KPF und Windows Networking, Datei-/Druckerzugriff mit Verzögerung

#0
03.11.2003, 12:39
...neu hier
Avatar XT-Matz

Beiträge: 10
#1 Hallo,

ich habe folgende Konstellation:

Netzwerk (192.168.x.x) aus vier PCs:
1xWinXP, 2xWin98, 1xWin98SE

Der Win98SE spielt Drucker-/File"server" sowie Proxy fürs Web (JanaServer).
Auf diesem und nur auf diesem habe ich KPF 2.1.5 (- ist mit 2.15 eigentlich das gleiche gemeint? -) installiert.

Microsoft Networking ist aktiviert.
Diverse Rules habe ich eingerichtet.

Vom Prinzip her klappt alles. Die Rules muss ich noch optimieren. Aber es geht um ein anderes Symptom, das ich von früher kenne, ich aber nicht mehr weiß, was ich da machen musste:

Nach dem Hochfahren des WinXP Clients dauert es nach dem ersten Zugriff (von diesem) auf eine bestimmte Netzwerkresource (Drucker oder Dateisystem) des Servers recht lange, bis eine Reaktion kommt. Erst nach vielen Sekungen (ca. 10 Sek?) läuft der Drucker an bzw. wird der Inhalt des Netzwerkordners im Explorer angezeigt (nein, HD Power Down ist es nicht). Dananch läuft alles flüssig.
Hat das vielleicht was mit der Namesauflösung (DNS) von Windows Netz-resourcen zu tun?

Wenn ich die Fireware disable, läuft alles sofort reibungslos!

Ich habe unzählbare Versuche und BootUps gebraucht und dabei noch ein paar Seiteneffekte herausgefunden:

Firewall ge-disabled -> läuft zügig ohne Delay
Firewall enabled, MS Networking aktiviert -> Delay (wie beschrieben).

Dann habe ich folgenden Test gemacht:
Ich habe das MS Networking deaktiviert und habe alle dadurch entstehenden Alert Anfragen als Rules erstmal zugelassen (einige TCP und UDPs). Ferner habe ich die nach der Installation per default eingerichtete Deny Rule für ICMP etc. auch deaktiviert. Als Ergebnis waren nur Permit Regeln definiert und KEINE einzige DENY Regel mehr(!) (Das ist wichtig, für weiter unten).

Dann der Versuch: Neuboot von Server und dem WinXP Client (damit alle Netzverbindungen auch sicher aufgetrennt sind) -> Immer noch die elende Verzögerung ;).

Dabei habe ich folgendes beobachtet:
Dass kleine System-Tray-Icon zeigt ja mit Pfeilen den Traffic an. Und rote Pfeile sind doch bestimmt aufgrund von Deny Regeln abgelehnter Verkehr - oder sehe ich das falsch.

Wenn das aber so stimmt, dann wird in meinem letzten Fall da irgendetwas abgelehnt/"deny"-t, wenn ich auf Drucker oder Filesystem des Servers zugreifen will, obwohl weder MS Networking aktiviert ist, noch irgendeine explizite Deny-Regel eingetragen ist....
Gibt es etwa implizite, nicht angegebene oder versteckte, Deny Regeln??????

Dann habe ich testhalber folgendes gemacht:
Permit Rule: alle Programme, alles, alles, alles, alle Richtungen ;-)

Damit klappt es!!!!! (Ist natürlich in der Praxis für die Katz).
Das beweist mir aber, dass ich da irgendeine unbekannte Deny Regel mit übersteuert habe, so dass der Netzzugriff ohne Verzögerung funktioniert.

---
Eigentlich habe ich nun nur eine Frage:

Was mache ich falsch, bzw. wie muss ich die KPF einrichten oder auch evtl. meinen WinXP Client einrichten, damit diese Verzögerung weg ist.

So, uff, lange Ausführung.
Ich freue mich nun sehr über eine Antwort.

Gruß
XT-Matz
Seitenanfang Seitenende
07.11.2003, 16:06
...neu hier

Themenstarter
Avatar XT-Matz

Beiträge: 10
#2 OK, joschi,

ist wohl etwas lang, also hier Kurzversion für Schnellleser:

KPF 2.1.5 auf Win98SE, MS-Networking aktiviert,
=> Erster Datei-/Druckerzugriff (von XP Client) mit Delay von ca. 30(!) Sekunden

Wenn KPF 2.1.5 deaktivert ist, dann gibt's keine Verzögerung.

Was muss ich einstellen, damit die Verzögerung beim Erstzugriff weg ist?

Gruß
XT-Matz
Seitenanfang Seitenende
07.11.2003, 18:43
Member

Beiträge: 117
#3 Kann es sein, dass Du nach all den "allow"-Rules in der "Advanced"-Abteilung die Grund-Konfiguration auf "deny unknown" gestellt hast?

Mit dem "Microsoft Networking" in der KPF habe ich auch so meine Sträusse ausgefochten.

Meine Lösung ist - wie gerade in einem anderen Thread schon beschrieben - ganz einfach, aber auf deinen Situation leider nicht übertragbar:

Ich habe das Microsoft Networking deaktiviert und für die LAN-Rechner untereinander (ausser meinem Linux-Firewall-Router) alles freigegeben. Der Firewall-Rechner dagegen darf nur mitspielen, wenn eine Internet-Verbindung gefragt ist ...

Mein Netzwerk sieht allerdings wie beschrieben auch etwas anders aus: "vorne" ein Linux-Firewall-Router (IPCop), der für die Internet-Verbindung zuständig ist und zusätzlich auf jedem PC dahinter nochmal die KPF mit einem entsprechenden Ruleset.

Du verstösst mit deiner Konfiguration einfach gegen eine elementare Regel: auf einen einigermassen sicheren Firewall-Rechner gehören keine anderen Dienste / Aufgaben.

Deshalb ist es eher schwierig, für dein Problem eine "saubere" Lösung zu finden ...


Gruss

Aahz
Seitenanfang Seitenende
10.11.2003, 13:22
...neu hier

Themenstarter
Avatar XT-Matz

Beiträge: 10
#4 Hallo Aahz,

Danke für die Antwort. Berechtigte Frage mit "Deny unknown", aber nein, ich nach abstellen des "MS-Networking" mit "ask me first" die notwendigen Regeln von Hand eintragen wollen.

Ja, Deine Konfiguration ist zugegebenermaßen deutlich sauberer als meine. Das ist aber eine andere Frage, über die es selbstverständlich lohnt, gewissenhaft drüber nachzudenken.

Das Problem ist aber ein anderes, welches möglicherweise auch auf Deine Konstellation auf die "hinteren" PCs untereinander übertragbar ist. Denken wir uns den Internetzugang an meinem Druckerserver weg, so ist zumindest mal dieser gewissenlose Punkt außen vor. Dann könnte es sich so darstellen:

2x mit Win98, 1x mit WinXP, alle (noch) ohne Firewall;
1x Win98SE mit KPF2.1.5 mit Datei und Druckerfreigabe, KPF: MS-Networking aktiv.

Wenn nun der WinXP PC auf den Win98SE PC (nennen wir ihn "Server") zugreifen will, dann dauert der erste Zugriff ca. 20..30 Sekunden, bis der Explorer den Inhalt des Netzordners anzeigt. Weitere Zugriffe gehen flott.
Wird dann eine lange Zeit (nicht gemessen, aber z.B. 30 Minuten) nicht darauf zugegriffen, dann gibt es wieder erneut eine Verzögerung beim nächsten Zugriff von 20..30 Sekunden.

Wird die KPF deaktiviert, geht alles ohne Verzögerung (mehr s. 1. Eintrag).
Nochmal meine Ur-Frage: was muss ich KFP beibringen, damit ich mit KFP aber ohne Verzögerung Zugriff habe.

Ich vermute, dass das irgendwas mit Netznamenauflösung oder so zu tun haben könnte, weiß dazu aber nicht mehr. Mir fallen da nur ein paar Schlagworte ein: Net-BIOS, DNS, ... Hilft das jemandem weiter, der mir helfen könnte? Vielleicht muss ich an dem XP "Client" etwas an den Netzeinstellung ändern.

Gruß
XT-Matz
Seitenanfang Seitenende
11.11.2003, 01:30
...neu hier

Beiträge: 4
#5 Hi,

es waren ein bißchen viel Informationen, aber ich versuche mal mich heranzutasten:
Du hast also ein Netzwerk aus vier PC's bestehend; wobei ein WIN98SE-Rechner den Server macht.
Das gleiche Netzwerk habe ich auch erstellt, nur mit zwei "hinteren" Rechnern, was nichts zur Sache tut. Überprüfe doch mal ob du die ganzen Netzwerkonfigurationen richtig hast, sprich Server-IP 192.168.0.1 (z.B.)
Alle anderen analog, nur 2..3..4..5 etc. Netzwerkmaske 255.255.255.0
Und die Clients haben alle die IP des Servers als Gateway.

Ist vielleicht ein blöder Post, aber anchmal kann man garnet so dumm denken. Haben denn die anderen Clients auch Verzögerung?

...

Bye
zorc
Seitenanfang Seitenende
12.11.2003, 11:35
...neu hier

Themenstarter
Avatar XT-Matz

Beiträge: 10
#6 Hallo zorc,

hast irgendwie recht. Kontrolle ergab aber richtige IP Vergabe (192.168.111.1-...4, subnet 255.255.255.0).

Aber - sorry, keine Ahnung von:

Zitat

..die Clients habe alle die IP des Servers als Gateway
.

Heißt das, dass ich z.B. bei den 98er PCs in Netzwerkeinstellungen|TCPIP|Gateway = 192.168.111.1 angeben muss?
Hier habe ich bis jetzt nichts (leer) angegeben. Hielt es auch nicht für nötig, weil alleine bei deaktiviereter KPF schon die Erstzugriffsverzögerung weg ist.

Frage: was hat denn für einen Zugriff auf Datei- oder Drucker im Windows Netzwerk die Gateway Angabe zu bedeuten?

Gruß
XT-Matz
Seitenanfang Seitenende
13.11.2003, 01:32
...neu hier

Beiträge: 4
#7 Versuche es doch einfach mal
;)
Seitenanfang Seitenende
13.11.2003, 09:35
Member

Beiträge: 117
#8 @XT-Matz:

Sorry, lese erst jetzt wieder diesen Thread.

Brrrr ... wenn ich die Konfiguration meiner "hinteren" Rechner unter Ignoranz der Internet-Verbindung auf deine Situation übertrage, kann von einer Firewall auf deinem Router wohl eher nicht mehr die Rede sein.

Du kannst ja mal auf dem Firewall-Rechner eine Regel definieren, die den kompletten Netzwerk-Verkehr von den genannten 192.168.*.*-IPs freigibt.

Wohlgemerkt: VON den anderen Rechnern - nicht ZU den anderen Rechnern, also vorläufig mal nur für INCOMING-Verbindungen.

Abgehende Verbindungen des "Servers" würde ich weiterhin blocken.

Nur mal so zum Testen ...

Trotzdem: ich glaube, so eine Konfiguration ist der Albtraum jedes Admins ...


Gruss

Aahz
Seitenanfang Seitenende
13.11.2003, 10:31
...neu hier

Themenstarter
Avatar XT-Matz

Beiträge: 10
#9 Uff,

ich sehe schon, ich ruiniere wohl ziemlich meinen Ruf mit meiner PC Konstellation. Ich musste mir auch von unserem Firmen Admin (als Linux Profi...) einen Rüffel diesbezüglich abholen. ;)

Den ganzen Ratschlägen werde ich möglicherweise mal folgen. Mich schreckt halt noch ab, ZWEI weitere Rechner (neben den Clients) - für Druck-/Datei- etc. Service und einen für Web+Firewall - bereitzustellen, hauptsächlich aus Platzgründen... ;) Aber möchte die philosophische Diskussion jetzt mal gerne rauslassen. Ich denke, dass jetzt allen klar sein sollte, was die bevorzugte Konstellation ist.

Zur Sache, dem eigentlichen Problem: "Delay bei Erstzugriff auf MS-Netzwerk".

Ich glaube gestern nacht ;-) erste Erfolge gehabt zu haben. Nachdem ich im Web anständig dokumentierte Grundregeln gefunden (und ausgedruckt) habe (aber jetzt nicht mehr wiederfinde...), habe ich meine Rules komplett neu aufgezogen. Ich muss jetzt noch mal checken, ob es wirklich was gebracht hat. Ich meine, es hat was mit UDP 137 Datagrammen zu tun, die für NetBIOS im lokalen Netz gebraucht werden.

Weiß jemand einen Link auf Firewall Basic-Rules?

Gruß
XT-Matz
Seitenanfang Seitenende
13.11.2003, 10:40
...neu hier

Themenstarter
Avatar XT-Matz

Beiträge: 10
#10 Jaja, ist ja schon gut, man muss nur die Augen aufmachen!

Hier sind die Basic-Rules, die ich meinte:
http://www.protecus.de/Firewall_Security/ruleset.html
(früher hieß die wohl mal ....htm. Da drauf bin ich reingefallen)

XT-Maaaatz ;)
Seitenanfang Seitenende
13.11.2003, 12:33
Member

Beiträge: 117
#11 Platzgründe? Meine Linux-Firewall steht ohne Tasta, Maus und Monitor ganz hinten unter meinem Schreibtisch in Gegend rum und dient mir gelegentlich als Fussschemel ... ;)

... DAS sollte also wirklich nicht das grosse Problem sein. Ich habe hier auf 16 qm im Moment 5 PCs und einen 72-cm-Fernseher stehen. ;)



Gruss

Aahz
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: