Keine ICMP Replys mit NAT unter Windows 2003 Server SR2

22/11/2007 - 11:01 von Andreas Stützle | Report spam
Hallo allerseits,

hier mal folgendes Szenario, ich hoffe ihr kapiert das:

Client -Server-RS232-Modem
| |
|
172.16.1.1 172.16.1.2 |
171.16.1.40(NAT)
|
192.168.1.2(PPP)
192.168.1.1(PPP)


Vom Server wird eine PPP-Verbindung per RS232 zum Modem aufgebaut. Der
Server erhàlt dann auf dem PPP-Interface die 192.168.1.2, das Modem die
192.168.1.1
Vom Client aus soll nun per Telnet auf die 192.168.1.1 zugegriffen werden.
Dabei wird die Anfrage vom Client an die 172.16.1.40 gestellt, diese IP wird
auf die 192.168.1.1 mit Hilfe des Routing und RAS Dienstes auf dem Server
genat'ed. Das funktioniert soweit gut.
Allerdings wird ICMP nicht genat'ed oder was auch immer. Bei einer Anfrage
an die 172.16.1.40 kommt kein Ping Reply zurück. wobei ein Telnet auf die
172.16.1.40 wie oben beschrieben funktioniert und man auf die 192.168.1.1
weitergeleitet wird.

Im Routing und RAS Dienst kann man zwar ICMP Einstellungen vornehmen, doch
diese bewirken gar nix in diesem Fall.

Gibt es noch irgendwo einen Punkt, den ich übersehen habe, oder liegt es an
Windows, das allgemein bei NAT ICMP Pakete gedropped werden ?

Vielen Dank für die Hilfe
Grüsse
Andreas
 

Lesen sie die antworten

#1 Thomas Wildgruber
22/11/2007 - 21:10 | Warnen spam
On Thu, 22 Nov 2007 02:01:02 -0800, Andreas Stützle wrote:

hier mal folgendes Szenario, ich hoffe ihr kapiert das:



Nicht wirklich aber es würde helfen, wenn du an deinem NUA eine Schrift mit
fester Breite einstellen würdest (Courier z.B), dann würde dein ASCII Art
nicht so zerpflückt daher kommen.

Im Routing und RAS Dienst kann man zwar ICMP Einstellungen vornehmen, doch
diese bewirken gar nix in diesem Fall.



Einen Paketsniffer (z.B. wireshark[1]) installieren und schauen wo es hakt.

Gibt es noch irgendwo einen Punkt, den ich übersehen habe, oder liegt es an
Windows, das allgemein bei NAT ICMP Pakete gedropped werden ?



Ich kenne das Windows NAT jetzt nicht live aber wenn es das macht, was NAT
machen soll, dann wird ICMP da nicht /einfach so/ gedropped. Sicher kann
man das irgendwo einstellen aber im Prinzip merkt sich das NAT Device in
seiner NAT Table jede Verbindung und kann natürlich auch ICMP wieder
korrekt zuordnen. Sonst könnte ja niemand mit Windows NAT Devices
irgendeinen Server im Internet anpingen...

...wobei das aber vielleicht ja schon Schàubles erster Release Patch für
seine Stasi V2.0 Software sein könnte. Gings vor dem letztem Windows Update
noch? SCNR ;-)

Anyway, ich kann mir aber irgendein Portforwarding vorstellen, was Port 23
(Telnet) auf das Modem weiterleitet. Wenn der Port 23 dann der einzige ist,
dann kommt auch kein Ping zurück. Kann aber auch sein, dass ein Paranoider
den Echo Reply irgendwo abgestellt hat. Oder vieles mehr...

Telnet arbeitet auf einer höheren Schicht als ICMP, wenn Telnet also
funktioniert, sollte es Ping auch. Es sein denn, dies wurde irgendwo
explizit unterdrückt oder schlicht und ergreifend einfach eine passende
Filter/Routing Regel vergessen oder per Design der speziellen Verbindung
nur dieser eine Port geroutet wird. Wenn ich z.B. eine RDP Session durch
SSH tunnle, höre ich von meinem Ping auch nichts mehr aber RDP kommt
durch... Klar - ist ja auch so eingestellt ;-)

Also Gründe gàbs demnach wohl viele

Bye Tom
"Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)

Ähnliche fragen