Foster´s
-
Gesamte Inhalte
222 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Foster´s
-
-
Hy Leute,
brauche bitte bitte dringend Hilfe bei folgender Aufgabe :
Gegeben : 192.168.127.0 / 255.255.240.0
Gesucht : Netzadresse & Broadcast
-- kann mir bitte mal einer auf die Sprünge helfen ? Wie rechne ich das noch mal ?
MFG
Foster´s
-
hier mal ein link, der im groben das darstellt, was zu machen ist.
danke für den link, den hätt´ ich eher finden sollen ;)
muss mich jetzt aber noch mal in mein Testnetz klammern .... Es muss doch auch möglichkeit geben, dem Notebook zu sagen : "auf LAN darfst du alles, auf WLAN darfst du nur UDP 500 & 1701 raus" ?? Das geht ja auch mit der WinXP SP2 Firewall nicht richtig, oder ?
Danke für die Hilfe !
-
Hallo heinzrumpel,
Danke für deinen Beitrag !
d.h. ein ipsicherheitsregel zu erstellen, die nur ipsec datenverkehr durchlässt. damit ersparst du dir die vpn einwahl und das starten/konfigurieren des rras.
kannst du das genauer erläutern ? Dachte ich hätte nur Ipsec Verbindungen erlaubt, da ja nur UDP Port 1701 und 500 erlaubt sind !? Wie verbinde ich mich dann zum Server ?
...versteh das noch nicht ganz. Wie beurteilst du die Sicherheit der Notebook Clients ? Ist das aktiviert IP Protokoll ein Sicherheitsrisiko ?
MFG
-
will denn gar niemand seinen Senf dazu geben ? ... bin auf der Suche nach einer Möglichkeit die WLAN Notebooks abzusichern :rolleyes:
Kann man die IP Filterung am Win2000/XP Client nur auf eine der Netzwerkverbindungen beschränken ? habe gelesen, dass das setzen der Filter sich auf alle Verbindungen auswirkt, ist das richtig ?
MFG
Foster´s
-
Hy Leute,
bin gerade dabei eíne Testumgebung für unsere zukünftige WLAN Anbindung zu erstellen.
Im Groben : Erweiterung des vorh. Netzwerkes mit ipsec gesichertem WLAN
Folgendes habe ich bereits durchgeführt :
1. Erweiterung des Windows 200 Servers (DV mit einer Netzwerkkarte
NIC1 - 192.168.50.1/24 ( vorhndes Netz Cleints)
NIC2 - 172.31.0.10/16 *** Neues Netz für WLAN ***
2. Switch + 2 x AccessPoint an die NIC2
- WEP Key an den AccessPoints hinterlegt / SSID BC deakt.
3. Installation des IIS anschl. Zertifikationsdienste
- Einrichtung einer Zertifikationsstelle
4. Einrichtung des RRAS als VPN Server
- RAS Richtline erstellt (nur Benutzergruppe "VPNUser" darf per "VPN" wenn "L2TP" verwendet wird)
- Als Authentifizierungsmethode/protokoll ist nur EAP erlaubt
- IP Adressen werden aus festem Pool zugeteilt
- IPFilter wurden "von Alleine" gesetzt
- Erlaubt nur l2tp + isakmp (udp 500; 1701)
- DHCP (udp 68 & 69) hinzugefügt
... im grossen und ganzen hab ich mich hierbei an die Anleitung auf gruppenrichtlinien.de geahlten ;)
5. DHCP Bereich für das WLAN hinzugefügt.
6. Dementsprechend auch den Client konfiguriert
--------
.. Soweit funktioniert das auch ganz gut ... :D
1. Anmeldung / Einwahl funktionert (nur ;) per l2tp/ipsec mit Zertifikaten, aber ich glaube der Weg ist noch etwas umständlich :
- melde mich per "normal LAN" als Admin an, hole mir dann per http:\\fqdnserver\certsrv Zertifikat "Administrator"
- diese exportiere ich dann über den Internet Explorer in eine Datei, importiere es wieder per mmc und verscheibe das Rootzertifikat von "Eigene Zertifikate " nach "Vertrauenswürde Zertifikate"
- als "Neuer User" muss ich mir dann allerdings einmalig nochmal ein Zertifikat holen (per http:)
-> Ist das alles so richtig ? geht das einfacher ? Wäre nett wenn mir das einer erklären könnte ! :wink2:
-> kann mir einer mal nen Satz zu dem "EAP" geben ? Sinnvoll ? Meinungen ?
2. Habe ausserdem das Problem, dass die Anmeldung an der Domäne jetzt halt nicht merh funktioniert. Da ja der VPN Tunnel noch nicht aufgebaut ist .... per DFÜ anmelden geht auch nicht. ( würde wohl nur mit Smartcard funktionieren!?)
-> gibt es hier eine Lösung ?
3. Wie sichere ich die WLAN Clients ab ? (WICHTIG!!)
- mal angenommen jemand hat den WEP Key "geschafft" und ist somit mit dem WLAN verbunden ? Auf den Server kann er nicht zugreifen, da nur IPSEC Einwahl stattfinden kann. Die Daten koennen nicht gesnifft werden, da der l2tp es tunnelt. aber da ich am client weiterhin das IP Protokoll aktiviert haben muss, gibt es doch da den Angiffspunkt !? Oder ?
-> Was macht man da ? (wenn möglich mit Boardmitteln)
4. Wie sieht es mit der Performance aus ? kann man das irgendwie berechnen ? habe hier nur 3 WLAN Clients z.zT (Sollen ca 20 werden) ... und merke, dass ein "Download" vom Server ca. 3x so lange dauert .... was erwartet mich da ?
5. Was sagt ihr im Allgmeinen ? Gibt es sachen die man besser machen kann / soll / MUSS ?
.... so, wer sich die mühe gemacht und alles gelesen hat, kánn auch gerne noch die eine oder andere Zeile antworten. Dann finden wir bestimmt eine Lösung auf meine Fragen ;)
Haltet euch nicht zurück :cool:
Schönen Sonntag weiterhin !
-
Welches Tobit ? Du meinst MX, oder ? Mehr Infos !
MFG
Foster´s
-
´Ist es ein USB Drucker?Wie meinst du das ? Der angesprochene Netzwerkdrucker ist an einem Windows 2000 Srv freigegeben und mit meinem Client "verbunden". Koennte ich diesen so nutzen ?
gibt es denn Probleme mit USB ?
Koennte mir gut vorstellen, bzw. es wird mit Sicherheit den ein oder anderen Homeuser mit USB Drucker geben. Kann ich denn irgendwie festlegen das er nur einen bestimmten (lokalen) Client Drucker verbindet ?
MFG
Foster´s
-
Hy,
sitze im noch am genannten Problem. Muss nun langsam mal ne Lösung finden. Welche voraussetzungen mussen erfüllt sein, damit ich im Terminal Client den Haken bei "lokale Geräte" -> "Drucker" anhaken kann und es auch funktioniert. Bin jetzt soweit, dass er mir den lokalen (LPT1) Drucker verbindet. Momentan ist es nur der eine, was ist aber wenn ich 5 verschiedene hätte ? Würde er alle versuchen zu verbinden ?
Was ist mit meinem Netzwerkdrucker ? Wie koennte ich diesen benutzen ?
Bin für jede Hilfe dankbar !
MFG
Fosters
-
Hy Leute,
brauch mal nen kleinen Denkanstoß.
Habe hier folgende Situation :
- VPN Einwahl von extern (feste IP) auf CISCO PIX ( z.Bsp. 192.168.10.10 )
- Windows 2000 Anwendungs-Terminal Server ( z.Bsp. 192.168.10.1 )
vs.
- Windows XP Professional Client hinter 08/15 DSL (NAT)-Router
- HP OfficeJet45 per lpt1 angebunden und freigegeben
... der WinXP Client soll nun logischerweise lokal (bei sich) drucken koennen.
folgendes habe ich probiert ...
1. wähle mich per vpn ein
2. starte die TS Sitzung als Admin
3. Start -> Ausführen -> "%Clientname%"
-> Fehler : "kann Hostname "blabla" nicht finden"
( wobei der name "blabla" der richtige Name ist
) 3,5. nslookup blabla -> kann nicht gefunden werden
4. IP Adresse der VPN Verbindung am XP Client heraus gesucht. ( nehmen wir an, die x.x.10.25 )
5. Start -> Ausführen -> "\\192.168.10.25"
6. Fenster öffnet sich, Drucker kann nun per "verbinden" eingebunden werden. Dies gemacht. Damit sollte der TS nun die Treiber haben.
7. Testseite gedruckt - i.o. (treiber scheinbar i.o.)
8. Habe dann den Haken gesetzt, den lokalen Drucker im TS-Client zu verbinden. Ging nicht !? hat sich nichts getan. Dabei sollte der Server ja eigentlich die Treiber haben !?
..... sooo, wie mache ich jetzt weiter!?
- die IP Adresse der VPN Verbindung bleibt ja i.d.r. nicht bestehen
-> Login Script á la "net use lpt1: \\Ipadresse\druckername" fällt also aus.
- hat einer ne idee wieso der Terminal Server den %Clientname% nicht richtig auflösen kann ? Welche bedingungen muessen erfüllt sein ?
was mich am meisten interessiert ...
... wie macht ihr so etwas bei euch im Betrieb / in Solchen Fällen !?
Hoffe ihr könnt mir etwas helfen. Wenn noch mehr Inpu benötigt wird´, bitte melden ... ;)
MFG
Foster´s
-
ich würde den Router davor belassen. weil ...
1.
keinen Server direkt für das I-NET nutzen würde2. Du evtl. Probleme mit Serververöffentlichungsregeln u.s.w. bekommst, den diese verlangen (gerade beim 2000er ISA) desöfteren die Angabe einer IP Adresse. Und diese wäre in deinem Fall ja dynamisch ...
MFG
Foster´s
-
Finger weg vom Aagon! Das Teil installiert einen sehr großen Agenten auf den Clients der viel Ressourcen schluckt!
.. und sich ungefragt auf allen Clients verteilt !!!
- Aagon steht auf meiner Blacklist ... ;)
MFG
Foster´s
-
die VMware Workstation läuft auch auf 2003Server, kann man auf der Homepage von VMware nachlesen. Es läuft keine VMware auf einem DC
- komisch, hatte meine 4.5.x (?) Version auf einem 2003er DC (standard) laufen. Ohne irgendwelche installer Änderungen
MFG
Foster´s
-
Die frage ist gar nicht so verkehrt. Mit den Emails kann man sich mit einer Weiterleitung behelfen. Was mach´ich aber mit einem Kalender eines anderen Benutzers. Habe hier das Problem, dass ich etwa 7-10 User Kalender "überwachen" muss / soll. Das ganze Postfach (wie von "7-Club" beschrieben) einzubinden ist mir zu viel. Jedes mal den Weg über "Datei" -> "Öffnen" -> (...) ist mir auch zu umständlich ! ;)
Gruß
Foster´s
-
müsste es doch funktionieren, von den Laptops aus unter Umgehung der Firewall (Also den Dienst kurz beenden) eine Internetadresse anzupingen
- das habe ich noch nicht probiert. Werde das gleich mal nachholen.
. Z.B. sagt Deine Grafik, dass die Clients eine Subnetzmaske 255.255.255.0 haben- sorry, die Grafik stimmt nicht (mehr). Die Clients aus dem 172er Netz haben nun eine 16bit (255.255.0.0) SM.
Einfacher wäre es wohl, den Adressbereich 172.20.0.0 bis 172.20.0.255 dem Netz "Intern" hinzuzufügen.. so hatte ich es ja zu Beginn konfiguriert. Ging ja auch nicht !
MFG
Foster´s
-
Hy,
Hast Du die Erkennung von Eindringversuchen aktiviert?Ja ist aktiviert.
Falls ja, erhältst Du entsprechende Alarme?irgendwie nicht immer, nur einen, von heut´ mittag
: ---------
Description: ISA Server detected a spoof attack from Internet Protocol (IP) address 172.20.0.50. A spoof attack occurs when an IP address that is not reachable via the interface on which the packet was received. If logging for dropped packets is set, you can view details in the packet filter log.
-----------
Hast Du in den Systemrichtlinien die Ausführung des ping-Befehls und den sonstigen Zugriff auf den ISA-Server erlaubt?Ja, habe ich. habe beide Netzwerke "Intern" & "WLAN" hinzugefügt. Aus dem "Intern" Netz funktioniert es auch.
Das Surfen von Deinen Laptops aus funktioniert aber, oder?nein. Es funktioniert gar nichts. kein Ping, kein Dateizugriff. kein Surfen (weder proxy noch über GW) - scheint als würde der ISA das "WLAN" Netz aus irgend einem Grund immer noch nicht als internes / sicheres netz erkennen.
-> hat jemand einen ISA Server "hinter" einem gerouteten Netz ? ?
btw: hab in der zwischenzeit das SP1 installiert. Ohne merkliche Veränderung.
Ich finde Dein Problem aber durchaus spannend- naja, spannend find ichs nicht mehr gaaaanz so. Sitze zu lange davor. :D - langsam wär ich über Rätsels Lösung dankbar !!!
Danke für die Hilfe !
Gruß
Foster´s
-
Hallo,
leider sieht man in der Protokollierung nicht, welche Regel den Zugriff verweigert. Du kannst Dir alle Felder anzeigen lassen (rechter Mausklick auf die Spaltenüberschrift), das wäre sicherlich hilfreich.habe das geändert. Ich hoffe es hilft !?
Damit Clients den ISA-Server selber anpingen können, müssen sie in der Gruppe der Remoteverwaltungscomputer sein.Sind sie. Das ganze "WLAN" Netz
Hast Du die Adresseinträge des internen Netzwerkes selbst vorgenommen oder automatisch eintragen lassen? Die sehen etwas merkwürdig aus, das könnte daran liegen, dass Du auf der 192.168.0.10 Schnittstelle ein Gateway eingetragen hast.Ja hatte ich (manuell) eingetragen. Habe jetzt auf der Internen Schnittstelle per "Adapter hinzufügen" die Adressen zugewiesen, und für das "Netz" WLAN den folgenden Adressbereich "zugeordnet" :
http://home.arcor.de/fosters85/public/pictures/s7.JPG
- wie meinst du das mit dem Gateway ? habe auf der 192.er Karte kein Standard-Gateway eingetragen.
hier die Routing Tabelle des ISA Servers :
http://home.arcor.de/fosters85/public/pictures/s8.JPG
für weitere Vorschläge bin aber immer offen !!!
MFG
Foster´s
-
so,
habe jetzt in anlehnung an diesen Artikel ...
h++p://www.msisafaq.de/Anleitungen/2004/Konfiguration/Netzwerke.htm
.... das Netz umkonfiguriert.
http://home.arcor.de/fosters85/public/pictures/s1.JPG
--------
http://home.arcor.de/fosters85/public/pictures/s2.JPG
- viel gändert hat sich nicht. :wink2: allerdings habe ich in der LogDatei folgendes gefunden :
http://home.arcor.de/fosters85/public/pictures/s3.JPG
- das Routing schein also zu passen. Aber wieso verweigert der ISA die Verbindung ?
Bitte um Hilfe ! wer weiß rat ?
Foster´s
-
hy,
ja kann es. auch umgekehrt.
Gruß
Foster´s
-
keiner ne Idee ?
- wie erlaube ich den Zugriff für die Clients am ISA Server ?
wo sind die ISA Profis ? zeigt euch ! ;)
Gruß
Foster´s
-
Hallo Foster´s,
soweit ich weiß darf der ISA Server kein RRAS Server sein. Die
Funkionalität die dir RRAS bietet kannst Du auch mit dem ISA Server
abdecken.
scotty23
nur der Dienst "läuft" - er dient u.a. auch zur VPN Einwahl. NAT ist am RRAS deaktiviert, bzw. nicht eingerichtet.
Foster´s
-
Hy ihr,
Da du kein Gateway für die Clients im Netz 192.168.0.0 haben möchtest kann der DHCP
Server den o.g. Routingeintrag für dich vornehmen.
Dazu muss in den Bereichsoptionen für den Bereich 192.168.0.0 die DHCP Option 249
(statische Routen ohne Klassen) aktiviert werden und dort Netz, Maske, Gateway angegeben werden.
In deinem Beispiel 172.20.0.0 / 255.255.255.0 / 192.168.0.1
- ah ja, die alternative hört sich gut an !!!
Die gilt natürlich auch für den ISA Server.
route add 172.20.0.0 mask 255.255.255.0 192.168.0.1
- leider funktioniert genau dies von diesem nicht, nicht ganz.
"ping" vom ISA auf einen der 172er Clients :
Ohne Routing Eintrag -> Zieholst nicht erreichbar.
Mit Routing Eintrag -> Zeitüberschreitung der Anforderung.
scheinbar verweigert der ISA den Zugriff auf diese / von diesen Clients.
mhhh...
MFG Foster´s
-
Hi Foster´s,
deine Bilder sind nicht zu sehen.
thorgood
Hallo,
ich hoffe jetzt !?
Gruß
Foster´s
-
Hy Leute,
brauche unbedingt eure Hilfe. Ich habe unserem windows 2003 DC eine weitere Netzwerkkarte für das (neue, zukünftige) WLAN spendiert. sieht nun so aus :
folgende Problematik :
1.) Wenn ich dem 192er Netz keinen GW zuweise, kann ich sie von den Notebooks nicht ereichen !? - Wieso ist das so ? :rolleyes:
-> eigentlich möchte ich den 192er Clients auch keinen GW zuweisen (Surfen per Proxy)
-> alternativ, also ohne GW, kann ich die Routingtabelle an den Clients anpassen -> dann funktioniert es auch. Kann ich dies (z.Bsp. per Gruppenr.) global "vergeben" ???
2.) Kann ich aus dem 172er Netz den ISA Server gar nicht erreichen. Kein Ping, keine Dateifreigabe - egal ob ich an diesem die Routingtabelle anpasse, eine Statische Route im RRAS hinterlege oder sonst irgendwas. Komm an diesen nicht "ran" .. nehme an, er verweigert es.
( das 172er Netz habe ich in der ISA-Verwaltung an die Interne Schnittstelle gebunden!)
- wer kann mir helfen, das Problem zu lösen ?? Welche Info´s baucht ihr noch ? :p
MFG & Vielen Dank schon mal
Foster´s
-
eine VMware Console über RDP zu sehen geht nicht bis überhauptnicht
- doch, geht definitiv - ohne Probleme ! :D
.. auch mit VM-Workstation (4x) ... unser ISA läuft momentan noch in dieser "testphase"
MFG
Foster´s
...versteh das noch nicht ganz. 
Hilfe bei subnetting
in Windows Forum — LAN & WAN
Geschrieben
wieso das ? wie kommst du da hin ?
tut mir leid. bin in der eile wohl verrutscht.
Aber vielen Dank schon mal !!!
MFG
Foster´s