[Sammelthread] Sophos UTM-Sammelthread

[layerbreak]

Das sind die Dumps

-rw-r--r-- 1 root root 937058304 Aug 7 10:42 httpproxy.NAVLWorker_02.444
-rw-r--r-- 1 root root 1789931520 Aug 7 11:03 httpproxy.NAVLWorker_22.7343
-rw-r--r-- 1 root root 1984573440 Aug 7 10:54 httpproxy.NAVLWorker_26.6020
-rw-r--r-- 1 root root 1940377600 Aug 7 10:38 httpproxy.NAVLWorker_27.31004
-rw-r--r-- 1 root root 720416768 Aug 7 10:46 httpproxy.NAVLWorker_31.1067

das Problem ist übrigens lt. Support bereits gefixt.

Moin @Fr3@k
Kommt da dann ein Firmwareupdate oder meinst du mit gefixt, dass eine neue Patternversion bereits in meiner UTM drauf ist?
Bei mir momentan:
Firmware 9.502-4
Patternversion 130350

Die Dumps muss/sollte ich aber trotzdem händisch löschen, die werden nicht mit/durch dem Fix gelöscht??

 

[Fr3@k]

Das neue Pattern mit dem Fix lädt die UTM selbst herunter, die Dumps musst du händisch löschen

 

[bacon]

Guten Morgen zusammen,

ich habe am Wochenende meine UTM auf Werkseinstellungen gesetzt und die ersten Settings vorgenommen.

Gestern Abend musste ich feststellen, dass wohl die DNS Auflösung nicht so recht will. Ich merke das erst, als eine Debian VM das Update nicht ausführen könnte. Am PC lief ansich alles wie gewollt.

Dachte erst an die Firewall, worauf ich ins Log geschaut hatte. Da musste ich feststellen, dass alle Anfragen an die UTM auf Port 53 verworfen werden.

In den Einstellungen hatte ich bereits das interne Netz und die DMZ als erlaubte Netze für den DNS angegeben.

Woran kann das noch liegen?
Ist schon ne Weile her als ich sie das letzte Mal aufgesetzt hatte

 

[Opticum]

Teste derzeit einen Apu2c4 als Sophos UTM (4x1ghz, 4gb ram, 3x intel nic) und muss sagen das ich recht angenehm überrascht bin bisher. Bei Verwendung passender AES Verschlüsselung übernimmt der AES Befehlssatz der CPU, 100Mbit/s VPN somit problemlos ohne CPU Last möglich.

 

[layerbreak]

Hallo,

ich hab mir hier in meinem Netz (192.168.99.0/24) einen kleinen Webserver aufgesetzt - läuft als VM unter ESXi6.5. Mit diesem sollen Kontakte, Termin mit den Smartphones synchronisiert werden. Bei meinem Provider hab ich eine echte IP4-Adresse - allerdings keine feste, die wechselt alle paar Monate mal, die momentan aktuelle hab ich seit 14.02.17 - trotzdem hab ich eine dynDNS in der UTM konfiguriert. Die UTM ist in der Fritze als "Exposed Host" definiert.

Der Server hat die IP 192.168.99.99 und muss auch hier im internen Netz von jedem Client aus erreichbar sein.

In der UTM hab ich jetzt den Server als Host definiert, eine DNAT (Any/HTTP/UplinkPrimaryAddress)und eine Firewall Regel (Any/HTTP/Host192.168.99.99) angelegt. Hier beschrieben Astaro Security Gateway: How to Port Forward Service Ports with NAT - Sophos Community Scenario1
--> der kleine Webserver ist jetzt von außen erreichbar (getestet-funzt) - so weit OK aber sicher ist was anderes.

Jetzt würde ich gerne als Erstes eine DMZ einrichten - hab aber keine echte NIC mehr zur Verfügung.
Wie bekomm ich das in der UTM hin?
Muss ich dann in ESXi auch einen vswitch anlegen?

Kann mir da jemand weiterhelfen? Danke.

 

[Toupman]

Das kannst du doch wunderbar mit einem getaggten VLAN einrichten. Dein Switch muss da aber mitspielen.

MfG

Tobias

 

[layerbreak]

Das kannst du doch wunderbar mit einem getaggten VLAN einrichten. Dein Switch muss da aber mitspielen.

Guter Vorschlag Tobias, nur leider weis ich nicht wie.
Da die UTM als VM auf ESXi6.5 läuft kann ich einen zusätzlichen vSwitch in ESXi anlegen. Aber wie es dann weitergeht, weis ich halt nicht.

 

[Fr3@k]

So könnte das ausschauen:

Auf dem Switch sind mehrere vLANs angelegt für die einzelnen Netze (z.b. LAN, WAN1, WAN2, DMZ usw.)
die vLANs sind auf die Uplink Ports zum ESXi getagged.

Am ESXi ist ein vSwitch angelegt mit den einzelnen Netzwerken dort wird auch die jeweilige vLAN ID des Netzwerkes eingetragen.
Der UTM kannst du dann einfach die benötigten Netzwerke auf einer vmnic zuweisen.

 

[layerbreak]

Moin @Fr3@k
bei mir läuft alles auf dem ESXi6.5 also auch die UTM.
Der ESXi hat u.a. eine 4-Port-Intel-Netzwerkkarte, die nur für die UTM genutzt wird. LANintern, LANkinder, WAN1, WAN2.

Jetzt bin ich her gegangen und hab mir noch einen vSwitch (vSwitchDMZ) und drei PortgruppeDMZ auf dem ESXi angelegt.
Die UTM frisch runtergeladen (asg-9.502-4.1.iso), neu installiert mit jetzt 7 Schnittstellen anstatt nur 4. Ein Backup restore und die UTM ist wieder einsatzfähig - funktioniert aber nicht richtig.

Nicht einfach ist jetzt die Zuordnung der eth0-6. Gibt es da eine Möglichkeit, gleich nach der Installation, die MAC auf der Console rauszufinden - ifconfig geht nicht.

Wenn ich die Sprache für Webadmin ändere, wird nicht immer die Sprache geändert. Ein Neustart der VM hilft.
Die online-Hilfe funzt auch nicht mehr -- "You have forgotten to enable JavaScript in your Browser!" bei keinem installierten Browser (Chrome, FF, IE, Edge) und hier wurde nichts geändert, nicht mal den PC neu gestartet.

Jetzt hab ich die eth4 als neue Schnittstelle DMZ definiere, die Dienste DNS, DHCP und NTP für DMZ angelegt- anschließend den Webserver in WAF als echten und virtuellen Webserver angelegt.
So wie hier beschrieben: How To Protect Your Web Server With Sophos UTM
und hier Webserver ffentlichen | ictschule allerdings nur bis incl. NAT.

In der Firewall hab ich nur SSH von meiner Kiste auf den Webserver angelegt. http und https nicht - das geht auch so.
Putty geht, nur nicht WinSCP -> keine Ahnung warum.
Von LANintern aus komm ich auf den Webserver. Nicht aber von extern mit dem dyndns-name. In der Fritze ist die UTM als Exposed Host eingestellt.

Bin jetzt echt ratlos. Tipps??

 

[Opticum]

Von LANintern aus komm ich auf den Webserver. Nicht aber von extern mit dem dyndns-name. In der Fritze ist die UTM als Exposed Host eingestellt.

Bin jetzt echt ratlos. Tipps??

- hast du bei dem virtual webserver den dyndns-namen als domain namen angegeben und als Interface das WAN Interface ausgewählt?
Ansonsten bitte Screenshots, ggf. per PN oder imgur album.

 

[layerbreak]

- hast du bei dem virtual webserver den dyndns-namen als domain namen angegeben und als Interface das WAN Interface ausgewählt?
Ansonsten bitte Screenshots, ggf. per PN oder imgur album.

@Opticum, sorry konnte gestern nicht online gehen.

Ja, hab ich gemacht.

Hier mal ein paar pics:

 

[[SoD]r4z0r]

Hab mal ne Frage die mir gerade so über den Weg gekommen ist.

Folgendes Szenario.
Habe in einem internen Netzbereich einen Server mit IP A. In der Sophos ist ne Firewall-Regel eingerichtet, das der Server mit IP A per HTTPS ins Internet darf.
Wenn ich jetzt einen zweiten Server im gleichen Netzbereich habe, der ebenfalls IP A hat (oder vortäuscht), kann die Sophos dann erkennen, dass es sich nicht um den eigentlichen Rechner handelt und den Zugriff blockieren?

Wenn ja: muss ich dafür etwas besonderes konfigurieren?

 

[Opticum]

@layerbreak : hat deine KabelBW WAN Schnittstelle eine öffentliche IPv4 Adresse oder CGN Adresse?

 

[layerbreak]

@layerbreak : hat deine KabelBW WAN Schnittstelle eine öffentliche IPv4 Adresse oder CGN Adresse?

Keine Ahnung was eine CGN Adresse ist. Wenn Du damit das DSL-Light meinst, dann ist die Antwort nein.
Ich hab bei KabelBW noch eine echte IPv4 Adresse, die alle Schaltjahr mal wechselt.

Ich hab eine DynDNS-Adresse mir zugelegt und in der UTM Netzwerkdienste/DNS/DynDNS auch eingerichtet. Das Update funktioniert da auch.
Mit meinem Surface komme ich per VPN immer hier ins Netz.

- - - Updated - - -

Stimmen überhaupt meine ESXi Einstellungen?

 

[Opticum]

@layerbreak: DSL-Light ist was anderes, du meinst DS-Lite (dual stack lite) wenn keine öffentliche IPv4 mehr vorhanden ist. Meist wird hier CGN verwendet, um für Kunden den Zugang zum Internet zu ermöglichen. (viele Kunden auf einer Ipv4 Adresse).

- Welche IP Adresse hat das KabelBW Interface in der Sophos? (das letzte 3-stellige Zahlenpaar mit xxx anonymisieren)
- Ist ein Router davor oder hängt die Sophos an einer Bridge?

 

[layerbreak]

- Welche IP Adresse hat das KabelBW Interface in der Sophos? (das letzte 3-stellige Zahlenpaar mit xxx anonymisieren)
- Ist ein Router davor oder hängt die Sophos an einer Bridge?

Asche auf mein Haupt. Dank dir hab ich meinen Fehler gefunden.

Nach der Neuinstallation der UTM hat meine Fritz!Box der UTM eine neue IP vergeben, da neue MAC.
Jetzt haben natürlich die Portfreigabe "Exposed Host" nicht mehr funktioniert.

Neu gelegt für die neue UTM-IP und schwups geht der Zugang von Extern auf den internen Webserver.

Vielen Dank für die Hilfe.

 

[G6_of_UNSATO]

Hab mal ne Frage die mir gerade so über den Weg gekommen ist.

Folgendes Szenario.
Habe in einem internen Netzbereich einen Server mit IP A. In der Sophos ist ne Firewall-Regel eingerichtet, das der Server mit IP A per HTTPS ins Internet darf.
Wenn ich jetzt einen zweiten Server im gleichen Netzbereich habe, der ebenfalls IP A hat (oder vortäuscht), kann die Sophos dann erkennen, dass es sich nicht um den eigentlichen Rechner handelt und den Zugriff blockieren?

Wenn ja: muss ich dafür etwas besonderes konfigurieren?

Wenn das Netzwerkobjekt auf der Sophos mit der IP/DNS-Namen angelegt ist, dann greift auf nur die Adresse. Wenn mehrere Systeme die gleiche IP haben und zu unterschiedlichen Zeiten aktiv sind oder ein Gerät diese Adresse A per Hand zugewiesen bekommt, dann gilt deine konfigurierte FW-Regel.

Du hast folgende Möglichkeiten:
A) Nutze zusätzlich einen MAC-Filter (ja, diese kan man auch fälschen, ich weis ^^)
B) Wenn es sich um ein Windowssystem handelt (der Server) dann kannst du das Sophos Authentication Tool nutzen und dann mit einem User-Objekt in der FW arbeiten. (User-PW-Kombi im Tool muss bekannt sein um das zu umgehen)
C) Den Server an eine separate Schnittstelle der Sophos hängen und dann HTTPs über die Schnittstelle erlauben. (Physikalischer Zugriff nötig um das zu umgehen)

 

[[SoD]r4z0r]

@G6_of_UNSATO
Danke für deine Antwort
Also werde ich das entweder so lassen wie es ist, oder bei Bedarf Möglichkeit C umsetzen.

 

[layerbreak]

Ich muss nochmals auf meine Neuinstallation zurück kommen, da ich seither Probleme habe, die ich mit der alten Version nicht hatte und keine Lösung finde.

Die UTM läuft bei mir als VM unter ESXi6.5_free.
Verwendet hab ich die ISO "asg-9.502-4.1.iso" und dann ein aktuelles Backup "utm_9.502004_2017-08-21_21-08.abf" eingespielt.

Nach der Neuinstallation geht nicht mehr die Hilfe (Fragezeichen) mit der Meldung:
"Please enable Java-Script"
egal welchen Browser ich nehme (Chrome, FF, Edge, IE)
An meinem PC hab ich nichts verändert und ganz sicher ging die Hilfe vorher.

Nächstes Problem ist, dass wenn ich die Sprache für Web-Admin ändern wird die Änderung nicht übernommen.
Vorgehensweise:
Ändern der Sprache auf Englisch, Übernehmen. Automatischer Aufruf der Login-Seite.
Hier steht Benutzername und Passwort - also in Deutsch nicht Englisch.
Nach Login Sprache ist Deutsch - aber Englisch wird in der Webadmin-Sprache angezeigt.
Erst nach einem Neustart der UTM ist die Sprache Englisch.

3. Problem
Ferner komm ich per WinSCP nicht mehr auf auf den Webserver (Debian8.9), obwohl in der UTM-Firewall die Ports SSH22+MySql3306 von meinem PC auf Debian geöffnet sind.
Zugriff auf die DB funzt. Mit Putty gehts auch - aber nicht WinSCP. Authentifizierung geht, dann aber bei "Starte Sitzung" geht nichts mehr weiter.
Da ich nichts am Webserver geändert habe, aber die UTM neu installiert habe, vermute ich, dass es hier irgendwo klemmt.

Kann mir da geholfen werden? Wäre echt super.

 

[Opticum]

layerbreak:

Problem 1/2 kann ich nicht nachvollziehen, vielleicht mal den Browser Cache löschen, anderen PC probieren. Hier funktioniert das alles problemlos.
Problem 3: Schau mal ob sich die IP bei deinem PC / Debian Server geändert haben.

ich würde das mit 1&2 an deiner Stelle mal in das offizielle Sophos Forum posten. Vielleicht irgendeine ungünstige Konstellation.

 

[layerbreak]

Problem 1/2 kann ich nicht nachvollziehen, vielleicht mal den Browser Cache löschen, anderen PC probieren. Hier funktioniert das alles problemlos.

Bei allen Browser Cache bereits mehrfach gelöscht - trotzdem weiterhin die selben Probleme - "Please enable Java-Script" + Sprache
Auch anderen PC schon getestet - selbe Probleme -"Please enable Java-Script" + Sprache

Problem 3: Schau mal ob sich die IP bei deinem PC / Debian Server geändert haben.

PC nein IP hat sich nicht geändert
Debian ja - aber auch hier Zugriff auf neue IP per Putty funktioniert, nicht mit WinSCP

ich würde das mit 1&2 an deiner Stelle mal in das offizielle Sophos Forum posten. Vielleicht irgendeine ungünstige Konstellation.

Meinst Du dieses Sophos UTM 9 - Sophos Community als offizielles Forum?
Gibts das auch als deutsches Forum?

 

[G6_of_UNSATO]

@layerbreak:
Melde dich hier kostenlos bei der UTM Online Demo an:
Enterprise Firewall Demo | Sophos UTM Firewall Appliances


Wenn der Fehler dort aufritt, dann liegt es definitiv nicht an deiner UTM Instanz.

 

[layerbreak]

@layerbreak:
Melde dich hier kostenlos bei der UTM Online Demo an:
Enterprise Firewall Demo | Sophos UTM Firewall Appliances


Wenn der Fehler dort aufritt, dann liegt es definitiv nicht an deiner UTM Instanz.

Danke für den Tipp.

Hilfe lässt sich ohne Probleme aufrufen - so wie ich es auch schon vorher gewohnt war. --> also muss meine UTM ein Problem haben.
Webadmin-Sprache kann ich mangels fehlender Berechtigung nicht ändern.

 

[Zyrusvirus]

Hallo alle zusammen.
Ich fummel seit ein paar Tagen an einem Thema wofür ich einfach keine Lösung finde.
Aktuell habe ich eine DMZ Umgebung in der alle meine Serveranwendungen laufen und ein Privat Network wo alle Geräte aus dem Haushalt kommunizieren.
Jetzt läuft in der DMZ ein Windows 2016 File Server der aus dem Privat Network erreichbar sein soll.
Leider kann man egal mit welchen Tricks den Server nicht finden.
Nun weiß ich schon das es am Broadcast liegt über das Windows Betriebssysteme sucht, z.B. Windows 10.
Dazu habe ich auch schon heraus gefunden das die UTM zwischen den Netzwerken Broadcast's blockt, bzw. nicht durch lässt.
Nun bin ich doch noch nicht so affin im Thema UTM und weiß nicht so richtig wie ich das hin bekommen kann das meine Windows 10 Systeme den Windows File Server im Netzwerk finden.

Für Tipps oder Ideen wäre ich sehr dankbar.

 

[besterino]

Was heißt "finden"? Kommst Du mit \\IP\ im explorer drauf? Wenn nein, Routing/Firewall checken.

Wenn ja, dirty workaround: IP + Hostnamen in der Hosts Datei auf den Clients eintragen.

 

[Zyrusvirus]

Was heißt "finden"? Kommst Du mit \\IP\ im explorer drauf? Wenn nein, Routing/Firewall checken.

Wenn ja, dirty workaround: IP + Hostnamen in der Hosts Datei auf den Clients eintragen.

HI @bestaerino drauf kommen heißt mit \\IP-Adresse komm ich nicht drauf, gebe ich nur die IP ein wird mir die IIS Seite angezeigt.
Als Firewallregel habe ich angelegt WinServer -> Any -> Privat Network, das sollte doch so reichen? Oder muss ich die Gegenrichtung auch einrichten?

 

[paulianer]

Die Firewall-Regeln geben immer die Richtung des Verbindungsaufbaus an.
Deine Firewall-Regel erlaubt den Aufbau vom WinServer ins "Privat Network".
Willst du allerdings vom PC aus auf den Server zugreifen solltest du eine Regel ala "Privat Network" > Any > WinServer anlegen und erlauben.

 

[bacon]

Ich muss mich heute wieder hilfesuchend an euch wenden.
Auch wenn das aktuelle Problem ein anderes ist, würde ich gerne die ganze Geschichte einbringen. Evtl kann der ein oder andere da auch noch hilfreiche Anmerkungen machen.

Ich habe vor langer Zeit eine IPsec zu einer FritzBox aufbauen können. Und ich meine mich zu erinnern, dass diese auch funktioniert hat.

Da ich diese Verbindung, nach Tarifwechsel, als Offsite Backup verwenden möchte, habe ich angefangen dies auch zu testen.
Bisher ist mir aber nie aufgefallen gewesen, dass ich von der Remote Seite nicht in mein Netz gekommen bin.

Deshalb hatte ich dann mittels Teamviewer eine Verbindungen zu meinem PC aufgebaut um mir das LiveLog anzusehen.
Auf einmal ging auch der Zugriff in mein Netz. Dann mal wieder nicht. Also das Laptop über mein Handy ans GSM Netz und per Teamviewer auf meinen Rechner.
Per Tablet dann getestet und da ging es dann nicht mehr. In den Logs ist nichts aufgefallen.

Mache ich einen Trace sehe ich nur, dass die Fritte auf der Remote als erste Station aufgeführt wird und das wars dann. Als wenn die Anfrage nicht entsprechend weitergeleitet wird.

Irgendwann habe ich dann die Sophos neu augesetzt, da ich mittlerweile zu viel ausprobiert hatte und den Überblick verlor.
Dank eines Schreibfehlers in der IPsec VPN ID der Remote Seite konnte ich dann auch gar keinen Link zur Fritte aufbauen.

So jetzt zum aktuellen Problem.
In der Sophos wird mir die IPsec als verbunden angezeigt, eben so in der Fritte.
Jedoch komme ich aktuell nicht mehr auf die WebGUI der Fritte. Schau ich mir die Logs an sehe ich im Firewall Log null Anfragen in Richtung der Remote Seite. Da die WebProtection läuft habe ich mir das Log noch angeschaut,
da kommt dann so was
2017:09:08-16:18:17 utm httpproxy[6975]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.20" dstip="192.168.4.1" user="" group="" ad_domain="" statuscode="504" cached="0" profile="REF_HttProContaInterNetwo (LAN_internal_without SSL)" filteraction="REF_HttCffLaninteSsl (LAN_internal_without SSL)" size="0" request="0xe3151e00" url="http://192.168.4.1/favicon.ico" referer="" error="Connection to server timed out" authtime="0" dnstime="143" cattime="78891" avscantime="0" fullreqtime="60557934" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0" exceptions="" category="9998" reputation="unverified" categoryname="Uncategorized"

Bei der Anfrage rennt der Browser dann in einen Timeout, daher wird dann auch der Logeintrag kommen. Mit der Policy Helpdesk der WP wird mir gesagt ich hätte Zugriff, also schließe ich die im Moment aus. Ich wüsste auch nicht, dass ich irgendwann mal das Remote Netz dort eingetragen hätte.

Beim Erstellen der IPsec habe ich die FW-Regeln automatisch erstellen lassen aber auch schon von hand. Deaktiviere ich die WP sehe ich eine Anfrage von meinem PC an die Fritte die pass ist. Aber die Antwort auf Port 80 wird geblockt.

Liegt es dann daran? Was kann die Ursache sein? Eine Trace vom Handy auf die Fritte verläuft über die IP des internen GW auf die Adresse der externen Schnittstelle und dann ins Leere.

Edit:
Das ganze läuft unter Proxmox hinter der Unitymedia ConnectBox. Port 500 und 4500 sind weitergeleitet. Da hatte ich dann auch nichts mehr geändert, seit das mal lief

 

[G6_of_UNSATO]

Ich nehme mal an deine Konfig sieht ungefähr so aus:

Client1 192.168.2.20 <==> Sophos UTM 192.168.2.1 <==> Inet <==> FritzBox 192.168.4.1 <==> Client2 192.168.4.10
Der VPN ist ein Site2Site zwischen UTM und FritzBox mit entsprechendem Transitnetz, meist IPSec Pool z.b. 192.168.100.0/24

Wenn jetzt eine Anfrage von Client1 über die Sophos zur FritzBox geht, wird die nicht maskiert, wenn du es nicht aktiviert hast.
D.h. Die FB sieht einen Request von 192.168.2.20 und kann die Herkunft dieser IP nicht zuordnen.
Die FB benötigt eine Route: 192.168.2.0 /24 über Gateway {IP der Sophos UTM im VPN Netz)

Wenn die FB mit Port 80 als Quelle an deine FW klopft, dann musst du die ggf. die Firewall nochmal durchschauen.
Wenn der Client1 eine Verbindung zur FB aufbaut, dann ist die Antwort durch Stateful Inspection ja erlaubt.

Der Webfilter scheint ja für dein Internes Netz aktiviert zu sein.
Deaktivere ihn und teste dann nochmal.

Port 80 hast du auch weitergeleitet auf deiner vorgeschalteten Box?

- - - Updated - - -

Hallo alle zusammen.
Ich fummel seit ein paar Tagen an einem Thema wofür ich einfach keine Lösung finde.
Aktuell habe ich eine DMZ Umgebung in der alle meine Serveranwendungen laufen und ein Privat Network wo alle Geräte aus dem Haushalt kommunizieren.
Jetzt läuft in der DMZ ein Windows 2016 File Server der aus dem Privat Network erreichbar sein soll.
Leider kann man egal mit welchen Tricks den Server nicht finden.
Nun weiß ich schon das es am Broadcast liegt über das Windows Betriebssysteme sucht, z.B. Windows 10.
Dazu habe ich auch schon heraus gefunden das die UTM zwischen den Netzwerken Broadcast's blockt, bzw. nicht durch lässt.
Nun bin ich doch noch nicht so affin im Thema UTM und weiß nicht so richtig wie ich das hin bekommen kann das meine Windows 10 Systeme den Windows File Server im Netzwerk finden.

Für Tipps oder Ideen wäre ich sehr dankbar.

Broadcast wird nicht blockiert, sondern kann, wie es eben im Broadcastpaket definiert ist, nicht über Netzgrenzen hinweg kommunizieren.
Broadcast taucht immer in der FW auf, da die FW auf den Broadcast reagiert aber nicht zwingedn antwortet.

 

[Zyrusvirus]

Die Firewall-Regeln geben immer die Richtung des Verbindungsaufbaus an.
Deine Firewall-Regel erlaubt den Aufbau vom WinServer ins "Privat Network".
Willst du allerdings vom PC aus auf den Server zugreifen solltest du eine Regel ala "Privat Network" > Any > WinServer anlegen und erlauben.

Ich hab jetzt einmal probiert beide Richtungen freizugeben.
Jetzt heißen die Regeln wie folgt:
WinServer -> ANY -> Privat Network und Privat Network -> ANY -> WinServer
Leider auch ohne Erfolg. Ich kann auf Privat Network den WinServer anpingen, jedoch z.B. vom Windows Server den Laptop nicht anpingen, jedoch z.B. einen FreeNAS Client.
Die Netzwerksuche geht nach wie vor auf beiden Seite nicht, bzw. ich finde den Server nicht.