Stream

Kamikater 5 hours ago

TL;DR:
Wegen DS-Lite kann ich über Fonial nur anrufen, aber nicht angerufen werden. Wer kennt einen alternativen IPv6 VoIP-Anbieter?

Hallo zusammen,

ich habe zurzeit Internet über Vodafone Cable. Eigentlich hat es mein Nachbar und ich zahle ihm die Hälfte. Bei 1 GBit kein Problem. Er hat eine Vodafone Station mit DS-Lite. Für Dual-Stack müsste er sich eine FritzBox für 5 € im Monat mieten. Nach meinen letzten Informationen gibt Vodafone die Logindaten für eine eigene FritzBox nicht her, aber das kann mittlerweile anders sein.

Sein Internetsignal hole ich mir über meinen OpenWrt-Router per WLAN in die Wohnung und spanne damit mein eigenes (W-)LAN auf. Internet läuft super, aber Festnetz-Telefon natürlich nicht. Jetzt habe ich Fonial entdeckt, das ist echt super. Keine Grundgebühr, normale günstige Minutenpreise, eine Flatrate brauch ich nicht. Ne alte FritzBox an den OpenWrt-Router stecken, DECT-Telefon einrichten, fertig.

Es gibt nur einen Haken: "Um über unseren Service Anrufe zu empfangen, benötigen Sie eine eigene IPV4 Adresse, was Kabel-Internet nicht anbietet." Nur ausgehende Gespräche funktionieren.

Kennt jemand eine bezahlbare VOIP-Alternative zu Fonial, die mit IPv6 funktioniert und weniger als 5 € im Monat kostet? Auf einer Vergleichsseite habe ich folgende Anbieter gefunden, aber bevor ich alle einzeln durchgehe und nach Reviews suche, wollte ich in der Runde mal fragen, wer was empfehlen kann, was zu meiner Suche passen könnte. (3CX by multiconnect, Avaya Cloud, Clarity, GEMAKOM, GoToConnect, ma-x communications, NFON, Placetel, q.beyond, reventix, sipgate, STARFACE, SWYX, TeamSIP Centrex, telegra, toplink).

AzureBK 5 hours ago

8 comments

Comment in: MS365 Karriere - wie gehe ich vor?

Mit dem wie du dich beschrieben hast, würde ich eher mit Zertifikaten im "Associate"-Level beginnen. Selbst diese wirst du wahrscheinlich, nach ein wenig auswendig lernen von Merkmalen der Produkte, schnell schaffen;

Da fällt mir sogar ein, dass mittlerweile selbst in der offiziellen Prüfung es möglich ist die Microsoft Learn Plattform zu surfen. Von daher muss man auch nicht alles auswendig lernen.

techcommunity.microsoft.com/t5/microsoft-learn-blog/introducing-a-new-resource-for-all-role-based-microsoft/ba-p/3500870

AzureBK 5 hours ago

8 comments

Comment in: MS365 Karriere - wie gehe ich vor?

Hi,

die Frage ist nicht pauschal zu beantworten.

Das kommt darauf an, in welche Richtung du dich am Ende weiterentwickeln möchtest. Die Az-900 und MS-900 sind ein guter Anfang, aber für einen erfahrenen Admin, ist das nicht unbedingt notwendig. Falls du die doch machen möchtest, dann kommt es darauf an, in welche Richtung möchtest du dich weiterentwickeln. Willst du zu Azure und die Dienste, dann AZ-900. Möchtest du eher in Richtung O365 - Administration und Verwaltung, dann ist MS-900 eher das richtige.

Mit dem wie du dich beschrieben hast, würde ich eher mit Zertifikaten im "Associate"-Level beginnen. Selbst diese wirst du wahrscheinlich, nach ein wenig auswendig lernen von Merkmalen der Produkte, schnell schaffen; und diese sind Voraussetzungen für die Zertifizierungen auf "Expert"-Level. Für den Azure Bereich gibt es für Rollenbezoge Certs gute Diagramme, die den Entwicklungspfad zeigen. Hier ein Beispiel:

Azure Certification Path

Ich selbst bin MS zertifizierter Azure Cloud Solutions Architect und das ist für mich der perfekte Weiterbildungsweg gewesen. Die Arbeit in dem Bereich hat mir bisher sehr viel Spaß gemacht. Ich administriere zwar auch bei verschiedenen Kunden O365 Dienste, aber mir machen die Planung und Umsetzung der Az-Dienste mehr spaß. Ich kann in meinem Fall nur sagen, dass es sich auf jeden Fall gelohnt hat, da es mir ermöglicht hat, überhaupt Gehör bei manchen Kunden zu verschaffen, die sonst gar nicht reagiert hätten. Klar musste ich die Kunden mit Ergebnissen überzeugen, aber durch die Zertifizierung waren die Erstgespräche deutlich entspannter.

Ich glaube, am einfachsten ist es, selbst wenn du mit den Fundamentals beginnen solltest, dir einen Lernpfad auszusuchen und im Microsoft Learn die Lernmodule durchzulesen. Du wirst relativ schnell merken, ob es zu einfach ist bzw. ob das Thema dir überhaupt liegt. Wenn du merkst, es macht spaß und du hast den richtigen Zertifizierungslevel ausgesucht, dann würde ich auf dem Level einsteigen.

Grüße

MirkoKR 5 hours ago

1 comment

Comment in: Warum braucht mein Debian mit mehreren Interfaces mehrere Routing-Tabellen?

Hi.

Braucht dein Host eigentlich nicht.. .
... denn anhand der IP-Adressen der Schnittstelle. weiß der Host ja, in welchen Netzen nebst Subnetz (/24 z.B.) er ist..

Aber: eine auf dem Host installiierte Software erwartet ggf. weiterrn Infos - das hängt aber eben von der Softwarr ab ...
.. . auch wenn das m.E. eher ein Programmiermangel ist ...

Spirit-of-Eli 6 hours ago

14 comments

Comment in: HP Switch Firmware download

Moin,

such einfach über das Aruba Portal.
Selber Login und wenn die Firmware halbwegs aktuell zu bekommen ist, hast du dann auch das "neu Interface". Ein Upgrade ist einfach per Firmware upload möglich.

Gruß
Spirit

entfernt 6 hours ago

52 comments

Comment in: DynDNS mit DS-Lite für L2tp mit MikroTik

Vielen vielen Dank!!!!!

Klappt alles genau wie gewünscht

2 FritzBoxen + 1 Mikrotik, laufen alle gleichzeitig und die User Zugriffsregeln greifen auch alle.
Wirklich wirklich TOP!

Viele Grüße :D

[Nachtrag]
Doch noch ne kleine Frage...
Das:

unique = replace

steht ja vermutlich dafür, dass jeder User nur einmal zur selben Zeit verbunden sein kann.
Das ist ja auch generell eine gute Sache, aber kann man zufällig auch festlegen das es einen User gibt der sich öfter verbinden kann und alle anderen nur einmal?

maretz 6 hours ago

11 comments

Comment in: Sinnvolle IT Security Weiterbildungen

Das ist generell auch richtig. Und natürlich sollte das nicht heissen das Schulungen generell falsch sind oder nix taugen. Im Gegenteil - nur wenn man weiss welche Möglichkeiten es gibt kann man sinnvolle Entscheidungen treffen (auch wenn viele Manager beweisen das Entscheidungen auch ohne Ahnung getroffen werden können :D).

Man muss eben aber auch wissen das "zuviel" genauso schädlich ist wie zu wenig. Stell dir vor du müsstest jedes mal beim Öffnen des Mail-Programmes per 2FA dich neu anmelden. Für die Sicherheit wäre das natürlich gut - da eben kein Kollege so einfach dran kommt. Aber: Wie lange würde es dauern bis die Mitarbeiter zB. ihren privaten Mail-Account via Webmailer nutzen würden weil der eben einfach geht? Oder sich alternative Optionen suchen - zB. mit Kunden per Whatsapp (o.ä.), Telefon,...? In dem Moment hast du mit "zuviel Sicherheit" ggf. mehr Schaden als Nutzen erreicht...

michacgn 7 hours ago

1 comment

Warum braucht mein Debian mit mehreren Interfaces mehrere Routing-Tabellen?

Hallo zusammen,

ich spanne über eine MT-Router mehrere VLANs auf, die in der MT-Firewall ausreichend getrennt sind. Das klappt seit einigen Jahren ganz gut.

Jetzt möchte ich gerne auf einer Debian-Maschine Avahi als MDNS-Reflektor einsetzen.

Nach der Anschaffung eines Bonjour-fähigen Druckers, der in einem anderen VLAN ist als die Clients, habe ich Bind mit DNS-SD-Einträgen so eingerichtet, dass auch das iPhone diesen gefunden hat.
Leider musste ich nach dem Upgrade auf iOS17 aber feststellen, dass nun keine DNS-SD-Querys mehr gestellt werden, so dass der Drucker nur per mDNS gefunden wird.

Mit ein bisschen Fummelei läuft der Reflektor jetzt auch problemlos - doch frage ich mich noch, ob diese Fummelei wirklich nötig war oder ob ich nur eine Trivialität übersehen habe?

Der Server hat vier Interfaces, die jeweils in einem anderen VLAN stecken. Alle vier erhalten ihre Konfiguration per DHCP. Damit hat der Reflektor schnell funktioniert, doch waren andere Services auf der Maschine nicht mehr ansprechbar. Auch nachdem ich diese jeweils an ein Interface gebunden hatte, änderte sich das nicht.

Geholfen hat letztendlich, für jedes der Interfaces eine neue Routing-Tabelle anzulegen und diese jeweils mit einer Regel für das in dem VLAN verwaltete Netz und einer Default-Route zum Gateway zu bestücken, hier am Beispiel für ein VLAN_200, zu welchem der Adressbereich 192.168.200.0/24 gehört:

ip route add 192.168.200.0/24 dev $IFACE src $IP_DES_SERVERS_IM_200_NETZ table VLAN_200
ip route add default via 192.168.200.1 table VLAN_200

Anschließend habe ich noch eine Routing-Regel pro VLAN angelegt, die dafür sorgt, dass Pakete aus dem jeweiligen VLAN gemäß der jeweiligen Routing-Tabelle bearbeitet werden:

ip rule add from $IP_DES_SERVERS_IM_200_NETZ table VLAN_200

Danach lief es wie gewünscht: ein Dienst, der an das VLAN_200 gebunden war, war auch nur da zu erreichen - aber problemfrei.

Was mich jetzt nur wundert:

war das wirklich nötig, oder wäre es einfacher gegangen?
gibt das "from" in der "ip rule" nicht die Quell-Adresse des Pakets an? Müsste hier dann nicht "192.168.200.0/24" stehen, statt der IP, die der Server im VLAN_200 hat? Trotzdem klappt es.

Vielleicht könnt Ihr mir hier helfen, mein 90%-Verständnis dessen, was ich da gebastelt habe, auf 100% zu erhöhen...

Danke!

Viele Grüße
Michael

PadMan 8 hours ago

7 comments

Comment in: DrayTek Vigor130: welche IPs für DHCPv6 eintragen?

Vielen Dank für eure Infos und Tipps

Ihr habt recht

Die 7272 bekam ich gestern geschenkt und ich weiß, dass die inzwischen auch schon über 10 Jahre alt ist. Diese bekam jedoch noch ein "Sicherheitsupdate" samt netter Web-UI

Ich hatte vor einiger Zeit sogar noch mit der älteren 7270 V2 es nicht geschafft, dass die über dem Vigor sich einwählt, es kamen wenn nur Fehlermeldungen, und die 7272 baut ebenfalls nicht selbstständig eine Verbindung auf, die 7272 meldet: "Die Prüfung der Internetverbindung ist fehlgeschlagen. Der Internetanbieter antwortet nicht auf PPPoE-Pakete. Wiederholen Sie den Test zu einem späteren Zeitpunkt."

Ich bin der damaligen Anleitung gefolgt, wobei er das UniFi verwendete...
idomix.de/draytek-vigor-130-als-vdsl-modem-einrichten

Merkwürdig ist, dass die 7370 (die existiert nicht mehr), die ebenfalls aus 2013 stammte, schon VDSL konnte, aber die 7272 aus selbigen Jahr nicht...

Die 7272 sollte nur vorübergehend genutzt werden, und gerne dann, wenn es bei dieser klappt, dass die selber die Verbindung über das DSL-Modem aufbaut

Momentan sieht es finanziell schlecht aus, sonst hätte es ja ein besseres Gerät geben können...

DarkZoneSD 8 hours ago

1 comment

Comment in: Arduino IDE inkl. ESP32 als Portable Version nutzen

Moin,

mit SFX kann man self extracting archives kompilieren, kannst mit ein paar batch Dateien oder VB Skripten dir das so hin löten wie Du es brauchst. Zugegeben eine umständliche Angelegenheit, aber mir fällt momentan keine simple Lösung dazu ein

Grüße

Florian

mbehrens 9 hours ago

9 comments

Comment in: Citrix Gateway und Sophos UTM

Zitat von @xboxnico16:

Zitat von @mbehrens:

DNAT ist bei einer Sophos UTM das richtige Mittel.

Bei passender NetScaler Lizenz kann darüber dann auch gleich der MS Exchange bereitgestellt werden.

Alles klar. Danke für den Tipp. Also das heißt ich mache quasi nur Gateway von außen erreichbar über die UTM und den Exchange dann über den Netscaler.

Wenn man soviele Ressourcen und Lizenzen hat, kann man das machen. Ich würde stattdessen nochmal genau nachlesen, worin der genaue Unterschied zwischen Gateway und ADC liegt und wie dieser zustande kommt.

Wie genau gehe ich da in der UTM vor? Ich tippe Mal auf eine DNAT-Regel auf die IP des Gateways?

Ja, in der Regel hängt man die Maschine eher nicht direkt an den öffentlichen IP Kreis.

meltinsands 9 hours ago

6 comments

Comment in: OpenVPN mit IPv6 Verbindungsprobleme

Es führte scheinbar kein Weg drum herum, die Privacy Extension aufzugeben.

Die Verbindung zum Server baut das iPhone nun sicher über IPv6 auf, wenn ich die Portweiterleitung für IPv4 an der f!b dicht mache.

Würde mich mit einem Update nochmal melden. Es gibt noch ein paar Dinge, die noch nicht so laufen, wie ich es gerne hätte.

Fantomaso 9 hours ago

15 comments

Comment in: Problem bei CLI Zugriff auf Switch mit Putty.Teraterm.Realterm

Lösungen sind markiert. Thema abgeschlossen.

Ihr seit ganz grosse Klasse!

Vielen Dank! Switch konfigurieren ist (mit Hilfe von Tutorials) ein Kinderspiel gegen das Anfangsproblem.

StefanKittel 9 hours ago

4 comments

Comment in: Windows Server 2019 Essentials als Domain-Mitglied

Zitat von @Vision2015:
aber du kannst eine Standardversion kaufen, dann geht das!

Und CALs nicht vergessen.

Ibertag 9 hours ago

Ibertag has registered

Focus: Other systems - User group: End-user.

nupi81 9 hours ago

15 comments

Comment in: Zugriff auf LTE-Netzwerk

Mist habe mich vertippt.
Meinte natürlich dass der Rasp. Pi die Verbindung aufbauen soll und nicht der Router.
Habe das oben schon korrigiert.

Das verstehe ich jetzt aber nicht.
Heißt das man kann auf die Fritzbox nur eine Verbindung herstellen wenn der Fritzbox die Client-IP-Adresse schon bekannt ist?
Dann brauche ich ja gar nicht mehr weitermachen.
Eine feste IP-Adresse werde ich auf der entfernten Seite nicht bekommen.

Vision2015 9 hours ago

4 comments

Comment in: Windows Server 2019 Essentials als Domain-Mitglied

Moin...

Ich hatte mir vorher die Lizenzbedingungen angeschaut und es so verstanden, dass man 2019 Essentials nur als DC verwenden darf, wenn es dann der primäre DC ist.

so ist es...

Ich dachte, als Member kann es problemlos zu einer Domäne gehören.

Nö...

aber du kannst eine Standardversion kaufen, dann geht das!
Frank

Syosse 10 hours ago

2 comments

Comment in: Keine Konnektivität zwischen 2 Synology über IPSEC

Zitat von @aqui:

Die WAN Port Regeln sind überflüssig, denn die richtet die Firewall per Default ein. Das kannst du auch selber sehen wenn die dir mit Klick rechts im WAN Port Ruleset die automatischen Regeln ansiehst.
Da sie kontraproduktiv sind solltest du die manuell erstellten also wieder entfernen.
Im Tunnel selber solltest du erstmal eine Scheunentor Regel Any Any belassen um dir da keine Knüppel zwischen die Beine zu schmeissen. Wenn alles geht kannst du das Regelwerk immer später noch dichtziehen, denn so weisst du immer das es nur am Regelwerk liegen kann.
Also immer strategisch vorgehen!

Kannst du denn aus den jeweiligen lokalen LAN Netzen die jeweils remoten Synology NAS pingen?
Um ganz sicher zu gehen kann man das auch über die SSH Shell oder auch das GUI Ping Tool direkt von NAS zu NAS austesten.
Zumindestens das sollte wasserdicht klappen bevor du mit dem Backup Setup weitermachst.
Tut es das, dann ist es in der Tat kein Netzwerk Fehler sondern ein Konfig Fehler deiner Backup Einrichtung.
Da NAS Systeme immer tunlichst statische IP Adressen haben wird im Netzwerk Setup auch gerne mal das Default Gateway dort vergessen. In so einem Fall scheitert natürlich auch die Verbindung.

Vielen Dank für die Info.

Ping klappt gegenseitig beide haben eine Fixe, DNS, Gateway sowie IP-Adresse:

Ich werde mal das Hyper Backup nochmal neu installieren und nachschauen ob dort der Haken.

Herzlichen Dank für die Hilfe

Edit: Hatt jetzt nach ein erneuten Restart geklappt.

aqui 10 hours ago

15 comments

Comment in: Zugriff auf LTE-Netzwerk

Wieso benötige ich eine feste IP, bzw. DDNS auf beiden Routern?

Die Fritzbox lässt sich mit ihrem eingeschränkten IPsec Setup, im Gegensatz zu "richtigen" Routern, leider nicht als reiner Responder konfigurieren der dynamische Profile supportet. Das supportet AVM nicht und ist leider der Nachteil bei diesen einfachen Plaste Consumerboxen.
Wenn du dort die üblichen "0.0.0.0" angibst für einen VPN Responder (Server) oder den Hostnamen weglässt (leer) kommt bei der FB der Tunnel nicht mehr zustande.

wollte ich das der LTE-Router eine Verbindung zur Fritzbox aufbaut

Wieso das denn jetzt?? 🤔
Ist der LTE Router denn ein VPN fähiger Router? Wenn das der Fall ist (und du auch leider nicht gesagt hast ☹️) kannst du dir doch dann das ganze Setup auf dem RasPi sparen und das VPN dann mit dem LTE Router direkt realisieren.
Das wäre die deutlich bessere Lösung, denn VPNs gehören ja bekanntlich immer auf die Peripherie!

aqui 10 hours ago

2 comments

Comment in: Keine Konnektivität zwischen 2 Synology über IPSEC

Die WAN Port Regeln für IPsec sind überflüssig, denn die richtet die Firewall immer per Default ein!
Das kannst du auch selber sehen wenn die dir mit Klick rechts im WAN Port Ruleset die automatischen Regeln ansiehst.
Da sie kontraproduktiv sind solltest du die manuell erstellten also besser wieder entfernen!
Im Tunnel selber solltest du erstmal eine Scheunentor Regel Any Any belassen um dir da keine Knüppel zwischen die Beine zu schmeissen. Wenn alles geht kannst du das Regelwerk immer später noch dichtziehen, denn so weisst du immer das es nur am Regelwerk liegen kann.
Also immer strategisch vorgehen!

Syosse 10 hours ago

2 commentsSolved

Keine Konnektivität zwischen 2 Synology über IPSEC

Hallo Zusammen

Aktuell lauft zwischen 2 Standorten über WAN eine IPSEC Verbindung, die Verbindung ist aufgebaut und läuft soweit auch Stabil. RDP, HTTPS etc. laufen gegenseitig einwandfrei.
Jedoch kann ich von der 1 Synology bei Standort A nicht auf die 2 Synology bei Standort B zugreifen sowie umgekehrt.
Rules die ich erstellt habe:

Die beiden IPSEC Port Rules sind auf beiden Standorten eingerichtet und für die Verbindung von aussen zu WAN Interface zuständig bzw offen.
IPv4 TCP/UDP Quelle: * Ziel: WAN Port 500 ISAKMP
IPv4 TCP/UDP Quelle: * Ziel: WAN Port 4500 ISAKMP

Nebst dem ist noch eine Rule eingerichtet für IPSEC zu den jeweiligen internen Netz.
IPv4 TCP/UDP Quelle: * Port:* Ziel: OfficeV10 Netzwerk

Das ganze realisiere ich mit HyperBackup von Synology.

Ich vermute es liegt an der Synology, weiss hier jemand rat oder hat damit Erfahrung ?

Vielen herzlichen Dank.
Gruss Syosse

bnk890 10 hours ago

11 comments

Comment in: Sinnvolle IT Security Weiterbildungen

Hi, klar meistens steht man im Alltag vor einem Problem welches gelöst werden will.
Finde aber bei Security sieht das schon anders aus. Ich meine auch wenn man überhaupt keine Sicherheitsvorkehrungen betreibt, kann es lange Zeit gut gehen bis dann eben gar nichts mehr geht. Da muss man ja vorher schon bestimmte Maßnahmen ergreifen, dass es eben gar nicht bzw. weniger Wahrscheinlich dazu kommt. Daher hab ich eben da an Schulungen gedacht um eben Ansätze zu haben was sinn macht bzw. welche Maßnahmen immer eingesetzt werden sollten z.B Vlans.

omerozel 10 hours ago

omerozel has registered

Focus: Security - User group: Consultant.

Spirit-of-Eli 10 hours ago

9 comments

Comment in: Citrix Gateway und Sophos UTM

Zitat von @xboxnico16:

Gibt es irgendwo im Netz eine Anleitung, wie ich Citrix Gateway und den Exchange über die UTM oder auch über den Netscaler, bzw. ADC gleichzeitig von außen erreichbar machen kann? Hat da jemand von euch schonmal im Netz was dazu gefunden, wie man das mit einer dynamischen IP umsetzen kann?

Nein, deine "dynamische IP" wird nach wie vor von deiner UTM gehalten und das DNS Thema kannst du wohl auch darüber fahren.

Bezüglich Netscaler kann ich dir nicht sagen ob es öffentliche Guids gibt. Wenn du das so groß aufbaust, arbeitest du entweder bei einem Dienstleister und kommst eh an die Dokus wie auch Schulungen heran. Oder kaufst dir halt den Support ein.
Ohne Citrix Lizenzen läuft der ganze Spaß ja nun auch nicht.

Spirit-of-Eli 10 hours ago

9 comments

Comment in: Citrix Gateway und Sophos UTM

Zitat von @xboxnico16:

Zitat von @Spirit-of-Eli:

Moin,

du brauchst einen Reverse Proxy. Sonst geht das nicht.
Daher kannst du da am besten nen Netscaler einsetzen.

Das haben die Kollegen früher zum Testen zuhause auch aufgebaut. Ansonsten wirst du wohl auch keinen Exchange zuhause betreiben.

Gruß
Spirit

Genau das ist alles rein zum testen. Also das heißt, nur noch den Netscaler ohne Sophos UTM einsetzen? Kann der dann auch sowas wie Dyndns, da ich Zuhause ja nur ne dynamische IP habe? Dafür setze ich die UTM nämlich unter anderem ein.

LG

Wie soll das funktionieren?? Und wieso "nur noch"?

Der Netscaler kann reverse Proxy und auch Loadbalancer spielen. Aber ersetzt doch keine Firewall..

nupi81 11 hours ago

15 comments

Comment in: Zugriff auf LTE-Netzwerk

Vielen Dank,
werde mich jetzt mal ran machen.

Die Fritzbox unterstützt kein Wireguard, bleibt also IPsec.

Voraussetzung sind DDNS Adressen (MyFritz! usw.) oder alternativ feste IPs auf den Routern.
Wieso benötige ich eine feste IP, bzw. DDNS auf beiden Routern?
Das steht auch in den Config Dateien (remotehostname = "<ddns_adresse_lte_router>"; )

Das ist ja gerade mein Problem dass der entfernte Router LTE-Router keine eigene IP-Adresse bekommt.
Mein eigentliches Ziel ist es ja von Zuhause (Fritzbox) auf das Netzwerk des LTE-Routers zuzugreifen.
Da das nicht geht wollte ich das der Rasp Pi eine Verbindung zur Fritzbox aufbaut
um dann von Zuhause (VPN Server / Fritzbox) auf das LTE-Netz zugreifen zu können.

Auf der Fritz Zuhause habe ich ein DDNS eingerichtet.

aqui 11 hours ago

22 comments

Comment in: PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Der läuft auch auf Win10 stabil.

Na ja, das ist ein bisschen (mit Verlaub) "krank" wenn du problemlos mit IKEv2 die Win10 onboard Clients nutzen kannst. Ist schon recht sinnfrei da dann noch einen ollen IKEv1 Client extra zu installieren...aber nundenn. Warum einfach machen wenn es antik und umständlich auch geht?! 🤣

Sobald ich da "Mutual PSK and XAuth" setze funktioniert die L2TP/IPsec Einwahl nicht mehr,

Erwartbar...
⚠️ Du hast beachtet das bei L2TP die Tunnel Connection immer im Transport Mode arbeitet und NICHT im Tunnel Mode wie vermutlich bei deinem Shrew Client?!
Beide Modi sind NICHT kompatibel!

Die ganze tolle Nutzerverwaltung der PfSense für die VPN-Einwahl ist obsolet, wenn man L2TP nutzt.

Nein, wie kommst du auf solchen Unsinn?? Sorry...
Du musst auch die einzelnen L2TP User mit Usernamen und Password auf der Firewall definieren.
Da hast du dann leider das Tutorial nicht richtig gelesen (was ja mal passieren kann als einäugiger Buccaneer 😉) oder missverstanden?! 🤔

Dani 11 hours ago

14 comments

Comment in: Proxy vor Exchange19, Authentifizierung, Exch. Extended Protection

Moin,

Als PreAuth sind mir nur VPN oder Client-Zertifikate bekannt.

Das sind für mich beide keine Pre-Authentification Verfahren. Denn weder VPN noch Client Zertifikat werden dafür genutzt, dass die Authentification am Service, nämlich Exchangee-Server nach wie vor auf diesem stattfindet und nicht auf einem vorgelagerten Server.

In diesem Sinn wiederhole ich mich gerne. Die mir bekannten Produkte sind

Produkte von F5, Kemp und Barracuda, jeweils WAF/LB
Microsoft Azure Application Proxy
Microsoft AD FS + WAP

Und wer es erst meint sichert die Zugänge für ECP, OWA, Outlook Anywhere noch mit einem 2FA ala OTP.

Gruß,
Dani

aqui 11 hours ago

15 comments

Comment in: Zugriff auf LTE-Netzwerk

Nee, wir können das verkürzen mit etwas Silbertablet weil ja Wochenende ist! 😉
Voraussetzung sind DDNS Adressen (MyFritz! usw.) oder alternativ feste IPs auf den Routern.

Fritzbox VPN Konfigurationsdatei

Annahme lokales Fritzbox LAN = 192.168.178.0 /24
Werte in "<...>" ggf. Fritzbox LAN IP und Passwort/PresharedKey musst du nach deinen Gegebenheiten anpassen.

vpncfg {
        connections {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "RasPi";  
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
		remotehostname = "<ddns_adresse_lte_router>";  
                keepalive_ip = 172.22.22.1;
                localid {
                        fqdn = "<ddns_adresse_fritzbox>";  
                }
                remoteid {
                        key_id = "raspi@raspi.intern";  
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "Geheim1234!";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.22.22.0;
                                mask = 255.255.255.252;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 172.22.22.0 255.255.255.252";  
        }
} 

Raspberry Pi Setup

Da dein Raspberry "einbeinig" angeschlossen ist benötigst du eine zusätzliche Loopback Adresse dort.

# The loopback network interface
auto lo
iface lo inet loopback
iface lo inet static
address 172.22.22.1
netmask 255.255.255.255 

Der RasPi muss danach rebootet werden und dann sollte ein ip a dir diese neue IP Adresse anzeigen!

Dann erzeugst du eine Konfig Datei in /etc/swanctl/conf.d/ mit z.B. dem Namen fritzbox.conf mit folgendem Inhalt:

connections {

fritzbox {
 local_addrs = 0.0.0.0/0
 remote_addrs = <ddns_adresse_fritzbox>
  local {
   auth = psk
   id = keyid:raspi@raspi.intern
   }
  remote {
   auth = psk
   id = fqdn:<ddns_adresse_fritzbox>
   }
  children {
   net {
   local_ts = 172.22.22.0/30
   remote_ts = 192.168.178.0/24
   esp_proposals = aes256-sha512-modp1024,aes256-sha1-modp1024
   start_action = start
   }
  }
 version = 1
 proposals = aes256-sha512-modp2048,aes256-sha512-modp1024,aes256-sha1-modp1024
 }
}

secrets {
 ike-1 {
 id = fqdn:<ddns_adresse_fritzbox>
 secret = "Geheim1234!"  
 }
} 

Mit swanctl -q startest du den VPN Tunnel zur Fritzbox.

Ein ipsec statusall sollte dir dann den aufgebauten IPsec VPN Tunnel zur Fritzbox anzeigen und dann sollte auch ein Ping auf die Fritzbox IP 192.168.178.1 erfolgreich sein!
Auch andersrum natürlich aus dem Fritzbox LAN auf die RasPi IP 172.22.22.1.

Falls deine Fritzbox Ver. 7.5x supportet und dir Wireguard vielleicht doch lieber ist, dann findest du die entsprechende Lösung aptippfertig HIER.

Beide VPN Lösungen führen zum Erfolg!

Snagless 12 hours ago

6 comments

Comment in: DECT-Betrieb hinter einer Fritzbox verbessern

Hallo,

alternative zur Gigaset DECT 100 Go-Box ist der "Gigaset N510 PRO DECT" da kann man simultan 6 SIP Nebenstellen an die Fritte anbinden, wobei maximal 4 zeitgleich genutzt werden können.

Den kann man per LAN abgesetzt strategisch gut platzieren. Maximal gehen dass 6 Repeater aber nur die Gigaset Repeater 2.0 oder Gigaset Repeater HX. Das sollte reichen, wobei der N510 muss da immer in der Mitte sitzen (ergo einen Rep. links, rechts, vorne, hinten, oben und unten hin setzen. Mehr DECT geht für so wenig Geld nicht ;=)

Der funktionale Unterschied zur Gro Box ist da recht gross. Habe gerade heute so einen N510 an einer Agfeo ES als billige DECT Basis verbaut.

Der Fritz DECT ist bei der Fritte als Ökosystem auch gut zumal er sich was die FW-Updates betrifft gut integriert. Aber Limit ist das auch 6 Stationen und keinen Repeater Kaskade möglich. Auch nur in der Mitte, und das bei Router ja manchmal ein Problem.

Pjordorf 12 hours ago

4 comments

Comment in: Windows Server 2019 Essentials als Domain-Mitglied

Hallo,

Zitat von @agebel:
Stimmt es, dass Windows Server 2019 Essentials nicht einer Domäne angehören darf, für die es nicht selbst der primäre DC ist?

Ja das stimmt. Eine der Einschränkungen eines Essentials. Du musst halt deinen Essentials zum 1ten (Primären) DC machen. Somit kann es nur 1 Essentials geben, da der immer der erste sein will. Du kannst aber beliebig viele 2te (Secondary) DCs haben bis halt deine Lizenzen (CALs) erschöpft sind. War beim SBS auch schon so, und wie dort ebenfalls zeigt es ein Essentials an wenn die Lizenzbestimmungen nicht eingehalten werden indem der einfach Runterfährt und sich ausschaltet.

Oder kann da irgendwo was verstellt sein?

Ja, eine Standardversion nutzen-

Gruß,
Peter

the-buccaneer 12 hours ago

22 comments

Comment in: PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Wie meinst du das genau??

Na ja, ich nutze "eigentlich" ne IKEv1 Einwahl und den Shrew-Client mit XAuth Identifizierung für die User. Der läuft auch auf Win10 stabil.
Wenn ich nun auf der PfSense die Phase1 für L2TP/Ipsec konfiguriere kann ich ja nur "Mutual PSK" definieren damit es klappt. Sobald ich da "Mutual PSK and XAuth" setze funktioniert die L2TP/IPsec Einwahl nicht mehr, auch wenn ich den Peer Identifier auf "any" setze.
Wie kann ich User identifizieren und die Berechtigungen für die VPN-Einwahl der User auf der PfSense für IPSec mobile Clients ohne L2TP nutzen UND eine L2TP/Ipsec einwahl ermöglichen? Ich kann dem L2TP Client die User ja nicht zusätzlich schon für die IPSec-Einwahl mitgeben. Und die Pfsense erwartet offenbar "irgendwas" wenn ein Peer Identifier in der Phase 1 gesetzt ist. "Nix" ist hier offenbar keine untergruppe von "any".

Will sagen: Die ganze tolle Nutzerverwaltung der PfSense für die VPN-Einwahl ist obsolet, wenn man L2TP nutzt. Schade...

CrazyS 12 hours ago

8 comments

Comment in: MS365 Karriere - wie gehe ich vor?

Mich würde das Thema ehrlich gesagt auch interessieren. Wir hatten auch ein Wechsel in der Firma und sind in die Cloud gewechselt.
Microsoft bietet soviele Zertifizierungen an das man da nicht genau weiß welche man manchen soll oder wohl eher welche man braucht um zumindest die Grundkenntnisse aufzubauen denn etwas anderes sind die Zertifizierungen nicht.

Nur muss man eben irgendwo mal anfangen...

triplescotty 12 hours ago

triplescotty has registered

Focus: Development - User group: Administrator.

AddiMint 12 hours ago

6 comments

Comment in: DECT-Betrieb hinter einer Fritzbox verbessern

Danke euch allen für die schnellen und guten Antworten.

Werde es als erstes mit dem FritzDect-Repeater probieren und sonst mit einer DECT-Basisstation.

transocean 12 hours ago

4 comments

Comment in: Windows Server 2019 Essentials als Domain-Mitglied

Moin,

Stimmt es, dass Windows Server 2019 Essentials nicht einer Domäne angehören darf, für die es nicht selbst der primäre DC ist?

So ist es wohl. Zumindestens interpretiere ich die EULA so.

Gruß

Uwe

foto2004 13 hours ago

7 comments

Comment in: ProFTP passive über Port 20, wie?

Danke für die Tips.
Das mit dem MasqueradeAddress war die Lösung.
Ja leider muss es ein klassisches ftp sein geht nicht anders weil da noch "alte Anwendungen" den benutzen. Ja ich weiß sollte man ändern, nur leider habe ich die Anwendung nicht geschrieben.

Visucius 13 hours ago

15 comments

Comment in: Zugriff auf LTE-Netzwerk

Ich sehe schon, das wird episch 😁

PS: zerotier.com

agebel 13 hours ago

4 comments

Windows Server 2019 Essentials als Domain-Mitglied

Hallo!

Ich betreibe einen Windows Server 2019 Essentials. Darauf gibt es zwei Dateifreigaben und den Server einer Branchensoftware (Vetera.net).

Im Netzwerk befinden sich 6 Clients mit Windows 11 Pro, die darauf zugreifen.

Für die zentrale Steuerung der Benutzerzugänge und -berechtigungen habe ich vor einem Monat auf einem Synology NAS (DS723+) einen Directory-Server aufgesetzt und eine Windows Domäne eingerichtet. Das wird dort mit Samba 4.15.13 realisiert.
Den Server habe ich zur Domäne hinzugefügt, hat auch alles sehr gut geklappt und funktiert einwandfrei.
Bis sich der Server gestern plötzlich heruntergefahren hat.

In der Ereignisanzeige habe ich folgendes gefunden:

"Die Überprüfungsrichtlinie für Nicht-Domänenmitglieder hat eine Bedingung in der Umgebung festgestellt, die nicht mit der Lizenzierungsrichtlinie konform ist. Dieser Server kann sich nur in einer Arbeitsgruppe befinden oder ein Domänencontroller sein."  

Ich hatte mir vorher die Lizenzbedingungen angeschaut und es so verstanden, dass man 2019 Essentials nur als DC verwenden darf, wenn es dann der primäre DC ist. Ich dachte, als Member kann es problemlos zu einer Domäne gehören.

Stimmt es, dass Windows Server 2019 Essentials nicht einer Domäne angehören darf, für die es nicht selbst der primäre DC ist? Oder kann da irgendwo was verstellt sein?

Viele Dank,
Andreas

agebel 13 hours ago

agebel has registered

Focus: Windows in general - User group: End-user.

DivideByZero 13 hours ago

3 comments

Comment in: Exchange Server Sync mit Outlook App fehlerhaft

Moin,

möglicherweise lag es daran, dass die mobilen Outlook Apps keine Direktverbindung zum Mailserver herstellen, sondern zur Microsoft Cloud, in der dann die Benutzerdaten und Passwörter gespeichert werden. Die Microsoft Server melden sich dann an Deinem Exchange an. Sozusagen eine geplante und vom User genehmigte "Man in the middle" attack. Da wird ggf. irgendetwas zwischengespeichert gewesen sein, das dann am nächsten Morgen aus dem Cache flog. Die IOS App dagegen hat eine Direktverbindung zum Mailserver hergestellt und damit auch gleich die Änderungen nachvollzogen.

Gruß

DivideByZero

DivideByZero 14 hours ago

11 comments

Comment in: Win 7 Windows-Modulinstaller aktualisieren

Wenn die Win7-Installation wegen bestehender Installationen nicht neu aufgesetzt werden kann, dann versuche mal, die Installation zu virtualisieren (VMware Converter) und als VM mit klassischem BIOS (vmx-Eintrag: firmware = "bios") zu starten. Das sollte die Umstellung auf UEFI überflüssig machen und gibt den Zugriff auf die installierten Programme.
Ggf. eine sehr alte Version vom VMware Converter nutzen, damit es nicht wieder Probleme mit dem Windows Installer gibt.

Gruß

DivideByZero

aqui 14 hours ago

15 comments

Comment in: Zugriff auf LTE-Netzwerk

Gibt es irgendwo eine Schritt für Schritt Anleitung

https://docs.strongswan.org/docs/5.9/config/IKEv1.html

Habe keine Desktop-GUI auf dem Rasp

Das muss man auch nicht und wäre bei der VPN Konfig auch eher kontraproduktiv!

bleibt dann die Netzwerkverbindung innerhalb des Netzwerkes unverändert

Ja, da ändert sich gar nichts.

aqui 14 hours ago

7 comments

Comment in: ProFTP passive über Port 20, wie?

https://support.hostway.com/hc/en-us/articles/360000563730-How-to-enable ...
http://www.proftpd.org/docs/howto/NAT.html
Deutlich besser ist die Lösung von @LordGurke weil du per FTP ungeschützt Daten überträgst.
Alternative wäre noch SCP mit z.B. WinSCP als Client.

mayho33 14 hours ago

12 comments

Comment in: Unterschied Laptopfestplatten

Hi,

Eine SSD mit ~500GB ist heutzutage Standard. Ist nur 1 Drive verbaut wird alles darauf gespeichert was am Gerät so anfällt an Daten. Alles datüber ist oft schon so teuer, dass man sich auch gleich eine große SSD kaufen kann. Die gibts mittlerweile schon bis 8TB.

Wenn man aber nichts weltbewegendes installieren will, OS, Office, ein paar Spiele, vielleicht noch ein paar andere Programmchen reichen 509GB doch vollkommen aus.

Das Platzproblem schaffen eher die Dateien die man selbst produziert oder ablegt.

Ein 2 TB M2-SSD (je nach Art des Anschlusses und Geschwindigkeit) kostet dann schon ab ~130 Euro. Nach oben ist beim Preis fast kein Limit.
Sich also zu überlegen wo der Rest der Daten sicher gespeichert werden kann ist sicher kein Fehler.

Lochkartenstanzer 14 hours ago

6 comments

Comment in: DECT-Betrieb hinter einer Fritzbox verbessern

Moin,

Du kannst

FritzDect-repeater nutzen
Fritz-Boxen im Mesh mit DECT nutzen
irgendwelche DECT-Repeater nutzen
voip- DECT-Basisstatioen nutzen (Gigaset)
Telefonanlage mit DECT-mesh nutzen.

lks

fabichan 15 hours ago

3 comments

Comment in: OPNsense 2 WANs zu 2 LANs

Gut ich möchte es nun anders machen... Nutze nur ein lan und leite den einen host per PBR zum 2. WAN
Hab es gemacht wie in OPNSense: Einzelnes Gerät soll über ein bestimmtes Gateway ins Internet
Natürlich funkt das auch nicht. Ich bin da mittlerweile am ende mit den Nerven. Ich kann den wurm nicht finden.

Siddius 15 hours ago

6 comments

Comment in: DECT-Betrieb hinter einer Fritzbox verbessern

Fritzdect Repeater 100
FRITZ!Box als DECT-Repeater einrichten

Sid.

LordGurke 16 hours ago

7 comments

Comment in: ProFTP passive über Port 20, wie?

Ein FTP-Server teilt nicht nur Ports sondern auch IPs mit.
ProfFTPd kennt aber natürlich nur die (lokalen) IP-Adressen, die er selbst gebunden hat und nicht die, die man benutzen müsste um auf den Proxy zu verbinden. Der Client im Internet bekommt jetzt eine IP mitgeteilt, die ProFTPd auf seinem lokalen Interface hat, mit der der Client aber nichts anfangen kann.

Du willst deshalb die Außen-IP deines Proxy in der proftpd-Config mit MasqueradeAddress angeben.
Dann übermittelt der FTP-Server die korrekte IP an den Client.

Die Frage ist aber auch: MUSS es denn wirklich klassisches FTP sein?
Je nach Anwendungsfall wäre es in vieler Hinsicht sinnvoller SFTP zu verwenden. Das benutzt nur einen Port und ist verschlüsselt.

P.S.: Es ist der Passive Mode, nicht "mod"

LordGurke 16 hours ago

22 comments

Comment in: Erste Erfahrungen mit LWL: Digitus SFP auf Zyxel Switch - geht nicht

Zitat von @aqui:

Dann gehe ich davon aus, dass das Modul nicht mit Zyxel kompatibel ist

Nein, das solltest du nicht! Eher davon das deine schlechte Smartphone Kamera das Licht nicht darstellen kann, sprich auf diesen Wellenlängen "blind" ist!!

Ehrlich gesagt ist es ein Qualitätsmerkmal von Kamerasensoren, wenn die Infrarot filtern. Meine DSLR kann das Licht der Transceiver auch nicht sehen

Ich weiß gerade nichtmal genau, welchen Transceiver der TO aktuell hat. Wenn er den mit 1310nm TX hat, sollten Kamerasensoren das noch sehen können (unter der Maßgabe dass da kein Sperrfilter vorm Sensor ist).
Falls er die Version mit 1550nm TX hat, können die meisten Sensoren das nicht mehr sehen, dann wäre das normal.