Wordo

Also so tief drin bin ich bei Spanning Tree nicht, aber alle Ports auf portfast stellen bedeutet ist dasselbe wie SPT ausschalten (geht das ueberhaupt?). BPDU Guard hab ich keine Erfahrung mit, aber is mal n Stichwort mich einzulesen :) Wenn du die beiden Switche ueber die GB Interfaces korrekt verbunden hast, kannst du alle Ports an denen Endgeraete haengen auf portfast stellen (wenn das alle sind, dann alle), aber bedenkenlos vielleicht nicht unbedingt ;)

Ich wuerde sagen das Paket wird einfach fragmentiert. Aber von UDP auf TCP, das geht in keinem Fall. So lange Namen duerfte es auch nicht geben (bei Windows AD vielleicht, da fehlt mir aber der Background) http://www.webreference.com/content/domains/names/ Domain names must be at least two characters long and no more than 63 characters maximum, excluding the top level domain. Ich hab auch mal was von 255 gelesen .. da will ich mich nich festlegen.

Ein Reset Paket wird geschickt weil die Verbindung duch einen 3-Way-Handshake nicht zustandegekommen ist.

Gut, dann fuer DNS: Wenn dein DNS Server eine rekursive Abfrage an einen anderen DNS Server startet ist sowohl Quell- als auch Zielport 53. Das gilt jedenfalls fuer BIND, egal ob auf Linux, Solaris etc.

Ich kopier mal das Bild hier rein damit du nicht blaettern musst .. die Erklaerung is recht easy, mann muss sie sich nur selbst zusammenreimen: Du hast als Remoteservice "domain", sprich 53, egal ob TCP oder UDP. Als lokaler Service hast du "jeden". Und das in beide Richtungen. Ich denke mal die Entwickler haben sich gedacht dass eingehende Pakete als Antworten zu behandeln sind und die Regel dann auch greift. Schliesslich kommt die Antwort des Servers mit Remoteservice 53 (wenn er das eingehende Paket als Antwort behandelt). Bei aussegehenden Pakete ist eben auch da der Remoteservice 53. Da muss man sich erst mal hineinversetzen, dann isses aber recht logisch (ich will nicht behaupten das ich ein Befuerworter dieser Logik bin).

Bei NTP wird z.B. auch als Quellport 123 benutzt, so ungewoehnlich ist das nicht.

Ich wuerde vorschlagen du oeffnest die Eigenschaften der eingehenden DNS-Regel und postest die Konfiguration (evtl. auch Screenshots). Dann wird sich sicher alles klaeren ...

http://de.wikipedia.org/wiki/File_Transfer_Protocol Beim Active Mode baut der Server von seinem Port 20, dem Data Port, eine Datenverbindung zu einem vom Client gewählten Endpunkt auf. Beim Passive Mode baut der Client eine Datenverbindung zum vom Server gewünschten Port auf. Hier wird typischerweise von beiden Seiten ein Port jenseits 1023 benutzt. Die Ports werden gewechselt, ich bezeichne das mal als Sonderfalls weils bei den anderen von ihm genannten Protokollen nicht der Fall ist. Und das man bei AT-Guard "eingehend DNS erlauben" muss, sagt noch lange nichts aus wie die Quell- und Zielports in der Regel definiert sind. Da ist in dem Screenshot von AT-guard nur "allow incoming DNS" zu sehen. Ob da jetzt aber sport 53 oder dport 53 drinsteht sieht man ja nicht.

"Da muss ich den 53 UDP auf dem Remoterechner in BEIDE Richtungen zulassen, sowohl ausgehen, als auch ankommen." Quell- und Zielport ist in dem Satz nicht angegeben. Bei iptables muss man auch eine Rueckregel einrichten (eben halt mit den Ports vertauscht), wieso sollte es da nicht genauso sein? "Warum verlangen machen Protokolle wie Dienste wie Ping, DNS, FTP Regeln in beide Richtungen und z.B. HTTP MICROSOFT-DS nicht?" Und da ist es doch genau dasselbe: ICMP und DNS, und der "Sonderfall" FTP. Ich wuerde also eher auf eine seltsame Firewall (so ziemlich alle Software Firewalls) tippen ;)

Weil das eine Protokoll (HTTP/S) auf TCP basiert (verbindungsorientiert) und DNS auf UDP. FTP ist wieder ne eigene Geschichte, da werden dann die Ports gewechselt. Such mal bei wikipedia nach TCP/IP, DNS und FTP. Da wird dir das in Kurzform recht gut erklaert.

.. einen hoeheren Marktwert ;)

http://www.cisco.com/en/US/customer/products/hw/routers/ps380/index.html The Cisco 800 Series also includes broadband routers that provide highly secure Internet and corporate network connectivity to small remote offices and teleworkers. The routers connect to the Internet or corporate networks through an ADSL (Cisco 837), ADSL over ISDN (Cisco 836), G.SHDSL (Cisco 828), serial (Cisco 805), or via an Ethernet WAN port connected to an external DSL or cable modem (Cisco 831).

Schau mal in den Eigenschaften deiner Netzwerkkarte ob da noch was in der Treiberliste drin ist. Und gib mal die Version vom VPN-Client und deinem Windows an ..

VPN-Client deinstallieren und schaun obs immer noch so ist. Evtl. hast du noch ne VPN Software installiert (PGPnet, Sentinel etc.) die mit dem Client nicht klarkommt und die Netzwerkkarte blockiert. Wenns nach dem deinstallieren wieder normal geht, alte Software raus, wieder drauf und dann mal die Settings der Karte anschauen ob da was auf DHCP umgestellt wurde. Da du n Router hast und die Karte nix ausser IP machen muss sollte es da keine weiteren Probleme geben

A) erforderlich ist das flasche wort, 802.1q is der standard bei neuen systemen und musst soweit ich weiss nicht explizit konfiguriert werden (ohne gewaehr) C) da bin ich mir nicht ganz sicher, also wenn du "vtp mode transparent" hast, dann ist der catalyst nicht im client mode, von daher gibts auch kein vorrang.

Also ich les hier grad: "PPTP requires one definition for port 1723 on TCP and another for port 0 and GRE." Kann es sein das es sich hier um ein anderes Protokoll handelt und er im Log einfach nur TCP mit ausspuckt?

1.) Bei neueren Geraeten reichts wie oben beschrieben. Habs mir aber angewoehnt erst immer mit vlan data das Zeug anzulegen ...

http://www.heise.de/security/news/meldung/38976

Bin zwar noch keiner, hab aber vor ueber die Firma den ICND zu machen und dann die Pruefung (komplett) extra. Intro halt ich fuer unnoetig wenn man schon Basics drauf hat. Wenn jmd. hier mit dem selben Gedanken spielt: am 24ten April in Muenchen waer ich dabei :D

C:\>whatmask 10.160.30.40 255.255.192.0 ------------------------------------------------ TCP/IP NETWORK INFORMATION ------------------------------------------------ IP Entered = ..................: 10.160.30.40 CIDR = ........................: /18 Netmask = .....................: 255.255.192.0 Netmask (hex) = ...............: 0xffffc000 Wildcard Bits = ...............: 0.0.63.255 ------------------------------------------------ Network Address = .............: 10.160.0.0 Broadcast Address = ...........: 10.160.63.255 Usable IP Addresses = .........: 16382 First Usable IP Address = .....: 10.160.0.1 Last Usable IP Address = ......: 10.160.63.254

http://www.cisco.com/web/about/ac123/ac147/ac174/ac200/about_cisco_ipj_archive_article09186a00800c85ae.html http://www.google.de/search?hl=de&q=%22History+of+Firewalls%22&btnG=Suche&meta=

zieh das geraet mal vom strom und bau den flash speicher aus. dann booten und schauen was passiert, vielleicht kommste ja noch in den rommon. hatte auch mal n problem mit copy+paste von ner config, da solltest du naemlich nicht die "exit"s vergessen.

ich glaub da stimmt was mit deinem client nicht. kenne diese sim software nicht, aber bei nem xp laptop hab ich auch das problem das er mir beim hyperterminal wenn ich cursor oben drueck um den letzten befehl anzuzeigen, das kommando inclusive "^" eingibt. schau mal ob du da bei dir was aendern kannst ..

ahhh .. guter Link, jetzt weiss ich wieso: http://www.cisco.com/en/US/customer/products/ps5853/products_configuration_guide_chapter09186a00804582d8.html Bei der 836 (und wohl auch 826) laeuft das ueber die ATM Schnittstelle und nicht ETH.

Router#sh ver Cisco IOS Software, SOHO96 Software (SOHO96-K9OY1-M), Version 12.3(11)T8, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2005 by Cisco Systems, Inc. Compiled Thu 06-Oct-05 14:53 by kehsiao ROM: System Bootstrap, Version 12.2(11r)YV, RELEASE SOFTWARE (fc1) Router uptime is 1 week, 6 days, 1 hour, 44 minutes System returned to ROM by power-on System image file is "flash:soho96-k9oy1-mz.123-11.T8.bin" Router# sh run [...] interface ATM0 bandwidth 160 no ip address atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode annexb-ur2 ! interface ATM0.1 point-to-point description max.dsl no ip redirects no ip unreachables no ip proxy-arp pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface Dialer0 ip address negotiated ip mtu 1492 ip nat outside encapsulation ppp ip tcp adjust-mss 1300 dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username huhu@realm.de password 7 000000000000 ppp ipcp dns request ppp ipcp wins request ! [...]