Poison Nuke

welche Funktionalität schwebt dir denn vor oder in was genau musst du suchen? Hast du vllt zig-hundert IP Netze die über IP-Helper und einen DHCP Server verwaltet werden? Oder wo genau liegt das Problem wegen dem suchen? Weil in einem normalen Arbeitsumfeld ist das ganze normalerweise recht übersichtlich

Hallo,

ich versuch gerade in die Materie etwas einzusteigen, aber das wird ja schon ganz schön interessant und mal eben meinen Server komplett auf SSL umrüsten um das ganze zu testen wollte ich nicht wirklich, auch wenn Verisign z.B. für 14 Tage einen kostenlosen test anbietet.

Für mich stellt sich z.B. die Frage, wie genau wird das Zertifikat auf den Server registriert? Domaingebunden oder IP gebunden? Weil ich habe gehört dass teilweise auf Servern mit mehreren virtuellen Hosts auch mehrere IPs benötigt wurden um für mehrere Domains SSL Zertifikate zu registrieren, ist das so richtig? Oder kann man nicht auch mehrere Domains auf eine IP sichern lassen? Bei Verisign z.B. selbst finde ich dazu keine Informationen wie genau das aussieht.

Und wie sieht so ein SSL Zertifikat auf dem Server überhaupt aus? Ist das sozusagen einfach nur eine Erweiterung für die betreffende Seite die in einen weiteren Ordner eingefügt wird oder sieht das ganze noch etwas anders aus?

thx schonmal für eure Antworten :)

ich finde die Frage gar nicht so uninteressant.

Mich würde es jetzt einfach mal aus dem Gesichtspunkt interessieren: im lokalen Netz hat man einen User der halt alle Rechte hat und wo unter dessem Account auch verschiedene Sachen gespeichert sind und zugänglich sind.

Wenn hingegen die Mitarbeiter zuhause sind dann sollen sie nicht mehr Zugriff auf alles bekommen z.B. weil einige Funktionen von zuhause aus ohne Zugriff vor Ort zu Problemem führen könnten wenn man einen FEhler macht oder so. Kann aus meiner Sicht schon Sinn machen, man weiß ja nicht was der Dummyuser für Möglichkeiten hat und welche probleme es machen könnte wenn das jemand per VPN macht.

muss ich später machen, bin unterwegs. Aber wie soll das Beispiel aussehen? Einfach nur die Routingeinträge von route print oder was willst du alles sehen?

bzw das hängt davon ab wie hoch die eingestellte TTL im DNS Server ist. Im öffentlichen Umfeld ist sie zwangsweise auf 24h einzustellen. D.h. der DNS Cache wird erst nach 24h aktualisiert. Bei einem normalen Windows DNS Server der nicht öffentlich arbeiten muss ist standardmäßig aber eine TTL von einer Stunde eingestellt. Da geht es ensprechend schneller.

Hallo,

thx. Das komische ist aber sogar, ich kann die Route zwar adden...also es kommt kein Fehler, nur bei route print ist das Subnetz dennoch über die IP des eigenen Rechners geroutet mit der metric 20. Selbst wenn ich routing und ras dennoch aktiviere und da die Route hinzufüge, taucht sie nicht in der Liste der aktiven Routen auf.

und ein route delete auf die vorhandenen Routen geht auch nicht.

achja, ich habe Packetyzer am laufen...aber das lustige hier ist, es tauchen da nichtmal ICMP Echos auf, lol...

würdest du bitte meine Beiträge erstmal richtig lesen. NIEMAND außer mir und die anderen Administratoren hat physikalisch Zugang zum Rechenzentrum. Es kann da einfach keiner mal eben was umstecken. Schön das man auf deine Weise da irgendwie die VLAN_ID rausbekommen könnte, aber das geht vllt zuhause oder in einem normalen Büroumfeld aber das wars auch schon. Ganz so **** bin ich ja nun auch nicht.

und jetzt nochmal kurz und deutlich: dieser Thread ist nicht dazu gedacht die Vor- und Nachteile von pVLANs zu erklären. Dieser THread ist dazu gedacht das o.g. Problem mit Windows zu umgehen. Mehr nicht.

Wenn Interesse besteht kann ich auch gern einen Thread im Ciscobereich aufmachen bezüglich pVLAN, weil mir scheint die wenigsten hier wissen überhaupt worum es da geht und stellen lediglich wild irgendwelche Vermutungen an ohne den Hintergrund zu kennen. Nur ich dachte es wäre möglich dass man erstmal grundlegend die Frage klärt um die es in einem Thread geht, weil wenn der Threadersteller vllt mehrfach darauf hinweist könnte es schon sein das er weiß wovon er redet, oder etwa nicht? ;)

keiner hat physikalisch Zugriff zu den Switchen und Computern außer die Administratoren. Alle User arbeiten remote. Da kann sich keiner einfach mal so an einen Switchport anstecken oder so. Und da die VLAN Tags vom Switch erzeugt werden ist es definitiv unmöglich für einen teilnehmenden Rechner da ein anderes VLAN Tag zu bekommen.

Und ich frage hier nicht nach alternativen. Diese sind nämlich fast alle gar nicht umsetzbar. Und meine Frage richtet sich hier auch nicht nach alternativen ich will einfach wissen wie man Windows dazu bringt auch das lokale Subnetz über den Router anzusprechen. Mehr nicht.

hui nicht so viel aufeinmal.

also eigentlich hatte ich nicht vor das Konzept als solches zu klären. in einem reinen Ciscoforum wäre jetzt wohl schon der Krieg ausgebrochen bei euren Rückantworten :D

also ich will hier eigentlich nicht auf das Konzept von pVLANs an sich eingehen. das ist einfach zuviel für den Thread, es gehr mir hier grundlegend um das Problem mit Windows.

kurz zu den Alternativen: die Anzahl der VLANs (4096) würde nicht ausreichen für alle angeschlossenen PCs. Die Anzahl der IP Adressen würde bei weitem nicht ausreichen um für jeden PC gleich 4 IPs zu verschwenden (Network, Broadcast, IP, GW), die RIPE würde uns den Kopf abhacken wenn wir in der heutigen Zeit so verschwenderisch mit IPv4 Adressen umgehen würden.

und für einen Hacker ist es nebenbei unmöglich Pakete aus einem anderen VLAN zu empfangen, wenn man ihn nicht gerade an einen Trunkport anschließt und alle VLANs auf diesem Trunk erlaubt. Weil in dem Fall könnte man sich die VLANs gleich sparen.

Und in einem größeren Netzwerk, wenn man der Router einen Adressaten nicht kennt, dann fliegen da auch schonmal Unicastpakete durchs Netz. Sind zwar nicht viele aber bei einem komplett gefüllten ClassC Netz kann es unter umständen mal vorkommen, jenachdem wieviele Millionen Pakete pro Sekunde da gerade rein oder rausgehen. In einem kleinen Netz fällt es halt nie auf weil die statistische Wahrscheinlichkeit recht gering ist aber je größer das Netz wird desto öfter passiert es.

Auch IPsec ist nur eine End to End Verschlüsselung, daher nicht nutzbar für diese zwecke.

pVLANs sind mehr oder weniger des Weisheits letzter Schluss. Punkt. Für weitere Diskussionen sollte das ganze ins Ciscoforum verschoben werden.

Es soll jetzt ausschließlich die Frage geklärt werden, ein WindowsPC der in einem ClassC Netz ist das mit pVLANs abgegrenzt ist, wie man diesen davon überzeugt die Rechner im gleichen Netz zu erreichen.

Windows Firewall mit ROuting und RAS...wie sollte das denn gehen?

genau das bekomm ich eben nicht hin...zumindest nicht mit den Routebefehlen. Und da viele User ihre Windowsfirewall nutzen wollen ist das nutzen von Routing und RAS vorerst keine Option, würde ich zumindest versuchen zu vermeiden.

und von den ganzen Layer 2 Attacken habt ihr noch nie was gehört?

Zudem es nicht möglich sein soll, dass jemand Pakete mitsnifft solange sie nicht direkt zu ihm gehören. Eigentlich könnte man private VLANs als eine der besten Netzwerkerfindungen diesen Jahrhunderts bezeichnen, weil sie massiv viele Sicherheitsprobleme lösen. Nur Windows mags offenbar nicht.

im übrigen, die PPPoE Verbindungen bei euren ISPs sind im Endeffekt auch nichts anderes wie pVLANs, nur das hier noch eine Authentifizierung stattfindet. So extrem muss es dann bei uns nicht sein, die Layer2 Abgrenzung ist schon mehr als genug :)

Was soll man da groß erklären? Es soll lediglich verhindert werden das irgendeine Kommunikation auf Layer 2 Basis abläuft außer die Kommunikation zum Router. sämtliche andere Kommunikation muss über Layer 3 laufen. Eben genau das wozu private VLANs da sind. Verhindert MAC Spoofing und DHCP Snoofing und viele andere Sachen.

Die Frage ist halt nur, wie sage ich Windows, dass es das eigene Subnetz auch nur über den Router erreichen kann...ist halt von der Logik her etwas gegen die normale Netzwerklogik daher wird Windows da verständlicherweise ein Problem haben nur unter Linux geht es ja auch recht easy.

Hallo,

wie kann man Windows (egal welche Version ab XP aufwärts) beibringen, dass auch das eigene Subnetz in dem sich der Rechner befindet, ausschließlich über den Router erreichbar ist?

Hintergrund: private VLANs auf dem Switch. eine reine Layer2 basierte Kommunikation ist damit unmöglich und ist auch Sinn und Zweck davon. Linux überzeuge ich recht einfach davon dass sein eigenes Subnetz ebenfalls nur über die Defaultroute erreichbar ist, in dem ich einfach eine Route eintrage.

Nur wie sage ich das Windows? Wenn ich ROUTE ADD mache, dann existieren da dennoch erstmal die ganzen anderen Routen für das eigene Subnetz die offenbar vorrang haben und ich kann sie nicht entfernen :(

Hallo,

ich wollte sämtliche Internetkommunikation über einen eigenen VPN Server abwickeln, dazu hab ich bei dem Win2k3 Standard Server einfach ohne große weitere Optionen und ohne dedizierten DHCP Server einen VPN Zugang eingerichtet und dieser funktioniert auch wie geplant, wenn man auf Wie ist meine IP-Adresse? geht dann wird auch die IP des Servers angezeigt.

Allerdings habe ich jetzt eine Videoikonferenzsoftware die über Port 5700 kommuniziert und wenn die die Verbindung zum Gegenüber hergestellt ist wird als IP diejenige vom DSL Anschluss angezeigt und nicht die vom Server.

Was kann da denn falsch laufen?

das war letzten Dienstag der große Patchday von Microsoft. Da hatte es bei uns zahlreiche Windows Server 2003 zerhauen, sobald die einen reboot gemacht hatten nach dem update ging die Anmeldemaske nicht mehr. Erst nach dem booten in der letzten funktionierenden konfig ging es dann wieder. War aber auch nur ein Teil der Server. Von 1000 Servern waren vllt 50 oder so betroffen. Einen genauen Zusammenhang zwischen der Konfig und einem bestimmten Update konnte ich aber nicht erkennen. Nur der Mittwoch letzte Woche war nicht schön :Y

hehe, das letzte Windows Update :D

versuch mal mit der letzten als funktionierend bekannten Konfiguration zu booten, normalerweise hilft das immer. Hatte zumindest bei den ganzen Win2003 Servern geholfen, wo keine Anmeldemaske mehr zu sehen war nach dem letzten großen Update.

vielen dank schonmal :)

das klingt sehr interessant. Das werde ich aufjedenfall testen, wenn ich etwas Zeit finde 8)

oki thx. Jetzt noch eine etwas weiterführende Frage...die 6500 haben mehrere "WAN" Verbindungen, damit bei Ausfall von einem Router oder einer Leitung immernoch die volle Bandbreite verfügbar ist. Ist es möglich den VPN Tunnel dynamisch auf mehrere WAN Interfaces zu legen, damit bei Ausfall von einer Verbindung dennoch der Tunnel weiterläuft ohne Unterbrechung? Weil so wie ich das verstehe wird der Tunnel ja mehr oder minder fest auf ein Interface gelegt?

ok und was ist mit dem Interface auf dem ich cryptomap aktiviere? das normale ROuting das über dieses interface läuft wird davon nicht beeinflusst?

danke schonmal.

crypto isakmp und ipsec ist zumindest schonmal in der Befehlsübersicht vorhanden :)

werde das dann erstmal in einer Testumgebung probieren, bevor da am großen Switch noch was schiefläuft :D

aber eine Frage hab ich da noch:

was ist die PeerIP? Ist das die interne IP von dem VPN? Und das Interface richtung IPSec peer, wenn ich da diese cryptomap aktiviere, läuft der andere traffic da trotzdem noch ganz normal drüber? Weil hätte da jetzt sorgen, dass es da einfach mal eins der 10Gig interfaces weghaut, und da ausschließlich nur der noch VPN drüberläuft. Das wäre nicht so vorteilhaft.

naja, ein 6509 mit einem Superuser 720 3BXL mit der Enterprise Version von IOS hat wohl fast schon mehr Routingfunktionen als die 2xxx und 3xxx Router von Cisco :D

von daher kann man das auch nicht so einfach stehen lassen.

Verbunden sind die Standorte über mehrere zwischenrouter über multiple 10Gbit Verbindungen. Zwischen den Routern (L3 Switche eigentlich) läuft BGP, da es über mehrere Anschlusspunkte Verbindung zu den Providerbackbones gibt. Aber die Standorte sind grundlegend erstmal komplett über unser Netzwerk verbunden.

UNd warum kein Routing erklärt sich schon allein wegen dem IP Bereich von selbst: 192.168.x.x

Und aufgrund der Netzwerkstruktur des privaten LANs ist es auch fast ausgeschlossen da einfach mal routing hinzuzufügen.

ein VPN ist an sich perfekt, weil es macht genau das was gebraucht wird...zwei lokale Netzwerke über das Internet zu verbinden. Nur das hier halt nicht konventionelle Router zum Einsatz kommen, sondern Enterprise Class L3 Switche. Nur da ich bisher ein VPN lediglich auf Homeroutern eingerichtet hatte, und da nichtmal Cisco :X, komm ich sozusagen gerade nicht auf den Trichter wie ich da bei den Switchen herangehen muss.

Hio,

Situation: zwei Locations. In jeder Location sind mehrere VLANs, diese sind aber normalerweise über ein VLAN int auf dem L3 Switch (6509) geroutet. Die Verbindung der beiden Locations findet über normales routing über das Internet statt.

Jetzt sind aber in beiden Locations zwei VLANs mit internen IPs die nicht geroutet werden können und die bisher nur jeweils innerhalb der jeweiligen Location funktioniert haben.

Jetzt ist es aber nötig, dass diese beiden VLANs über das Internet verbunden werden, routing ist dabei aber nicht möglich. Ideal wäre, wenn ich die beiden VLANs irgendwie über einen VPN Tunnel verbinden könnte. Nur irgendwie fehlt mir da gerade der richtige Ansatzpunkt, wie man sowas bei einem L3 Switch realisieren könnte.

ahhhhhhh. DANKE!

Verdammt, darauf muss man erstmal kommen. Das es am Identifikationsheader liegen muss dachte ich mir schon, aber ich wusste bis jetzt noch nichtmal, wie man den auslesen kann. Und dass es dann auch noch an dem Eintrag liegt, hätte ich erst recht nicht gedacht.

hab eben testweise nochmal komplett alles gelöscht und neu gestartet, dennoch ist ebay kleiner als das Kontextmenü...

Hio,

ich habe ein Problem auf Seiten, die auf der Startseite automatisch erkennen ob man mit einem Handy oder mit einem PC auf die Seite zugreift und die dann entsprechend die alternative Seite laden, so z.B. ebay oder studivz. Bei mir wird da immer die mobile mini Version geladen, mit der man klarerweise nicht sinnvoll arbeiten kann.

Habt ihr eine Idee, wo da das Problem liegen könnte?

ups, der Dienst ist bei mir deaktiviert :X

hab ihn mal wieder aktiviert. Dann warte ich mal die nächste Prüfung ab...sollten ja nur ein paar Tage sein...