Feste IP auf Windows: Firewall-Einstellungen

1. Ausgangssituation

Beim öffnen der Netzwerkumgebung (bzw. "Netzwerk") werden Netzwerkfreigaben anderer Kunden angezeigt. 

Dass sich Netzwerkgeräte innerhalb des Subnetzes "sehen" ist normal und sogar beabsichtigt: Wir sperren keine Ports, alle Geräte können frei kommunizieren. Die festen IP-Adressen werden aus dem 212.58.74.0/23-Netz verteilt, d.h. 212.58.74.1-212.58.75.254.

Alle Geräte die eine feste IP von uns erhalten sind automatisch weltweit erreichbar, natürlich auch innerhalb unseres IP-Netzes.

Wie in jedem anderen Netzwerk auch versuchen sich, vorallem Windows-Geräte oder Geräte, die ähnlich wie ein Windows-Server aufgebaut sind (z.B. NAS-Systeme), gegenseitig im Netzwerk zu finden (TCP Port 137-139 und 445).

Die Kommunikation zwischen den Geräten können wir nicht einfach generell unterbinden da einige unserer Kunden mehrere IP-Adressen von uns beziehen und darauf angewiesen sind, dass die Server untereinander erreichbar sind, so wie es im "normalen" Internet ja auch der Fall wäre.

Normalerweise sperrt Ihr NAT-Router solche Anfragen aus dem Internet bzw. dem Subnetz, in dem Ihre IP angesiedelt ist (unser Internet-Router / Server filtert die restlichen SMB-Pakete und sonstige Broadcasts aus dem Internet.

Da nun die feste IP aber direkt auf dem Server anliegt und Ihr NAT-Router umgangen wird muss die Firewall das entsprechend filtern.

2. Prüfen, ob das VPN-Interface auf "öffentlich" steht

Prüfen Sie im Netzwerk- und Freigabecenter oder mittels Powershell:

- Powershell öffen
- Get-NetConnectionProfile eingeben

In der Liste taucht die VPN-Verbindung auf wie z.B.:

Name             : Netzwerk  3
InterfaceAlias   : LAN-Verbindung
InterfaceIndex   : 9
NetworkCategory  : Public
IPv4Connectivity : LocalNetwork
IPv6Connectivity : LocalNetwork

Wichtig ist, dass als "NetworkCategory" "Public" eingestellt ist.

Ob es sich dabei wirklich um das VPN-Interface handelt ist aus den Adaptereinstellungen ersichtlich, z.B:

LAN-Verbindung
Netzwerk 3
TAP-Windows Adapter V9

3. Ggf. Netzwerkprofil ändern

Das Profil kann mit diesem Powershell-Befehl geändert werden (Achtung: Die Powershell muss als Administrator ausgeführt werden):

Set-NetConnectionProfile  -InterfaceIndex 9 -NetworkCategory Public

-InterfaceIndex muss durch die Zahl aus dem Befehl "Get-NetConnectionProfile" ersetzt werden.

4. Firewall-Regeln

Wenn das Interface auf "Öffentlich" steht hilft eine Firewall-Regel:

  1. Eingehende Regeln
  2. Neue Regel...
  3. Regeltyp: Port (weiter)
  4. Protokolle und Ports:
  5. TCP
  6. Bestimmte lokale Ports: 137,138,139,445 (weiter)
  7. Aktion: Verbindung blockieren (weiter)
  8. Profil: Nur "Öffentlich" auswählen
  9. Name / Beschreibung eingeben, "Fertig stellen"

Danach sind die anderen erreichbaren Windows (ähnlichen) Installationen nicht mehr erreichbar.

5. NetBIOS Pakete deaktivieren

Um die Netbios-Pakete auf dem TAP-Interface deaktiviert werden (= damit die Geräte auch in der Netzwerkumgebung gar nicht mehr erscheinen) muss noch folgendes getan werden:

In den Adaptereinstellungen:

  1. Rechtsklick auf "LAN-Verbindung" (kann auch anders lauten, es steht in hellgrau aber "TAP-Windows Adapter V9" darunter)
  2. Eigenschaften
  3. "Internetprotokoll Version 4 (TCP/IPv4)" anklicken
  4. Eigenschaften
  5. Unten "Erweitert..."
  6. Reiter "WINS"
  7. LMHOSTS-Abfrage aktivieren: Kontrollkästchen deaktivieren
  8. NetBIOS-Einstellung: "NetBIOS über TCP/IP deaktivieren"

Daraufhin werden die Computer auch nicht mehr in der Netzwerkumgebung angezeigt.

Passende Produkte / Dienstleistungen

Problem nicht gelöst?

Falls Ihr Problem im Support-Bereich nicht gelöst wurde oder Sie weitere Hilfe benötigen, rufen Sie uns einfach an oder schreiben Sie uns:

0711 / 78 19 41-0
support@internet-xs.de

IP-Adresse: http://www.internet-xs.de/tools/ip