Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 2921 sicher aufbauen für Internet

Mitglied: Cyberurmel

Cyberurmel (Level 1) - Jetzt verbinden

13.01.2017 um 10:52 Uhr, 1923 Aufrufe, 58 Kommentare

Hi all ,

aufbauend auf diesen post fb-wlan-2821
werde ich die FB als Client einbinden und ggfs. , wenn alles läuft mit Mikrotik noch nachrüsten für das WLAN.
ok.. vigor130 modem ist bestellt - sollte morgen kommen.
Der Aufbau nochmal kurz -- ADSL Modem Vigor130 - Router 2821 gi0/0 , Router 2821 gi0/1 internal net ->Trunk zu SG300,20 -> 1.Trunkport zu 2960g ,2. -> FB als Client für Telefonie


Status quo :

- Auf dem Router 2821 svis angelegt für vlans incl. net adressen
- vlans angelegt auf cisco 2960g accessports für vlan configured . Trunkport zu SG300 allowed all vlans
- vlans angelegt auf SG300 (L2) ..trunkport noch zu konfigurieren
- das "home" netz hat imo noch kein vlan - notwendig?
-die jetzigen vlans brauchen kein internes routing zu anderen vlans. (TV,PS3,Sat Rec etc)

So , wenn das Modem da ist , konfiguriere ich den Router dann anhand hier ? Anleitung
Was sollte ich sicherheitstechnisch auf jedem Fall checken / beachten ? Hatten ja geschaut, dass meine Firmware auch FW mit drin sein sollte.


Danke vorab

greets
Cyb


58 Antworten
Mitglied: Valexus
13.01.2017 um 11:36 Uhr
Moin,

Warum willst du dir dieses große alte Teil zuhause hin stellen? Nur weil Cisco drauf steht?
Cisco selbst gibt einen typischen Verbrauch von 54W an und die Leistung des Gerätes ist ebenfalls grottig:
The throughput for the routing capacity of the 2821 is 87Mbps capacity maximum.

Für den Heimgebrauch wäre wohl ein MikroTik hEXr3 sinnvoller und er verbraucht nur 5W:
http://varia-store.com/Wireless-Systeme/MikroTik-Komplettsysteme/Mikrot ...

Falls es unbedingt der Cisco sein muss kennst du das Tutorial ja bereits.
Was sollte ich sicherheitstechnisch auf jedem Fall checken / beachten ?
Verstehen was die Einstellungen im Tutorial machen ist am wichtigsten, dann kannst du selbst entscheiden was du brauchst.

VG
Val
Bitte warten ..
Mitglied: aqui
13.01.2017 um 12:13 Uhr
wenn das Modem da ist , konfiguriere ich den Router dann anhand hier ?
Ja, konfig steps sind die gleichen allerdings kannst du den ganzen Kram für das interne Modem weglassen was dein Router ja nicht hat.
Du brauchst einzig nur die Dialer 0 Konfig mit PPPoE. Den Rest macht ja dein externes Vigor Modem !
Was sollte ich sicherheitstechnisch auf jedem Fall checken
Steht doch alles dort im Tutorial !
  • Firewall Image aktivieren
  • Telnet und HTTP Zugriff deaktivieren
  • Nur SSH aktivieren und mit einer ACL auf das oder die lokalen Netze oder Management Netz einschränken (Dort ACL 23)
  • SSH Timeout und Password Check und Anforderungen setzen (service xyz)
Das wars im Groben !
Bitte warten ..
Mitglied: Cyberurmel
13.01.2017 um 12:34 Uhr
Hi und danke erstmal,

ja das mit dem Durchsatz ist so eine Sache. Will halt ein bischen daheim real üben können, und da ich günstig an die Kiste gekommen bin hat sich das so ergeben.

Genau so lernt man ja am besten. Zum Beispiel diese Sache mit dem Durchsatz vorher checken - dachte wenn der Gi NICs hat sollte das schon passen.

greets
Bitte warten ..
Mitglied: Cyberurmel
13.01.2017 um 12:35 Uhr
Hi Aqui,

danke nochmal.. Da es das erste Mal ist, wollte ich nur nochmal sicher gehen.

Greets
Bitte warten ..
Mitglied: aqui
13.01.2017 um 16:35 Uhr
dachte wenn der Gi NICs hat sollte das schon passen.
Das passt auch denn du wirst ja vermutlich keinen Gig Link vom Provider haben
Genau so lernt man ja am besten.
Absolut !! Wenn du weitere Fragen hast weisst du ja wo du posten musst....
Bitte warten ..
Mitglied: Cyberurmel
17.01.2017 um 17:26 Uhr
Hi Aqui,

öhm..was ich nicht kapier ist folgendes :
warum hat der Gig Ethernet für WAN Anbindung , wenn doch das Routing max 85 Mbit macht??
Das verstehe ich nicht.. da würde doch auch locker ein 100mbit IF reichen .. hm

greets
Cyb
Bitte warten ..
Mitglied: aqui
18.01.2017, aktualisiert um 10:10 Uhr
Was meinst du mit 85 Mbit genau ?? Was soll das für ein Wert sein und wo kommt der her ?
Die Packet Forwarding Rate bei 128-256 Byte Paketen (Durchschnitt) dürfte deutlich drüber liegen und bedenke das es noch eine Menge Infrastrukturen mehr gibt für eine WAN Anbindung.
Es gibt leider viele verwirrende Dokumente aber der reine Routing Throughput mit aktiviertem CEF Forwarding liegt beim 2901 so bei ca. 500 Mbit. Mit NAT und PPPoE wird das sicher etwas geringer sein aber noch deutlich über 100Mbit. Insofern ist das Gig Interface schon gerechtfertigt.
Bitte warten ..
Mitglied: Cyberurmel
03.02.2017 um 13:09 Uhr
Hallo Aqui ,

sorry das ich nochmal nachfragen muss. Hab Modem jetzt und es läuft und synct standalone.

Jetzt zum Router :

Deine Konfig genommen - bei mir angepasst erstmal ohne Guest Netz . Ich habe ja 2 Gi IF.
Gi0/0 :
*
Brauch ich das doch gar nicht mit Modem oder?? Und falls doch habe ich
Das hier bekommen beim int Gi0/0.8

Unklar ist mir das noch :

Ist das eine authentication Abfrage zum Internet via browser?`

Und was genau kann weg beim Dialer bzw. was muss da hinein für die Modem connection?

Zu Guter letzt hab ich beim

Vielen Dank schon mal vorab
greets
Cyb
Bitte warten ..
Mitglied: aqui
03.02.2017 um 17:40 Uhr
sorry das ich nochmal nachfragen muss
Kein Thema...dafür ist ein Forum ja da...
Hab Modem jetzt und es läuft und synct standalone.
Perfekt !
Brauch ich das doch gar nicht mit Modem oder?? Und falls doch habe ich
Das kommt drauf an.. Wenn dein Router natürlich ein eingebautes Hybridmodem hat wie der 880er oder der 890, dann hast du Recht dann brauchst du das Modem natürlich nicht.
Wenn dein Router kein internes xDSL Modem an Bord hat und du nur ein RJ-45 Breitband (Ethernet) Interface hast wird es natürlich schwierig so ein Ethernet Interface an einen xDSL Anschluss zu bringen....siehst du vermutlich auch selber ein ?!
Ein Blick ins Datenblatt oder auf die Rückseite des Router sollte das aber im Handumdrehen klären. Mit Modem ist dort ein RJ-11 Interface was so aussieht:
xdsl - Klicke auf das Bild, um es zu vergrößern
Bei einem Modularrouter ggf. dann ein Einschub mit so einem Interface.
Das mroute Cache Kommando was er nicht kennt kannst du ignorieren und weglassen.
Ist das eine authentication Abfrage zum Internet via browser?`
Das bedeutet das nach 5 Mal falschen Login Daten du rausgeschmissen wirst. Kann man für die Einfache Startkonfig auch erstmal alles ignorieren. Ist nicht zwingend sondern nur Security Kosmetik
Dein Dialer Interface ist so wie oben komplett richtig.
Außer natürlich das die Kommentare und Hinweise mit Klammern und Pfeil da nicht hingehören...ist aber vermutlich klar.
Die PPPoE Login Daten musst du natürlich auf deine persönlichen anpassen...auch klar.
Falls du doch mit Breitband Interface und Modem arbeitest muss am Breitbandinterface was du dafür verwendest noch folgendes rein:
interface xyz0
no ip address
!
interface xyz0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1
!

Achtung das gilt nur wenn dein Modem kein VLAN Tagging macht und VLAN Tags einfach nur durchreicht. Dann muss natürlich dein Router das VLAN 7 Tagging machen wie oben.
Es gibt Modems die von sich aus automatisch ein VLAN7 Tag ranhängen, dann kann das natürlich entfallen mit dem Tagging bzw. Subinterface und dann kann man das direkt auf dem Interface machen:
interface FastEthernet0
description VDSL Internet Verbindung
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1
!

Sonst ist soweit alles richtig.
Bitte warten ..
Mitglied: Cyberurmel
03.02.2017 um 18:02 Uhr
Hi Aqui ,

erstmal vielen Dank für die schnelle Hilfe.

Öhm ..ne Router hat kein Hybrid Modem. Dafür hab ich ja das externe Vigor. Ob das weiter Tagged weiß ich gar nicht genau. Im setup ist es mal eingetragen. Und wie gesagt - grundsätzlich synct es ja.
Was ich nicht verstanden habe - meine Dial in credentials sind ja bereits im Modem ..da brauch ich doch das nicht nochmal im Router oder?
Das das Dialer Interface imo so passt ist klar - ist ja deins ))
Also du meinst das IF zum Modem was ich mit subinterfaces gemacht hatte :
sollte rückgängig und dann :
so aussehen`?

Macht es einen Unterschied ob das Modem sich "anmeldet" oder der Router sich anmeldet mit den ISP Zugangsdaten?

Danke nochmal schon vorab
greets
Cyb
Bitte warten ..
Mitglied: aqui
03.02.2017, aktualisiert um 19:13 Uhr
Öhm ..ne Router hat kein Hybrid Modem. Dafür hab ich ja das externe Vigor.
Du schriebst ja oben "Brauch ich das doch gar nicht mit Modem oder?? " Daraus konnte man schliessen das du dein Modem gar nicht brauchst ?!
Ob das weiter Tagged weiß ich gar nicht genau.
Besser wäre natürlich es du wüsstest es... Aber egal sonst musst du probieren.
Kannst ja sehen ob die PPPoE Session hochkommt oder nicht. Das ist ein sicheres Indiz ob tagged oder nicht
meine Dial in credentials sind ja bereits im Modem .
Das wäre tödlich und logischerweise eine Fehlkonfiguration des Vigor Modems !!!
Damit hast du das vermeintliche Modem dann als Router konfiguriert !! Dann kann das ganze Konstrukt so natürlich nie funktionieren.
Wäre auch technisch sehr übel, denn somit hast du einen Router Kaskade und doppeltes NAT....
Oder du verzichtest auf den Modembetrieb, lässt den Vigor als Router laufen und hängst den Cisco als einfachen Router dahinter. Damit ist dann aber Dialer Interface, Firewall usw. alles obsolet...klar.

Wie man den Vigor 130 richtig als reines Modem einrichtet siehst du hier:
http://wiki.port23.de/wiki/Draytek_Vigor_130_als_VDSL_Modem
Da ist also bei der Modem Konfig was ziemlich schiefgelaufen bei dir.
Macht es einen Unterschied ob das Modem sich "anmeldet" oder der Router sich anmeldet mit den ISP Zugangsdaten?
Einen gewaltigen ! Siehe oben...
Ein Modem meldet sich natürlich niemals per PPPoE an, das ist technischer Quatsch. Genau deshalb hast du doch logischerweise die Anmeldedaten auf dem Cisco ! DER meldet sich dann an. Niemals ein Modem denn das ist immer passiv und nur ein dummer Medienwandler zw. Ethernet und xDSL Framing.
Wenn es sich anmeldet dann ist es als Router konfiguriert, macht also das was dein Cisco machen sollte. Das ist dann falsch.
Damit (Router Mode am Vigor) sähe die Cisco Konfig am Koppelport komplett anders aus, denn er macht ja dann kein PPPoE mehr. Da würde dann eine einfache IP reichen....und eine statische Route.
Bitte warten ..
Mitglied: Cyberurmel
04.02.2017 um 11:08 Uhr
Sorry.. ja hatte es ein bischen doof geschrieben.
Hardware = Router + ext. Modem

Ok..Danke für die Erklärung. Jetzt habe ich es auch kapiert. Der Vigor kann ja beides sein Modem und Router.
Soll aber rein als doofes Modem laufen.

Vielen Dank . Manchmal (bei mir oft, sorry ) seh ich vor lauter Bäumen den Wald nicht

Ich schau mal ob ich heute oder morgen dazu komme es einzustellen.

Vielen vielen Dank für die Hilfe/Erklärung

greets
Cyb
Bitte warten ..
Mitglied: aqui
04.02.2017 um 20:06 Uhr
Soll aber rein als doofes Modem laufen.
Was natürlich in deinem Umfeld auch absolut Sinn macht !
Manchmal (bei mir oft, sorry ) seh ich vor lauter Bäumen den Wald nicht !
Dafür gibts ja das Forum hier
Bitte warten ..
Mitglied: Cyberurmel
05.02.2017 um 15:33 Uhr
Hi Aqui,

so habs mal ausgetestet - aber geht nichts. Laut Dioden Modem ist alles ok. Aber sonst geht nichts .
Hab mit term mon auch nichts angezeigt bekommen. Müsst ich da debug Dialer machen bzw. Wie debuggt man am besten hier?
Glaub meine config stimmt noch nicht ganz. Du hast auch in der Vorlage Vlan1 drin .. wie soll ich das bei einem Router machen??
Vielleicht hättest du ja Zeit und Lust mal drüber zu schauen. Vielen Dank schon mal.

Denke liegt bei dem if Gi0/0 bzw subs und Gi0/1 der Fehler.

Thx corab




Bitte warten ..
Mitglied: aqui
05.02.2017, aktualisiert um 18:52 Uhr
Aber sonst geht nichts .
Schalte mal den PPPoE Debugger an beim Cisco mit debug pppoe
Achtung wenn du mit Telnet oder SSH drauf bist auch term mon eintippen, damit die Log Messages auf dein Termi kommen.
Dann führst du mal ein ping 8.8.8.8 aus und checkst mal ob es zu einer PPPoE Negotiation kommt.
Mt dem Debugger kannst du alles sehen was auf der Maschine abgeht.
Ausschalten geht mit undebug all.

Es ist möglich das dein Modem schon das VLAN 7 Tagging macht. Wenn das der Fall sein sollte (Check Handbuch !) musst du die Konfig ändern OHNE ein Subinterface !
interface GigabitEthernet0/0
description VDSL Internet Verbindung
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
Bitte warten ..
Mitglied: Cyberurmel
06.02.2017 um 18:47 Uhr
Hi Aqui,

ok. Gemacht. Allerdings kann ich das
nicht auf das interface Gi0/0 machen . Das Modem setzt den Tag7 , habe es nachgeschaut, bzw. angehakt.

Auch die debug befehle sind etwas anderst. Hab mal debug errors und debug events gemacht .
ping 8.8.8.8 gehte .Mit einem Rechner konnte ich nicht heraus.


soqie ein sh ip int brief
zeigten auch connection / Ip sollte klappen .

Allerdings habe ich mal ein sh ip route gemacht
??? Wieso sind da jetzt auf einmal 2 öffentl. IPs??
DNS scheint auch nicht zu gehen bzw muss ich da nicht irgendwo mal den von google reinhauen?

Auch habe ich bei sho int brief :
Passt das so?

Mit einem PC kann ich den router pingen -allerdings Internet ging nicht .

Ich will dir ja nicht alles aus der Nase ziehen ..aber ich weiß grad nicht so was ich wo schauen soll oder kann um zu prüfen wo das oder die Probleme liegen.

Access-list hab ich mal gecheckt :
also scheint die auch zu funzen .

danke mal vorab
greets
Cyb
Bitte warten ..
Mitglied: Cyberurmel
07.02.2017 um 14:57 Uhr
Hi Aqui ,

also nach nochmaligem Lesen heute


Zitat von Cyberurmel:
Ich will dir ja nicht alles aus der Nase ziehen ..aber ich weiß grad nicht so was ich wo schauen soll oder kann um zu prüfen wo das oder die Probleme liegen.

war das ein bischen missverständlich geschrieben. War so gemeint, dass ich mehr probiere und schaue nach deinen Tipps ..
Keinesfalls anders oder frech !

Also nach eigenem suchen habe ich einen Fehler schon mal :
no ip domain lookup sollte schon an sein.
Bitte warten ..
Mitglied: aqui
08.02.2017, aktualisiert um 12:38 Uhr
no ip domain lookup sollte schon an sein.
Das ist aber für die Endgeräte irrelevant sondern gilt nur wenn du auf dem Router selber direkt drauf bist.
Damit schaltet man das DNS Lookup aus auf dem CLI. Sonst würde der Router jeden Vertipper als Hostname interpretieren und danach im Internet suchen.
DNS scheint auch nicht zu gehen
Daszu musst du den Proxy DNS auf dem Router aktivieren !
ip dns server muss dazu aktiviert sein und ppp ipcp dns request auf dem PPPoE Interface.
Dann klappt das auch. Ein show hosts zeigt dir welche DNS Adressen der Router cached.
Hier kannst du sehen das die IP Adressen 143.21.253.71, 143.21.252.72 die sind die der Router per PPPoE dynamisch vom Provider bekommen hat.

Was ist denn jetzt dein Status ??
Wenn du die beiden öffentlichen IPs siehst, sieht das sehr gut aus, denn dann macht der Router erfolgreich eine PPPoE Session zum Provider auf !!!
Die Inbound ACL auf dem Dialer Interface ist richtig. Minimal muss die so aussehen damit alles klappt:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 deny ip any any

5060 ist nur SIP (Voice). Wenn du das erstmal nicht hast kannst du das auch weglassen.
Damit sollte vom Router CLI ein Ping ins Internet ping 8.8.8.8 klappen. Ist das der Fall ?
Bitte warten ..
Mitglied: Cyberurmel
08.02.2017 um 15:23 Uhr
Hallo Aqui,

bin grade nicht zu Hause, aber ping 8.8.8.8 ging vom router aus. Da ich grade keine andere ip hatte wollte ich (vom router) ja ein nslookup machen aber das hat nicht funktioniert - wohl wegen domain-lookup .
Nur ins Internet bin ich nicht gekommen mit einem Rechner. Hab die IP für gateway angepasst (router IP) weil ja vorher von FB . -Sonst gleiches Netz und auf den Router komm ich drauf von dem Rechner.
Weiß dann grad so nicht wo ich weiter schauen soll - das debug pppoe brauche ich ja dann eigentlich nicht , da pppoe funktioniert.
(wobei ich nicht verstehe warum ich 2 öffentliche IPs bekomme aus anderen Netzen
Status Quo für mein Verstädnis :
Internet Zugang steht via pppoe aber Zugriff aufs INet via PC ging noch nicht.

Greets Cyb
Bitte warten ..
Mitglied: aqui
08.02.2017, aktualisiert um 16:49 Uhr
aber ping 8.8.8.8 ging vom router aus.
Perfekt ! das sieht dann aber sehr gut aus !!!
Das kann dann nur noch am Endgerät liegen...
Deine DHCP Einstellungen oben sind soweit alle richtig. Du musst nur mal checken ob du am Endgerät die richtigen IPs bekommen hast. Das geht mit ipconfig (Winblows) oder ifconfig bei unixoiden Endgeräten.
Dein Endgeräte sollte:
  • Eine IP aus dem Bereich zw. 192.168.5.150 und .169 haben
  • Gateway IP auf 192.168.5.2 stehen haben
  • DNS IP auch 192.168.5.2 stehen haben
  • Die Router IP 192.168.5.2 anpingen können.
ACHTUNG:
Ein ganz wichtiges Kommando fehlt noch auf deinem lokalen Interface. Ode rist oben abgeschnitten worden:
!
interface GigabitEthernet0/1
description internal network
ip address 192.168.5.2 255.255.255.0
ip nat inside
duplex auto
speed auto
!

Das musst du unbedingt noch nachtragen sonst macht der Router KEIN NAT zum Internet !
Danach machst du mal ein Ping auf einen nackte Internet IP wie 8.8.8.8 bei einem Endgerät, das schliesst dann erstmal evtl. DNS Probleme aus.
Klappt das ?? Sollte eigentlich !
Wenn ja dann ist es wirklich ein DNS Problem. Ggf. funktioniert der Router dann nicht als Proxy DNS.
Du kannst das umgehen indem du dann mal deine Provider DNS IP Adresse im local DHCP Server definierst und ein ipconfig -release und danach ein ipconfig -renew machst (Winblows). Damit bekommst du neue IPs zugewiesen und DNS am Endgerät.
Dann sollte auch ein Ping auf einem FQDN klappen wie www.heise.de und wir müssen dann mal checken warum der DNS Proxy nicht rennt.
das debug pppoe brauche ich ja dann eigentlich nicht
Richtig ! Hier unbedingt u all auf dem Router CLI eingeben. Ein show debug sollte dann sagen das alles Debugging OFF ist was dann richtig ist.
2 öffentliche IPs bekommst du bei PPPoE immer. Eins ist die Provider IP seines Zugangsnetzes und eins ist die IP des PPP Tunnels...ist also alles vollkommen normal !
Bitte warten ..
Mitglied: Cyberurmel
08.02.2017 um 17:52 Uhr
Hi Aqui,

super danke für deine Hilfe.
Werde ich probieren sobald daheim und Zeit
Ich habe es von einem Rechner ohne DHCP probiert - also aus dem Bereich den der dhcp eh nicht gibt per IP.
Und das gateway angepasst - also den Router. Den konnte ich auch pingen = selbes Netz. Das hat gepasst.
Aber webseite ging keine auf. - auch die 8.8.8.8 vom PC war nicht pingbar.

Aber ich schau nochmal wegen dem nat inside . u all habe ich bereits gemacht ..thx nochmal .

Ich berichte weiter..

Thx vorab
greets
Cyb
Bitte warten ..
Mitglied: Cyberurmel
09.02.2017 um 13:31 Uhr
Hi Aqui ,

ich nochmal .. bin noch nicht dazu gekommen aber meanwhile mal folgende Frage weil ich das noch nicht verstanden habe..
Provider erwartet getaggten Datenstrom (telekom bei mir) das macht jetzt ja mein modem. ok.
Wenn Modem nicht - kann ich subif machen wo das macht.
Jetzt habe ich auch entertain . also vlan 8 wird auch erwartet vom provider. Deswegen subif machen. Ok .

Dort steht interface vlan1 ... Das kann ich doch gar nicht anlegen .. und vlan1 ist doch eigentlich eh native und ungetagged oder??

thx für Aufklärung

Greets
Cyb
Bitte warten ..
Mitglied: aqui
09.02.2017, aktualisiert um 16:22 Uhr
Aber webseite ging keine auf. - auch die 8.8.8.8 vom PC war nicht pingbar.
Das ist auch klar ! Wenn ip nat inside auf dem lokalen LAN Port fehlt kann nix nach draußen funktionieren
Wenn Modem nicht - kann ich subif machen wo das macht.
Ja, bingo, richtig.
Wenn du ein Subinterface einrichtest dann tagged der Router, sprich addiert das VLAN ID Feld an das Ethernet Paket. Das beschreibt der Standard 802.1q
https://de.wikipedia.org/wiki/IEEE_802.1Q
Wenn wie bei dir das Modem das übernimmt ist das Subinterface natürlich dann obsolet, so das man es dann auf dem normalen Interface konfiguriert. Kein VLAN Tag...kein Subinterface. Einfache Logik
Dort steht interface vlan1 ... Das kann ich doch gar nicht anlegen
Jetzt verwechselst du was grundlegend... Die vlan x Interfaces beziehen sich immer auf den embeddeten 4 Port Switch im Router.
Wie viele Router hat dieser einen 4 Port Switch an Bord und den kannst du dann vollkommen frei konfigurieren.
Default ist immer das VLAN 1 und alle Ports im 4Port Switch sind Accessports in diesem VLAN.

Wenn du aber jetzt 2 Ports mehr brauchst für DMZ und für die Gäste dann sieht das so aus:
!
interface FastEthernet0
description Lokales LAN
!
interface FastEthernet1
description Lokales LAN
!
interface FastEthernet2
description DMZ
switchport access vlan 10
!
interface FastEthernet3
description Gastnetz
switchport access vlan 20
!
interface Vlan1
description Lokales LAN (FastEthernet0 und 1)
ip address 192.168.0.254 255.255.255.0
!
interface Vlan10
description DMZ (FastEthernet2)
ip address 192.168.100.254 255.255.255.0
!
interface Vlan20
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
!

Die vlan Interface sind also quasi virtuelle Ethernet Routerports die du wahlfrei den 4 Switchports zuweisen kannst, was die Interface Konfiguration sehr flexibel macht.
Du kannst natürlich auch mehr als 4 vlan Interfaces definieren wenn du mit einem tagged Upling arbeitest:
!
interface FastEthernet3
description tagged Uplink
switchport mode trunk
switchport trunk allow vlan all
!

Es ist also quasi sowas wie ein frei programmierbarer kleiner Switch im Router
Man könnte auch über diesen "Umweg" tagged Traffic nach draussen senden z.B.:
!
interface FastEthernet3
description tagged Uplink
switchport mode trunk
switchport trunk allow vlan 7
!

Würde nur tagged Traffic vom VLAN 7 senden. Allerdings könntest du diesen Port nicht als PPPoE Dialer konfigurieren, das ist auf solchen kombinierten Switchports nicht supportet.
Das sollte etwas Licht ins Dunkel bringen für dich
Bitte warten ..
Mitglied: Cyberurmel
09.02.2017 um 21:13 Uhr
Danke wie immer erstmal Aqui,

aber du beziehst dich doch da auf den 880 Router.
Den hab ich ja nicht sondern einen 2821
Klar bei meinem 2960 er und SG300 ist das dann so wie du schreibst .
Ich kann doch bei meinen 2 IF nur subinterfaces anlegen ausser dem IF selbst klar.
Also so ganz hab ich das dann nicht verstanden was bei mir dann dann anstatt des VLAN1 stehen müsste

sorry .. sonst ist denke ich das vlan tagging mit trunk und switchport access schon verstanden

Thx
greets
Cyber
Bitte warten ..
Mitglied: aqui
10.02.2017, aktualisiert um 16:07 Uhr
Den hab ich ja nicht sondern einen 2821
OK, wenn der keinen embeddeten Switch hat oder ein Einschub mit 4port Switch dann vergiss das Obige. Das gilt dann natürlich nicht.
Dann ist aber auch das vlan Interface für dich obsolet, denn das gibts dann logischerweise auch nicht
Klar bei meinem 2960 er und SG300 ist das dann so wie du schreibst .
Dann kennst du dich ja bestens aus
Mit singulären Interfaces auf den Routern kannst du VLAN Tags dann nur über die x.y Subinterfaces absenden, anders geht das nicht.
Also so ganz hab ich das dann nicht verstanden was bei mir dann dann anstatt des VLAN1 stehen müsste
Sowas wie ein vlan Interface hast du dann ja nicht. Bei dir ist das Gigabit 0/1 ja das lokale LAN.
Das steckt dann in dem Switch in dem dein lokales LAN ist...aus die Maus.
Kein Switch kein VLAN Interface...ist ja auch egal wie das Ding letztlich heisst...
Bei dir steht dann statt vlan 1:
!
interface GigabitEthernet0/1
(---> Ersatz für Int vlan 1)
description Lokales Netzwerk
ip address 192.168.5.2 255.255.255.0
ip nat inside
!

Fertisch
Bitte warten ..
Mitglied: Cyberurmel
10.02.2017 um 21:52 Uhr
Ahoi Aqui ,

thx für die Erklärung. Hatte vorhin nur kurz Zeit zu schauen ..
Problem :
Router ping 8.8.8.8 - erfolgreich .. obwohl ich ihn neu starten musste. (Imo stecke ich ja noch um und irgendwie nahm er nicht die neue config vom Modem -standen noch die "alten IP" .) ok

aber bei dem sh hosts bekam ich nicht die nameservers vom provider sondern da steht nur static mapping drin
Ich habe aber keine Änderung zur config hier finden können.

DHCP geht ..hab mal zum Spaß geschaut . Also bekomm IP aus passender Range und kann den router pingen. Aber kein 8.8.8.8
Anpassungen wie von dir gesagt hatte ich natürlich gemacht.

Irgendwie scheint was mit dem DNS noch nicht zu stimmen

Auch mein subif Gi0/0.8
bekommt keine IP - das sollte ja per dhcp ne 10.er sein wenn ich das richtig verstanden habe...

debug ppp brachte nix

So.. what nu?
greets
Cyb
Bitte warten ..
Mitglied: aqui
11.02.2017, aktualisiert um 12:57 Uhr
Anpassungen wie von dir gesagt hatte ich natürlich gemacht.
Damit meinst du hoffentlich das ip nat inside auf deinem lokalen LAN Port, oder ??
Prüf das bitte nochmal genau. Es kann eigentlich nur noch daran liegen !!
Am Router selber leigt es nicht. Wenn du von ihm direkt die 8.8.8.8 anpingen kannst ist alles in bester Ordnung mit deinem xDSL Zugang.
Modem und Dialer Konfig sind damit raus, die sind dann absolut korrekt.
Es kann dann nur noch am NAT bzw. den NAT bezogenen ACLs liegen.
Diese Dinge sind wichtig dafür:
Lokales LAN muss so aussehen:
!
interface GigabitEthernet0/1
description Lokales LAN
ip address 192.168.5.2 255.255.255.0
ip nat inside
!

Die NAT ACLs so:
!
access-list 101 permit ip 192.168.5.0 0.0.0.255 any
!
dialer-list 1 protocol ip list 101
!

NAT auf dem Interface aktivieren:
!
ip nat inside source list 101 interface Dialer0 overload
!

Das ist das Minimum das NAT sauber funktioniert. Möglich das das Kommando dialer-list 1 protocol ip list 101 bei dir fehlt ?! Das konnte man in der o.a. Konfig NICHT sehen ?!
debug ppp brachte nix
Nee, klar und logisch, denn das debuggt logischerweise nur PPP bezogene Dinge aber nix mit DHCP !
Ein debug ? oder debug ip ? zeigt dir die Übersicht der sinnvollsten Debug Optionen auf dem Router !
Bring aber erstmal sauber den Internet Zugang aus dem lokalen LAN zum Fliegen, dann sehen wir weiter.
Ein Schritt nach dem anderen
Bitte warten ..
Mitglied: Cyberurmel
13.02.2017 um 20:16 Uhr
BÄM

Danke Aqui ...es geht jetzt

Also das nat inside hatte gefehlt . Ich glaube wenn ich mein Modem starte , aktualisiert sich der Dialer nicht automatisch. Kann das sein?
Musste shut / no shut machen dann lief alles.

Juhuu...
Mittlerweile ist auch mein Access point und mein Routerboard da. Sobald wieder zeitlich bischen Luft - binde ich die FB als Client ein und dann kommt das Routerboard bzw. noch VPN / DynDNS.

ok... vorab noch ne Frage . Kann man jetzt noch irgendwie schauen was so die Firewall blockt oder ist das so jetzt sicher??

Saustark ..Danke danke danke schon mal für die Geduld und Mühe

greets
Cyb
Bitte warten ..
Mitglied: aqui
13.02.2017, aktualisiert um 21:20 Uhr
Danke Aqui ...es geht jetzt
Klasse, hort sich gut an...Glückwunsch !
Also das nat inside hatte gefehlt
Wie vermutet. Damit schlägt das NAT fehl und die Pakete gehen mit den privaten IPs ins Internet und damit ins Nirwana.
aktualisiert sich der Dialer nicht automatisch. Kann das sein?
Nein, das kann nicht sein. Der Dialer ist ein virtuelles Interface und der rennt vollkommen unabhängig von externen Geräten.
Er ist zwar physisch an das Hardware Interface gebunden GigabitEthernet0/0 ist hier aber nur vom Link Status dieses Interfaces abhängig.
OK, wenn der Link runtergeht also z.B. wenn du das Modem ausschlatest oder das Kabel abziehst dann ist das Interface physisch down und der Dialer der an dies Interface gebunden ist dann natürlich auch.
Aber solange das Interface up/up ist (show int gig 0/0) ist alles OK. Normal schaltet ja auch niemand das Modem aus oder ab.
Shut / no shut muss man wenn dann nur ein einziges Mal machen sonst nie mehr.
Kann man jetzt noch irgendwie schauen was so die Firewall blockt oder ist das so jetzt sicher??
Das ist jetzt so wasserdich sicher. Du kannst testweise mal das Logging an der ACL 111 aktivieren. Solltest du aber nicht permament laufen lassen, denn das zwingt den Router ins Process Switching (CPU).
Es macht aber Sinn das mal zu machen um mal einen Eindruck zu bekommen wie hoch die sekündliche !! Angriffsbelastung so eines Systems aus dem Internet ist.
Das Kommando access-list 111 deny ip any any log aktiviert das Logging. Mit sh logg kannst du sehen wer so alles rein will bei dir
danke schon mal für die Geduld und Mühe
Immer gerne wieder
Bitte warten ..
Mitglied: Cyberurmel
14.02.2017 um 11:54 Uhr
Hi Aqui ,

werde ich mal probieren. Ja da ich ja noch nicht umgeschaltet habe - habe ich das Modem noch aus und nur zum testen angemacht. Demnächst gehts auf full state

Darf ich noch folgendes fragen :

Imo habe ich ja noch verschieden vlans an den switchen und router on a stick dazu am router.
Ok.soweit hab ich das .

Heißt das jetzt ohne irgendeine Einstellung, dass diese vlans miteinander kommunzieren könnten? Wenn ja - heißt einmal ACL updaten mit dem jeweiligen vlan netz fürs Internet .. und dann nochmal , dass nur Internet permitted ist -sonst nix?
Z.B. für TV Netz oder AVR ,oder SAT sollen NICHT miteinander kommunizieren aber ins Internet können. ?

Ah dann noch mein Entertain. Hab ja das subint angelegt dafür - muss ich das dann quasi "durchschieben" und den entsprechenden port wo der receiver dran ist auf dot1q 8 ?? Dann könnte ich das ja auch in einem vlan lassen oder??

Hatte gestern noch gar nicht geprüft gehabt ob das gelaufen ist ...

greets
Cyb
Bitte warten ..
Mitglied: aqui
15.02.2017 um 14:18 Uhr
Darf ich noch folgendes fragen :
Aber immer doch, ich bitte darum
Heißt das jetzt ohne irgendeine Einstellung, dass diese vlans miteinander kommunzieren könnten?
Die Frage kann man nicht beantworten, da du nicht schilderst wie dein Restnetz aussieht
  • Benutzt du einen L3 Switch
  • Benutzt du z. Routen der VLANs einen Router wie hier im VLAN_Tutorial beschrieben ? Vermutlich ja ?!
  • Oder soll jetzt dein Cisco die VLANs routen
Alles wäre denkbar, aber von allem hängt einen spezifische Konfig ab.
Normal routet man die VLANs ja lokal und nimmt ein von den Produktiv VLANs getrenntes VLAN um zentral aufs Internet zuzugreifen.
So eine Konfig ist z.B. hier beschrieben:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Zentrale Frage ist also WIE dein Netz nachher aussehen soll oder wie du dir das vorstellst ?!
Das bestimmt dann die finale Konfig
Bitte warten ..
Mitglied: Cyberurmel
15.02.2017, aktualisiert um 15:12 Uhr
Danke schon mal ..


so in etwas sollte es aussehen. VLANs werden getrunkt zum Router (subIFs) und sollen bis auf eine Ausnahme nur ins Internet - sonst nix.
VLAN Guest für WLAN später sowie VLAN Home für mein Homenet.

Sieht vielleicht bischen konfus aus , sollte aber so gehen. (baulich bedingt zum Teil auch)

Also ja cisco routet die VLAns - allerdings nur ins Internet. Und ganz wenig Ausnahmen für gewisse PC oder Anwendungen. Das muss ich noch schauen.

Vielleicht ein klein wenig vereständlicher jetzt

greets
Cyb
soll - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
15.02.2017 um 17:43 Uhr
Ganz ehrlich...?? Das Maling ist so wirr, das versteht keiner.
Kannst du das etwas entzerren ??
Nicht das wir von unterschiedlichen Dingen reden nachher
VLANs werden getrunkt zum Router (subIFs) und sollen bis auf eine Ausnahme nur ins Internet - sonst nix.
OK, das macht es etwas klarer. Du hattest kein Model mit embeddetem Switch, richtig ?
Also ja cisco routet die VLAns - allerdings nur ins Internet. Und ganz wenig Ausnahmen für gewisse PC
OK, VLANs mit .1q Trunk auf dem Cisco definieren und dann mit ACLs nur bestimmte Verbindungen zulassen.
Wieviel VLANs und welche ID oder reicht dir ein globales Beispiel wie das zu konfigurieren ist ?!
Bitte warten ..
Mitglied: Cyberurmel
15.02.2017 um 19:38 Uhr
Hi Aqui,

war nur schnell copy paste weil keine Zeit
Öhm.. nein nix embedded. Im groben
-> Vigor Modem
-> Cisco 2821
-> SG300,20 L2 Mode (trunk 2821 )
-> a) FB im Client Mode wenn umgestellt
b) Mikrotik Routerboard fürWLAN
c) Cisco 2960 G (trunk SG300,20)


Reicht es nicht wenn ich auf die jeweiligen SubIF eine ACL so mache?
Und dann die 111 er ergänze mit dem jeweiligen Netz?
Beispiel
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 09:34 Uhr
OK, dann ist die Konfig eigentlich ganz einfach. Auf dem tagged Uplink Port zu deinem VLAN Switch definierst du dann einfach Subinterfaces für jedes VLAN welches du auf dem Router terminieren willst.
Das sieht dann so aus:
!
ip routing
!
interface GigabitEthernet0/1
description Lokales LAN (Def. VLAN 1)
ip address 192.168.5.2 255.255.255.0
!
interface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.2 255.255.255.0
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.2 255.255.255.0
!

....usw. für jedes VLAN
Du erkennst vermutlich das Prinzip, oder ?
Subinterface mit Index das der VLAN ID entspricht, encapsulation auf dot1q setzen mit VLAN ID und den Rest ganz normal konfigurieren wie ein normales IP Router Interface.
Hier kannst du dann auch entsprechende Accesslisten usw. usw. konfigurieren wie gewohnt.
Das wars...
Reicht es nicht wenn ich auf die jeweiligen SubIF eine ACL so mache?
Ja, das ist genau richtig !
Sieht dann als komplette Konfig so aus:
!
ip routing
!
interface GigabitEthernet0/1
description Lokales LAN (Def. VLAN 1)
ip address 192.168.5.2 255.255.255.0
!
interface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.2 255.255.255.0
ip access-group VLAN10 in
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.2 255.255.255.0
!
ip access-list extended VLAN10
permit ip 192.168.10.0 0.0.0.255 host 192.168.20.222

!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.5.0 0.0.31.255 any
(---> NATet VLAN Netze .0.0 bis .31.0 ins Internet !)
dialer-list 1 protocol ip list 101

Die ACL VLAN10 bewirkt das Clients im VLAN 10 ausschiesslich nur mit einem Host im VLAN 20 sprechen können nichts anderes. (Ist hier nur mal ein Beispiel !)
Die CBAC ACL 111 brauchst du nicht anfassen die gilt ja nur für die Firewall.
Bitte warten ..
Mitglied: Cyberurmel
16.02.2017 um 10:46 Uhr
Hi Aqui,

danke danke.

Ja die SubIFs habe ich ja alle schon angelegt. So kann ich es anpassen, das bekomme ich hin .
Das mit der ACL 111 wusste ich nur nicht. Dachte die Firewall lässt imo nur traffic aus meinem homenetz "raus" .
Ok..Das macht die 101. Kapiert denke ich.

Meinst du ich sollte mein "Homenet" in ein explizites VLAN oder reicht das Native (1er) untagged ??

Werd dann erstmal die Baustellen beackern ... VLANs, VPN, DynDns noch. Und wenn das klappt die WLAN Aktion.
Wenn nicht immer das Zeitproblem wäre ...grrrr



Thx vorab

Greets
Cyb
Bitte warten ..
Mitglied: aqui
16.02.2017 um 10:49 Uhr
Meinst du ich sollte mein "Homenet" in ein explizites VLAN oder reicht das Native (1er) untagged ??
Das kannst du halten wie ein Dachdecker
Ist eher kosmetisch. Wenn es im VLAN 1 rennt dann lass es am besten so.
Bitte warten ..
Mitglied: Cyberurmel
16.02.2017, aktualisiert um 14:27 Uhr
Super danke ..

aber nochmal kurz nachgefragt :

Du schreibst :

Warum ist das dann bei vlan10 auf in ? Müsste das nicht bei Vlan10 auf out oder vlan 20 auf in sein?? Oder wegen Beispiel nur so?
Oder hab ich da nen Denkfehler??

Thx
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 16:17 Uhr
Auf outbound ACL sollte man generell verzichten ! Ist auch logisch, denn dann sied die Pakete ja schon im Router oder Switch drin, belassten sinnloserweise die Forwarding Engine um nacher am Ausgang dann doch weggeschmissen zu werden.
Ziemlich unproduktiv und unökonomisch sowas.
Bei vielen Geräten wie Billigswitches sind outbound Pakets CPU switchesd müssen also über die CPU und belasten diese erheblich. Oder...worst Case, sie supporten gar keine outbound ACL.
Fazit: Immer vermeiden wenn es nicht unbedingt sein muss.

Also haben wir hier am Beispiel einen inbound ACL. Der Router filtert also schon alles was man nicht will das am Port reinkommt gleich rechtzeitig weg
Die ACL sagt: "Erlaube hier alles was mit einer Absender IP 192.168.10.irgendwas reinkommt und als Ziel IP die 192.168.20.222 hat. Und...Schmeisse alles andere wech. "
(Letzteres ist immer Default in einer ACL wenn nicht definiert)
Folglich kommen nur Pakete aus dem VLAN 10 raus die zum Server 192.168.20.222 wollen. Alles andere blockt der Port.
Der Parameter in oder out an der Accessgroup am Interface besagt nur ob die ACL für inbound oder outbound Traffic angewendet werden soll.
Warum immer besser inbound steht oben.
Bitte warten ..
Mitglied: Cyberurmel
16.02.2017 um 17:13 Uhr
Ahhhh

Danke... glaube habe den Fehler gemacht das ganze nicht aus Routersicht zu machen. Also ich bin quasi der Router . Kommt traffic rein (in)
Hatte den Denkfehler aus client Sicht auf den Port (out) .. also raus zum Router...

Supi danke
Bitte warten ..
Mitglied: aqui
17.02.2017, aktualisiert um 15:08 Uhr
Jau...genau DU bist immer der Router So musst du dir das vorstellen. "In" ist was quasi in den Mund kommt... Das erklärt dann alles. Lebertran schieben die Hände dann gleich weg...
Bei Outbound wäre der Lebertran schon drin. Den Rest kannst du dir ja dann denken...
Bitte warten ..
Mitglied: Cyberurmel
20.02.2017 um 16:24 Uhr
Hallo Aqui, jetzt muss ich doch noch mal fragen:
In dem Beispiel vlan 10 auf ein host vlan 20 ok.
Aber wie kommen dann clients vlan10 auch ins internet? Gut dafür hast du die 101 angepasst. Aber dachte geht immer nur eine ACL ??
Kannst du mir bitte zum Verständnis helfen :

Also paket kommt aus vlan10 mit Anfrage für google: prüft welche ACL dann??

Paket kommt aus vlan 10 auf den einen host vlan20 - Prüft ACL Extendendx -> hostbereich passt -> permit host passt -> alle protokolle = durchlassen bzw. routen


Danke
Greets
Cyb



Bitte warten ..
Mitglied: aqui
21.02.2017, aktualisiert um 13:58 Uhr
jetzt muss ich doch noch mal fragen:
Kein Problem, dafür ist ein Forum ja da
Aber wie kommen dann clients vlan10 auch ins internet? Gut dafür hast du die 101 angepasst. Aber dachte geht immer nur eine ACL ??
Du hast es richtig erkannt ! Die ACL 101 steuert das:
access-list 101 permit ip 192.168.5.0 0.0.31.255 any

Das inkludiert alle IP Adressen von 192.168.5.1 bis .31.255 also auch alle VLAN Netze in diesem Bereich.
Die ACL 101 steuert wie du ja an der Konfig siehst einmal den PPPoE Dialer, triggert damit also PPPoE Sessions Richtung Provider und sie steuert welches IP Pakete geNATet werden zum Provider und welche nicht.
Sofern du also KEINE Accesslisten erstmal konfiguriert hast kommen damit die VLANs 10 und 20 problemlos ins Internet, da ja der ganze IP Bereich 192.168.5.1 bis .31.255 erlaubt ist.
Soweit erstmal ganz einfach und logisch.

Wenn du jetzt ein neues VLAN 40 aufsetzt mit 192.168.40.x ist's natürlich aus. Das erkennst du selber, denn da greift dann die ACL und diese IP Pakete werden nicht mehr geNATet, gehen also mit der 192.168er Absender IP zum Provider und triggern die PPPoE Verbindung nicht mehr.
Klar, denn sie werden nicht mehr von der ACL 101 erfasst. De müsstest du dann ändern auf:
access-list 101 permit ip 192.168.5.0 0.0.63.255 any

Das inkludiert dann wieder alle IP Netze bis .63.0.
Du kannst die ACL auch etwas strickter fassen:
access-list 101 permit ip 192.168.5.0 0.0.0.255 any
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 101 permit ip 192.168.20.0 0.0.0.255 any
access-list 101 permit ip 192.168.40.0 0.0.0.255 any

Damit ist sie dann sicherer, da sie einzig nur die von dir verwendeten VLAN IP Segmente passieren lässt und nicht noch alle IP Netze dazwischen wie es eine 0.0.31.255 Wildcard Maske z.B. machen würde.
Prinzip hast du vermutlich verstanden, oder ?

Jetzt kommt deine inbound Access Liste an VLAN 10 dazu:
permit ip 192.168.10.0 0.0.0.255 host 192.168.20.222

Ohne diese kommt VLAN 10 normal ins Internet. Siehe oben....
Mit ihr filtert der Router vorab alle IP Paket raus die als Absender eine 192.168.10.x IP haben und als Empfänger die 192.168.20.222 haben.
Alle anderen IP Pakete werden blockiert.
Allein aus diesem Grund kommt jetzt schon keiner mehr aus VLAN 10 ins Internet sondern nur noch zum Zielhost in VLAN 20. Alles andere blockiert die ACL.
Paket kommt aus vlan 10 auf den einen host vlan20 - Prüft ACL Extendendx -> hostbereich passt -> permit host passt -> alle protokolle = durchlassen bzw. routen
Genau richtig !
Sähe die ACL so aus:
!
ip access-list extended VLAN10
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
!

Kommst du nicht mehr mit allen Protokollen drauf sondern nur noch per Webbrowser (www = TCP 80)
!
ip access-list extended VLAN10
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq ssh
!

Erlaubt nur http und ssh. Oder...
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq 443
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq ssh

Erlaubt nur http, https und ssh usw. usw.
Prinzip ist klar, oder ?
Du hast doch die Kiste, probier doch einfach mal etwas rum damit und spiele mit den ACLs
Bitte warten ..
Mitglied: Cyberurmel
22.02.2017 um 13:16 Uhr
Hallo Aqui,

danke. Soweit hatte ich das auch verstanden. Trotzdem bin ich grade bisschen konfus.
Habe mir meine config (aus Vorlage) angeschaut und frage mich gerade wo steht, das er für das Internet Gi0/0 nehmen soll bzw. dieser als standard route genommen wird.
Und zweitens - ist es dann laut deiner Ausführung möglich es so zu gestalten , dass alle IPs aus Vlanx auf host in VLANy zugreifen können UND gleichzeitig nur noch auf das Interface Gi0/0 (also Internet) ?? Weil du ja auch schreibst :
Ja probieren ist schon richtig.. Leider fehlt grade die Zeit und deswegen versuch ich so viel wie möglich so schon zu klären.

Danke vorab
greets
Bitte warten ..
Mitglied: aqui
22.02.2017, aktualisiert um 16:31 Uhr
frage mich gerade wo steht, das er für das Internet Gi0/0 nehmen soll
An Gi 0/0 ist ja dein Modem angeschlossen bzw. das Interface korrespondiert dann direkt auf das Dialer 0 Interface !
Dort in der Dialer 0 Konfig steht: ppp ipcp route default !
Das bedeutet dann das die dort per PPPoE vom Provider propagierte Default Route in deine Routing Tabelle injiziert wird mit der höchsten Prio.
Die mangelt dir dann deine Kabel Route über. Wenn du das nicht willst musst du also zwingend das ppp ipcp route default aus der Dialer Konfig entfernen !
Damit sind dann beide Provider gleichgestellt und der Router entscheidet wohin.
dass alle IPs aus Vlanx auf host in VLANy zugreifen können UND gleichzeitig nur noch auf das Interface Gi0/0 (also Internet) ??
Ja, na klar geht das !
Die inbound ACL must du dann entsprechend anpassen:
!
ip access-list extended VLAN10
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 any
!

Damit erlaubst du dann den Zugriff per Web HTTP auf den Host in VLAN 20 und verbietest den gesamten Rest in VLAN 20 und erlaubst den Internet Zugang von allen VLAN 10 Endgeräten.
Die Route Map ACL klassifiziert dann allen Traffic der von 192.168.10.0 0.0.0.255 ins Internet geht und weist dem dann als Next Hop das Dialer 0 Interface zu. Folglich geht dann der Internet Traffic der VLAN 10 Endgeräte immer fest über Dialer 0 / Gig 0/0
Wenn du ihm als 2ten next Hop den Kabel TV Link einträgst geht er im Backup darüber wenn der Dialer 0 Link mal tot ist.
Eigentlich doch ganz einfach und logisch
Bitte warten ..
Mitglied: Cyberurmel
22.02.2017 um 16:45 Uhr
Hi Aqui...

ja wenn man mal verstanden hat ist es auch logisch . Aber dank dir versteh ich immer mehr

ok. ich denke wenn ich alles richtig verstanden habe sollte meine ACL für das Vlan10 (annahme) so ausshene:
bie den anderen ähnlich . Ich lasse dann nur nirgends mein admin vlan denyen dann routet er ja durch .
bzw. permit es ggfs für gewisse IP Bereich.

Ok.. Hoffe ich komme bald zum testen.Wichtiger fast noch das alles klappt mit entertain.. dann fällt es keinem auf wenn ich daran herum bastel

greets

Cyb
Bitte warten ..
Mitglied: aqui
22.02.2017, aktualisiert um 17:02 Uhr
Perfekt ! ACL ist genau richtig !
Wenn du es Sicherheits technsich vertrten kannst solltest du immer erst alles offen zum Laufen bringen. Erst danach dann die Schotten dichtmachen mit ACLs. Dann weisst du immer das es nur an den ACLs liegen kann
Bitte warten ..
Mitglied: Cyberurmel
24.02.2017 um 13:12 Uhr
Hallo Aqui,

nächstes Problem : IPTV Entertain :

Habe mal laut deiner Anleitung , bzw. auf das dort verlinkte pdf probiert, aber da bekomm ich keine IGMP log meldungen( habe dazu die 111er Acces list mit ip deny any any log ) erweitert.
Auch auf dem Interface Gi0/0.8 zieht er sich keine IP

Das ip multicast routing geht nicht bei mir .

Vielleicht auch mal zum Verständnis -
Die Multicast Anfrage müsste in jedem Fall am Dialer0 ankommen seitens Telekom? Heißt das muss erstmal klappen bevor der Receiver dran ist? Oder muss der erstmal anfragen stellen? Heißt dann auch port wo er dran ist muss auf vlan 8 stehen und der switch muss getrunkt mit vlan8 auf den Router sein?
Imo ist er noch an der FB ,welche aus ist während ich hier am testen bin.

Danke für Hilfe
Greets
Cyb
Im Modem habe ich ja nur Tag7 gesetzt. Da gibt es auch nirgends was mit Tag8
Bitte warten ..
Mitglied: aqui
24.02.2017, aktualisiert um 13:32 Uhr
Auch auf dem Interface Gi0/0.8 zieht er sich keine IP
Jemand hat hier neulich gepostet das die T-Com IPTV jetzt auch auf dem VLAN 7 propagiert.
Dann müsstest du natürlich das ganze Multicasting auch auf das VLAN 7 ziehen sollte das stimmen.
http://www.cisco-forum.net/topic_4350.0.html
Die Multicast Anfrage müsste in jedem Fall am Dialer0 ankommen seitens Telekom?
Jein !
Die kommt auf dem VLAN 7 Subinterface (oder 8) an wenn du VDSL hast ! Alle empfangenen Pakete die ein VLAN 7 Tagging haben werden dann diesem Interface zugeordnet !
Da aber dein Modem ja schon das VLAN 7 Tagging übernimmt "sieht" der Cisco logischerweise kein .1q Tagging mehr, denn das Modem strippt den Tag ja ab am LAN Port.
Dadurch hast du dann recht das dein zentrales Interface dann das Dialer Interface ist auf dem alles auflaufen muss.

Sollte es wirklich auf VLAN 7 und 8 gesplittet sein ist das tagging des Modems dann kontraproduktiv. Klar denn der Router kann den Traffic dann nicht mehr den entsprechenden Interfaces zuordnen und entsprechend behandeln.
Dann musst du das Modem in den Transparent Mode schalten das es die Tags durchreicht an den Router und der dann wieder das Zuordnen übernimmt.
Was dann natürlich VLAN Subinterfaces dann bedingt !!
Bitte warten ..
Mitglied: Cyberurmel
24.02.2017 um 18:14 Uhr
Hi Aqui,

thx erstmal. So .. hab auch bischen recherchiert..
Also es gibt 2 Varianten. BNG Netz der Telekom TELEKOM hat nur noch ein VLAN 7.
Aber ich habe noch das Startnetz. Broadband Popup kein J an 4. Stelle des Namens und verifiziert mit Telekom Hotline.

So heißt ja Vlan 7 wird vom Modem gestrippt und vlan 8 sollte dann doch wie beschrieben "durch" kommen an meinem Gi0/0.8 Subif oder??
Aber ich bekomme dort weder dhcp IP noch wie gesagt über die Änderung der ACL 111 mit "log" irgendetwas von Multicast angezeigt ...

Ok.. Das heißt ..ich muss das Modem auf Transparent schalten und noch ein SubIf Gi0/0.7 anlegen?
Welche Konfig muss dann da drauf? Dasselbe das vorher auf int Gi0/0 war ?
Thx & greets
Cyb
Bitte warten ..
Mitglied: aqui
24.02.2017 um 18:25 Uhr
und vlan 8 sollte dann doch wie beschrieben "durch" kommen
Sollte....?!
Das ist die große Frage. Normal geht eigentlich immer nur entweder oder.
Damit du dir keinen Wolf suchst solltest du das besser mal mit dem Kabelhai checken vorher. Ggf. strippt dann das Modem in dem Modus alles an .1q Tags ab dann siehst du in die Röhre und konfigurierst dir einen Wolf am Cisco.
Aber ich bekomme dort weder dhcp IP noch wie gesagt über die Änderung der ACL 111 mit "log" irgendetwas von Multicast angezeigt ...
Spricht dann eher dafür das das Modem alles abstrippt was an .1q da ist
Kabelhai ist hier dein Freund... Oder noch einfacher der Cisco Debugger...
Ok.. Das heißt ..ich muss das Modem auf Transparent schalten und noch ein SubIf Gi0/0.7 anlegen?
Jepp...das sieht danach aus !
Dasselbe das vorher auf int Gi0/0 war
Ja, genau Gig 0/0 bleibt dann leer und was darauf war dann auf Gig 0/0.7
Bitte warten ..
Mitglied: Cyberurmel
26.02.2017 um 13:06 Uhr
Hi aqui,


so bin schon Schritt weiter .. -Modem Transparent und bekomme auf Gi0/0.7 Internet sowie die IP per DHCP auf Gi0/0.8
aber TV läuft nicht. Glaub bring da was durcheinander.. im Tut wird immer von VLAN1 gesprochen.
Imo Habe ich noch kein dediziertes VLAN für den Receiver.. bekommt die IP per DHCP aus meinem Homenet.

Habe jetz die Einträge für VLAN1 auf meinem Gi0/1 iF gemacht. Denke aber das ist falsch oder?
sh ip pim Interface gibt bei mir aus :
Die Einträge in der Access list habe ich angepasst und sehe zumindest im log keine eindeutigen Fehler.
Sh ip multicast interface zeigt auch keinen Traffic :
Einzig was mir noch aufgefallen ist - in dem Tut ist in VLan1 von ip virtual-reassembly die rede und ich habe bei meinem Gi0/1 ip virtual-reassembly in

Ach und im log sehe ich ab und an :
Receiver bekommt IP per dhcp homenet und Uhrzeit stimmt auch. Aber Standbild ohne Fehlermeldung.
Bin schon nah dran ..
Thx for help
greets
Cyb
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.02.2017, aktualisiert um 13:32 Uhr
und bekomme auf Gi0/0.7 Internet sowie die IP per DHCP auf Gi0/0.8
Sind das 2 unterschiedliche IP Adressen ?
im Tut wird immer von VLAN1 gesprochen.
Das ist das lokale LAN !
Das entspricht bei dir dem interface GigabitEthernet0/1 mit der .5.2er IP.
Im Beispiel ist ein Router mit embedded Switch aktiv und da werden die lokalen LAN Ports auf vlan Interfaces gemappt.
Das ist bei dir dann das GigEth 0/1.
Denke aber das ist falsch oder?
Nope...das ist genau richtig !
sh ip pim Interface gibt bei mir aus :
Das sieht sehr gut aus ! IP Adressen stimmen, alles richtig soweit.
Da stimmt was mit dem Multicasting nicht. Entweder fehlt der Rendezvous Point mit dem globalen Kommando "ip pim rp-address 10.41.127.254 " oder du hast den Helper "ip igmp helper-address 10.41.127.254" vergessen auf dem Gig 0/1 Interface ?! Oder irgendwas hast du da noch vergessen ! Die richtige IP im Multicast Segment hat er aber ! Das ist nur noch ne Kleinigkeit.
Auf dem Gig 0/0.8 soltte sowas stehen:
ip pim sparse-mode
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service

Auf dem GiG 0/1
ip pim sparse-mode
ip igmp helper-address 10.41.127.254
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!

Dann global der IGMP Rendezvous Point:
ip pim rp-address 10.41.127.254

Sehr wahrscheinlich sind das bei dir aber andere Multicast IP Adressen für Rendezvous und Helper, denn du bist in einem anderen IP Segment: 10.246.43.173

Du musst also erstmal den Rendezvous Point ermitteln. Das geht ganz einfach mit einer ACL auf dem Gig0/0.8 Interface:
access-list 105 deny ip any any log
Das blockt dann testweise alles auf diesem Interface und mit sh logg kannst dann sehen was.
Du kannst auch den Debugger auf die ACL loslassen und die ACL 105 debuggen. Auch das zeigt dir deinen RP dann an.
Dann helper und RP Adresse anpassen und die ACL 105 natürlich wieder entfernen !!
Dann sollte es klappen.
Bitte warten ..
Mitglied: Cyberurmel
28.02.2017, aktualisiert 01.03.2017
Chapeau patron aqui

Es geht Vielen Dank. Ich habe zwar noch nicht alles verstanden mit den Befehlen aber kommt hoffentlich noch


Hatte zwar etwas Probleme wieder ne 10er IP auf dem subIF zu bekommen. Aber danach den richtigen Server rein und es geht. Dadää

So FB auf Client gestellt ..Telefon und WLAN (eingeschränkt) geht auch. Sehr gut.

So nächstes kleine Problem bevor es an den Mikrotik für WLAN geht.. :
Die VLANs alle zum laufen bringen.

Test : Ps3 vlan 30
Range 192.168.30.0/24 IP SubiF 192.168.30.1 /24 und die PS3 192.168.30.2 /24
Ping von Router zur Ps3 geht. Ping router 8.8.8.8 source IF vlan30 geht. (Auch mit ping heise.de)
Verbindung nochmal gecheckt - Trunk von Router zu SG300 Port18 und SG300 Port 17 Trunk zum CG2960 VLAN ID ist drin .

Problem - In Ps3 gebe ich IP ,Subnet ein und als Router das SubIF 192.168.30.1 . DNS habe ich primär getestet mit dem SubIF und der Router IP 192.168.5.2 ..Aber bekomme ein DNS error in der PS3.

Ach ja ACL sind noch keine gesetzt ausser die 101er damit die Range 192.168.30.0/24 raus kann. Wasw ja geht.
Kapier ich grad nicht
Wo suche ich da am besten?

Nachtrag : Glaub könnte den Fehler haben :

Mein SG 300 ist ja mit dem 2821 per Gi0/1 verbunden. Auf der SG Seite habe ich dem port die ganzen vlans getagged reingemacht.
Beim Router geht es physikalisch ha auf Gi0/1 (nix mit dot1.q) weil hat ja die ganzen subinterfaces mit dem jeweiligen dot1.q /vlan. Geht das denn so ?

Greets
Cyb
Bitte warten ..
Mitglied: aqui
01.03.2017, aktualisiert um 14:58 Uhr
Hi Urmel !
Bingo ! Hört sich gut an ! Glückwunsch dem IP-TV Multicast Helden !

Interessant wäre:
  • Genaue Vorgehensweise die Rendezvous Adressen rauszubekommen. Outputs der Logs im Router wäre sehr gut wenn du sowas noch hast. Kannst anonymisieren von den IPs
  • Die aktuell laufende Entertain Konfig. Oder gesamte laufende Konfig per PM, ich such mir dann das relevante raus.
Letzteres würde ich gerne ins Cisco Tutorial hier übernehmen wenn du nichts dagegen hast. Natürlich anonymisiert.
Die VLANs alle zum laufen bringen.
Das ist das Geringste aller Probleme
Ping router 8.8.8.8 source IF vlan30 geht. (Auch mit ping heise.de)
Perfekt ! Damit ist das VLAN 30 einsatzklar.
Trunk von Router zu SG300 Port18 und SG300 Port 17 Trunk zum CG2960 VLAN ID ist drin .
Mmmmhhh...nur nochmal doof nachgefragt:
Mit "Trunk" meinst du das was Cisco als Etherchannel bezeichent, also ein Link Aggregation mit 802.3ad und LACP ??
Oder ist "Trunk" für dich jetzt nur ein tagged Uplink vom Router auf den Switch ?
Wenn du ein SG-300 hast müsstest du ja eh nicht die VLANs auf dem Router terminieren sondern idealerweise auf dem Switch selber, denn das ist ja ein L3 Switch !!
Oder hat das einen Grund das du das (oder die) VLAN(s) an den Router ranführen willst ?
In Ps3 gebe ich IP ,Subnet ein und als Router das SubIF 192.168.30.1
"PS3" ist eine PlayStation 3, ist das richtig ??
Die hat gar nicht sowas wie ein "Subinterface" ! Das kennen einfache IP Endgeräte gar nicht. Für die ist das ihre LAN IP Adresse, Maske und Gateway...fertig.
Da müsste dann rein IP: 192.168.30.xyz, Maske: 255.255.255.0, Gateway: 192.168.30.1 (Router)
DNS habe ich primär getestet mit dem SubIF und der Router IP 192.168.5.2
Müsste beides gehen !
Was sagt ein show hosts auf dem Router ??
Kannst du dort die gecachten DNS Namen sehen ? Ein Check um zu sehen das der DNS Proxy auf dem Router rennt.
Auf der SG Seite habe ich dem port die ganzen vlans getagged reingemacht.
"Reinmachen" tut man eigentlich woanders...aber Spaß beiseite...
Das ist auch so genau richtig wenn du die VLANs auf dem Router selber terminieren willst statt auf dem Switch.
Das warum wäre hier nochmal interessant zu erfahren ?!
Beim Router geht es physikalisch ha auf Gi0/1 (nix mit dot1.q)
Ääähhhh, das kann natürlich logischerweise nicht klappen... Nachdenken bitte !!! Kein Tagging dort = keine VLANs = keine Funktion = Logisch ...Denkfehler !!!
So sollte es dann auf dem Gig 0/1 aussehen dazu damit die VLANs 10, 20 und 30 tagged rüberkommen auf den Switch:
!
interface GigabitEthernet0/1
description Lokales LAN (Def. VLAN 1)
ip address 192.168.5.2 255.255.255.0
!
interface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet0/1.30
description Lokales LAN, VLAN 30
encapsulation dot1q 30
ip address 192.168.30.1 255.255.255.0
!

ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.5.0 0.0.31.255 any
(---> NATet VLAN Netze .0.0 bis .31.0 ins Internet !)
dialer-list 1 protocol ip list 101


Das war doch oben alles schon längst ausdiskutiert und geklärt
War wohl doch gestern abend etwas zu spät, oder ???
Wie bereits gefragt: Warum auf dem Router terminieren und nicht auf dem Switch routen ?
Bitte warten ..
Mitglied: Cyberurmel
01.03.2017, aktualisiert 02.03.2017
Hi Aqui ,

die config hänge ich an . Kein Problem. Daten soweit ich nix übersehen habe anoym .
Klar kannst du alles nutzen . Schliesslich hast du ja auch "erstellt"
Die Rendezvous Adresse habe ich so wie schon bereits im Tutorial als geändert drin ist bekommen. Er hat automatisch ne 10er Ip auf dem SubIF bekommen und mit dem Befehl


Was mir aufgefallen ist bisher. Ab und an stockt das TV Bild. Es ist kein anhalten möglich. Und das umschalten ist etwas langsamer als zuvor.Das können noch Feinabstimmungen nötig sein.. bzw ggfs mein Netz ist dazu noch nicht optimal zugeschnitten.


. Ich glaub ich kann mich nicht richtig ausdrücken .. Das meiste habe ich ja wie du geschrieben hast. Der SG300,20 läuft im L2 Mode zur Zeit. Warum ich den nicht auf L3 habe und die VLans switchen lasse? .. Weil ich ja eigentlich mit cisco ios ein bischen üben will /wollte .
Der SG war halt vorher schon für kleines Geld da gewesen. Dort ist aber leider nicht das ios drauf wie üblich und auch räumlich ist er woanders als der Router. Wüsste jetzt auch nicht wie ich da anders machen sollt. Plus ..durch den Einsatz noch des Mikrotik fürs WLAN hätte ich dann 3 Router im Einsatz.
Ja Trunk ist bei mir cisco Trunk . kein Etherchannel oder LAG.
.
Hab mal noch auf anderem VLAN gestestet. Da kommt weder der ping auf die 192.168.80.2 (jeweils End device) vom Router an noch komm ich raus.
Beim 30er wie oben bereits .. Irgendwie wohl die config vom SG da reinhaut?

Beim 2960 sind die jeweils access ports und per Trunk zum SG300 drin.

per PN geschickt


P.s. Ich glaube mit den VLANs geht nicht wegen Routing. Wenn ich auf dem Router sh ip route 8.8.8.8 mache kommt "network not in table" ..da stimmt doch was nicht oder?
Weil ich kann mittlerweile alle Devices vom router aus pingen (vlans) aber die kommen nicht ins Internet. Die ACL 101 zählt aber hoch?
Bitte warten ..
Mitglied: aqui
03.03.2017 um 14:50 Uhr
Ab und an stockt das TV Bild. Es ist kein anhalten möglich. Und das umschalten ist etwas langsamer als zuvor.
Da muss man die Multicast Timer etwas tunen, dann verschwindet das. Ich hatte das in einem der Foren gelesen kann mich aber nicht mehr erinnern wo...
Bitte warten ..
Mitglied: Cyberurmel
03.03.2017 um 17:37 Uhr
Hi.

da kann ich ja jetzt danach suchen Super danke
Thumbs up
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Cisco 2921 Konfiguration Internet und VPN durch Port Weiterleitung

Frage von FinreadRouter & Routing20 Kommentare

Guten Tag zusammen, ich versuche seit mehreren Wochen den Cisco Router 2921 zum laufen zu bekommen. Was ich machen ...

Netzwerkgrundlagen

Aufbau Firmen Lan . . .

Frage von LaBombaNetzwerkgrundlagen12 Kommentare

Hallo, da das Forum hier wirklich TOP ist wende ich mich mit meinen Fragen mal wieder an euch :) ...

Netzwerkmanagement

Router + Firewall aufbau

Frage von zxSpectrumNetzwerkmanagement11 Kommentare

Hallo, ich bin gerade dabei mein LAN zu planen und habe ein paar grundlegende Fragen. Ich habe gehofft, dass ...

Windows 10

Mein Internet schaltet sich immer aus

Frage von 140575Windows 1016 Kommentare

Ich habe das schonmal das als Frage gestellt aber die Lösung war nur kurzfristig. Von meinem Asus Laptop,der das ...

Neue Wissensbeiträge
Exchange Server

ACHTUNG: Ungepatchte Exchange Server aktuell im Visier von Angreifern!

Tipp von vibrations vor 1 StundeExchange Server

Wer es noch nicht mitbekommen haben sollte: Exchange-Server Systeme werden gerade vermehrt auf eine Sicherheitslücke mit der sich das ...

Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 3 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 5 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 5 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen41 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
gelöst Frage von TallerBiskusVisual Studio23 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

DSL, VDSL
Gigabit Leitung - niedrige Geschwindigkeit
Frage von Ghost108DSL, VDSL22 Kommentare

Hallo zusammen, ich bin vor kurzem auf den Tarif Vodafone Cable Max 1000 umgestiegen. Techniker war vor Ort und ...

Hardware
Stromausfalllogger
Frage von certifiedit.netHardware21 Kommentare

Guten Nachmittag, welche Geräte könnt Ihr empfehlen um Stromausfälle, optimalerweise auch Frequenzstörungen zu loggen? Geht hier um keinen konkreten ...