch einmal überprüfen (dazu habe ich bisher nichts gelesen).

Zu den Standardwerten bei XP weiß ich nicht mehr genug (meine letzte XP-VM ist auch schon seit mehreren Jahren tot) ... aber neuere Windows-Versionen lassen zumindest mal keine eingehenden Verbindungen zu, wenn die Quelladressen außerhalb des eigenen lokalen Netzes liegen. Das wäre zwar erst dann relevant, wenn die Analyse-Software ihrerseits die Dateien ablegen soll, aber ist die Firewall im XP ähnlich konfiguriert, kommt auch der andere PC nicht einfach durch.
 
Hallo
und danke für den Tip. Ich habe gestern probehalber beide Firewalls (XP-Rechner und ein Rechner aus dem normalen Netz) ausgeschaltet und eine gegenseitige Ordnerfreigabe versucht. Hat aber leider auch nichts gebracht.
Der XP Rechner sieht die be.ip plus sowohl unter 192.168.50.1 als auch unter 192.168.52.1 (beim ping). Sieht aber keinen anderen Rechner im 50er Netz (ping läuft ins Leere).

Ich habe jetzt den XP Rechner erstmal in das normale Netz gehängt, Gateway aus der IP-Config entfernt und ausserdem auf der statischen Adresse noch im Router eine Firewall-Richtlinie von/zum Internet eingerichtet. Ist nicht optimal, ich brauche aber eine Lösung.

Wenn noch jemand eine Idee hat, wie man Problem richtig löst, bitte posten !

Danke an Kalle2006 und PeterPawn für die Tips.
Frank
 
Antworten die anderen Rechner überhaupt auf einen Ping?
 
Ja,
die Rechner innerhalb des selben Strangs antworten: ping von 192.168.50.10 auf 192.168.50.100 funktioniert
Frank
 
Da stimmt irgendwo in der Konfiguration etwas nicht.

Der Tierarzt soll sich mal bei mir melden und mich per Teamviewer auf die Anlage schauen lassen.
 
Zuletzt bearbeitet:
Hallo nochmals
nachdem jetzt die sichere Anbindung des Win XP Rechners funktioniert nochmals für alle "Mitleser" die Lösung:
Teil 1: Danke an Kalle 2006 und PeterPawn für die Unterstützung !

Teil 2: Die Einstellungen:
Am Win XP Rechner
- Win XP Rechner auf DHCP (Änderung zu meinem 1.Post)
- LAN-Kabel direkt eingesteckt in en1-4 (die 5.LAN Buchse) an der be.ip plus

In der be.ip plus folgende Konfiguration
(das normale Netz läuft auf 192.168.50.0/24)

Für das XP Netz folgende Zusatzeinstellungen
unter LAN-IP Konfiguration
be.ip plus config für Win XP - IP Lan Schnittstellen.jpg

unter Netzwerk IP Routen
be.ip plus config für Win XP - Netzwerk Routen.jpg

Netzwerk-NAT Schnittstellen
bei en1-4 alles aus

Firewall Richtlinien
be.ip plus config für Win XP - Firewall Richtlinien.jpg

Lokale Dienste: DHCP Server
be.ip plus config für Win XP - Lokale Dienste DHCP Server.jpg


An dieser Stelle würde man meinen, dass alles funktioniert. Wüde es auch, wenn man nicht wie ich die neueste Kaspersky Internet Security 2016 Version 16.0.0.614(d) auf dem Rechner installiert hat, auf dem das Austauschverzeichnis liegt.

PeterPawn hatte in seinem Post ja auch schon die Firewall im Verdacht. Auf dem XP Rechner ist die Firewall jetzt komplett aus, auf dem Win 10 Rechner hatte ich die Firewall (in meinem Fall also den Kaspersky Schutz) mit der Funktion "Schutz anhalten" (vermeintlich) ausgeschaltet, um zu schauen, ob das Problem dann weg ist. War es nicht. Kaspersky warnte allerdings groß, dass kein Schutz mehr da sei -> daher dachte ich natürlich, dass es kein Problem mit der Firewall sein könnte...


Nach einigen Tagen Rätseln habe ich jetzt endlich die Lösung. Kaspersky hat eine Firewall mit Netzwerküberwachung (Einstellungen->Schutz->Firewall->Netzwerke). Hier stand am Anfang nur das 50er Netz als erlaubtes Netz drin.
Wenn man Kaspersky "ausschaltet", dann wird es in diesem Punkt überhaupt nicht ausgeschaltet !!! Dieser Teil der Firewall filtert weiter. Reproduzierbarer Bug.
Wenn ich zu Hause das Licht ausschalte, dann ist es auch aus. Bei Kaspersky würde es wohl noch ein Bisschen an sein...

OK, wie auch immer.
Man muss das Netz 192.168.52.0/24 als zusätzliches Netz in die Firewall aufnehmen:
Kaspersky Einstellung für Server Firewall mit VPN und X-Ray.JPG

Damit funktioniert die Dateifreigabe für den Win XP Rechner jetzt problemlos. Ins Internet kommt der nicht, die anderen Rechner im Netz kommen auch nicht auf den XP, da bei denen das zusätzliche Netz in der Firewall nicht eingetragen ist.

Und noch ein Tipp: in der o.g. Einstellung ist auch noch eine zweite Ausnahme aufgenommen. Ein Netz namens 192.168.20.0/24
Ich hatte auch versucht eine VPN Verbindung LAN-zu-LAN von der heimischen Fritzbox 6360 auf die be.ip plus einzurichten. Dazu gibt es eine tolle Anleitung wie die Konfiguration sein soll: link
Hierbei hatte ich das gleiche "Schadensbild": Verbindung funktionierte, nur die Dateifreigaben waren einfach nicht zu erreichen.
Das zusätzliche Netz ist also das Netz zu Hause (hinter der Fritzbox), das man in der be.ip plus ebenfalls als "erlaubtes" Netz einstellen muss.

Auch in diesem Fall hatte ich also das gleiche Problem mit Kaspersky's Abschaltfunktion beim Testen: bei solchen Bugs kann man lange suchen.

Ich hoffe damit einigen Anderenden geholfen zu haben.
Gruß
Frank
 

Anhänge

  • be.ip plus config für Win XP - IP Lan Schnittstellen.png
    be.ip plus config für Win XP - IP Lan Schnittstellen.png
    34.5 KB · Aufrufe: 71
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 851 (Mitglieder: 41, Gäste: 810)

Neueste Beiträge

Statistik des Forums

Themen
244,869
Beiträge
2,219,825
Mitglieder
371,588
Neuestes Mitglied
Was weißich
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück