s.k.

@Fitzel: was für Konverter kommen denn momentan zum Einsatz (konkrete Modellbezeichnung)? Gruß sk

Es geht mir nicht nur um das Thema VPN-Verbindungen, sondern allgemein um die Kopplung mit Netzen Dritter (Vertragspartner, Behörden etc.). Was macht man, wenn sich die Adressräume der Zielnetze untereinander oder auch mit eigenen IP-Netzen überschneiden? Man manipuliert die Namensauflösung und macht Destination-NAT sowie ggf. auch Source-NAT. Eigentlich simple Konfigurationen werden so unnötig kompliziert und dokumentationsbedürftig! Zumal das Ganze an seine Grenzen stößt, wenn NAT-unfriendly Protokolle zum Einsatz kommen (also insbesondere solche, die im Payload die Original-IPs mit übertragen). Wenig lustig ist soetwas auch, wenn man mehrere Wege zu den Fremdnetzen hat und daher eigentlich mit dynamischen Routingsprotokollen arbeiten möchte. Diese Sorgen hätte man nicht, wenn alle beteiligten Netze überschneidungsfrei - also eindeutig - adressiert wären. Im Small-Business-Umfeld mag das ja selten ein Problem sein - für andere hingegen schon. Ja ich habe zu Deinen Gunsten bereits angenommen, dass Du nicht Clients, sondern Server meinst. Andersrum wäre das noch abstruser! Zur Erinnerung: Auf meinen Hinweis hin, dass es aufgrund des oben genannten Grundes vorteilhaft wäre, auch im LAN weltweit eindeutige IP-Adressen zu verwenden, hattest Du eingewandt, dass dies "zwangsläufig zu Split-DNS" führt. Mir erschließt sich jedoch nicht, inwieweit das eine das andere zwingend bedingt bzw. warum dies das Erfordernis einer Split-DNS-Konfiguration gegenüber den jetzigen Anwendungsfällen erhöhen sollte. Split-DNS ist regelmäßig dann erforderlich, wenn man mind. 2 DNS-Zonen mit unterschiedlichen Inhalten aber gleichem Namensraum benötigt. Dafür gibt es insbesondere zwei Gründe: 1) gleiche Namen müssen in unterschiedliche IP-Adressen aufgelöst werden 2) in einer Zone soll nur eine Teilmenge der anderen Zone enthalten sein (id.R. aufgrund von Geheimhaltungserwägungen) Das ist bei den von mir betreuten Netzen auch so - zumal interne Systeme (wie der Name schon sagt) ohnehin nicht (direkt) öffentlich erreichbar sind. Aber was hat das mit der hier behandelten Frage zu tun? Die Kernfrage war: Warum ist Deiner Meinung nach über die jetzigen Anwendungsfälle hinaus zwingend Split-DNS erforderlich, wenn man im LAN weltweit eindeutige Adressen verwendet? Gruß sk

Wo bitte steht denn im Eröffnungsposting, dass der Admin fremde Adressen verwendet? Nirgends! In Juristenkreisen nennt man soetwas eine Sachverhaltsquetsche... Wo ich handfeste Vorteile sehe, habe ich in meinem ersten Posting erwähnt. Deshalb hatte ich dieses "Argument" ja gerade nicht angeführt. Dass Server intern wie extern unter der selben IP-Adresse zu erreichen wären, führt Deiner Meinung nach zu Split-DNS?Seltsame Argumentation! Darüber solltest Du vielleicht nochmal genauer nachdenken... ;) Gruß sk

Hi, Es gibt immer wieder Admins, die aus purer Unwissenheit im LAN öffentliche IP-Adressen verwenden, die ihnen nicht gehören. Hierauf deutet im vorliegenden Fall aber nichts hin. Wenn das "seine" Adressen sind, spricht nichts dagegen. NAT und "private" IP-Adressen sind doch schließlich nur eine Krücke aufgrund der Adressknappheit bei IPv4! Es hat seinen Charme, auch im internen Netz weltweit exklusive und eindeutige IP-Adressen zu verwenden. Bei IPv6 wird auch wieder so gearbeitet werden. Gerade wenn man häufig Netze von Dritten anbinden muss, geht einem das Hinundhergenatte ziemlich auf die Mozartkugeln. Nur kommt man aus dieser Nummer solange nicht vollständig raus, bis jeder Beteiligte exklusive Adressen im LAN verwendet. Wenn dem Admin bzw. dem Unternehmen für die tatsächtlichen und angenommenen Vorteile die damit verbundenen Kosten Wert sind, ist das ihre Sache. Einen Sicherheitsgewinn (aber auch einen Sicherheitsverlust) kann ich hierin jedoch nicht entdecken. Jedes vernünftige Sicherheitskonzept sieht ohnehin vor, dass weder von WAN nach LAN noch von LAN nach WAN eine direkte Kommunikation möglich ist. Nach der reinen Lehre läuft das immer über dualhomed ALGs. Scheint wirklich ein besonders schlauer zu sein. :rolleyes: Gruß sk

Ja das wird der Router sein, den Euch der Providers hingestellt hat. Du wirst auch keine 7 öffentlichen IP-Adressen haben. Vermutlich hast Du ein /29-Netz. Dabei bleiben nach Abzug von Netzwerk-und Broadcast-Adresse noch 6 Hostadressen. Davon der Providerrouter abgezogen bleiben noch 5 freie IP-Adressen zu Eurer Verwendung. Gruß Steffen

Hallo, Du nimmst einfach Accesspoints mit Multi-SSID und VLAN-Unterstützung (eine passende Wired-Infrastruktur mit VLAN-Switches und Firewall setze ich als gegeben voraus). Bei der Anzahl der APs würde ich zudem eine zentral administrierbare Lösung wählen. Wenns sehr preisgünstig sein muss: ZyXEL NWA-3160 - die verwenden wir auch in unseren Schulen. Gruß sk

Welche räumliche Ausdehnung soll das WLAN haben und wie sind die Umgebungsbedingungen? Welche aktiven Netzwerkkomponenten sind bereits vorhanden (VLAN-Switches, Firewall)? Gruß sk

Es sind nicht nur einzelne Ports, die weitergeleitet werden müssten, sondern ganze Protokolle wie z.B. ESP. Rein vom bisher Gesagten sehe ich aber ohnehin keinen Grund für einen zweistufigen Firewallaufbau. Das Szenario kann man auch mit einer "mehrbeinigen" Firewall lösen. Mein Vorschlag wäre folgender: 1) Die pfSense entfällt. Die Zywall steht dann direkt im Internet. 2) Auf der ZW weisst Du mind. einen der Inside-Ports per Port-Role der Zone "DMZ" zu. Hieran schließt Du den Accesspoint und/oder den Switch aus der bisherigen DMZ an. 3) Das Firewallregelwerk der Zywall wird so konfiguriert, dass man von der DMZ nur ins WAN kann. 4) Auf der Zywall wird ein VPN-Tunnel definiert, der sowohl auf dem DMZ- als auch auf dem WAN-Interface erreichbar ist. Der VPN-Aufbau von der DMZ aufs WAN-Interface könnte auch funktionieren, ist aber möglicherweise etwas tricky in der Einrichtung (NAT loopback). 5) Wenn man die Zywall als DNS-Server für die DMZ verwendet, könnte man über eine Manipulation der Namensauflösung auf der ZW sogar dafür sorgen, dass auf dem Client lediglich _eine_ VPN-Config erforderlich ist, die sowohl in der DMZ als auch vom WAN aus funktioniert (vorausgesetzt, Du sprichst die Firewall beim Tunnelaufbau über einen Hostnamen an). Das gleiche sollte auch mit der pfSense funktionieren. pfSense hat sogar ein paar nette Features (z.B. taggt VLANs, SSL-VPN, Captive Portal), welche die doch schon recht recht betagte Zywall 5 nicht hat. Allerdings hatten m.W. zumindest führere Versionen von pfSense Probleme bei IPSec-VPNs mit dynamischen Endpunkten. Wenn ein zweitstufiger Firewallaufbau beibehalten werden soll, würde ich deshalb die Zywall als Front- und die pfSense als Backend-Firewall verwenden. Gruß sk

Was sind denn das für Firewalls? Es soll zusätzlich zum LAN eine Art Gästenetz geben (Kabel-gebunden oder WLAN), von wo aus man nur ins Intenet kommt bzw. nur per VPN ins LAN? Gruß sk

Hi, warum terminierst Du den Tunnel nicht an Firewall01? Gruß sk

Für den reinen Hotspot-Betrieb ist kein zusätzlicher Server/PC erforderlich. Lediglich fürs Logging wird (irgend) ein Syslog-Server benötigt. Hierfür _kann_ man das NAS Zyxel NSA320 verwenden. Gruß Steffen

Also 560 EUR netto für den G-4100 samt Voucherdrucker finde ich mehr als güstig. Zumal die Lösung in wenigen Minuten einsatzbereit ist. Wenn Arbeitszeit natürlich nichts kostet bzw. nicht berechnet wird, dann versuchs mal so: WLAN oder LAN Gastzugang einrichten mit einem Captive Portal (Hotspot Funktion) - Netzwerke und Protokolle - administrator Gruß Steffen

http://www.zyxel.de/upload/infomaterial/solutionguides/pdfs/N4100_ProductLaunch_DE_final.pdf Gruß sk

Webproxy der Firma nutzen?

... ist es in der Tat nicht.Siehe KB-3154 Bist Du "smronline" aus dem Schweizer Zyxelforum oder ist das jemand anderes? Gruß s.k.

Bitte lies den verlinkten Thread! Du kannst Client und Server _nicht_ fest auf 100 Full einstellen und den Switch auf Autonegotiation lassen. Ein Duplex-Mismatch ist zwangsläufig die Folge! Gruß s.k.

NetzwerkTotal - Forum - Warum ist Halbduplex schneller als Vollduplex? http://www.nwlab.net/art/duplexmismatch/duplex-mismatch.html wie-als.de - Wie verwende ich wie und als korrekt?

ZyXEL N4100 Gruß s.k.

Solange diese Netze mit keinen anderen Netzen kommunizieren müssen, ist kein Router erforderlich... Gruß sk

Hängt davon ab, was Du erreichen möchtest und welches Budget zur Verfügung steht. Gruß sk

Der Internetzugriff dürfte nicht mehr funktionieren, weil die Zywall u.a. die (neuen) DNS-Anfragen des Servers zu den externen DNS-Servern blockt, sobald die maximale Anzahl der Sessions pro Host erreicht sind. Die Zywall tut halt, was sie gemäß Konfig tun soll. Überlastet ist sie nicht.Ich kann Dir leider auch nicht sagen, warum der Server diesen Traffic generiert und wie Du dies unterbinden kannst. Jedoch kannst Du die Symptome kaschieren, indem Du diesen Traffic einfach an der Firewall abweist. Gruß sk

Wir verwenden Ekahau HeatMapper Ekahau HeatMapper - Download - CHIP Online Gruß Steffen

Hab ich Euch die Büchsen verkauft? Wer Sonicwall erwirbt, sollte wissen, dass er für (fast) alles extra löhnt.Zentrale Managementtools sind aber auch beim Mitbewerb selten kostenfrei.

:mad: Verzeichnislisting vom internationalen FTP-Server: P-660H-61 P-660H-63 P-660H-67 P-660H-D1 P-660H-D3 P-660H-T1 P-660H-T1_v2 P-660H-T1_v3s P-660H-T3_v2 P-660HN-F1 P-660HN-F1A P-660HN-F1Z P-660HN-F3Z P-660HN-T1A P-660HN-T1H P-660HW-61 P-660HW-63 P-660HW-67 P-660HW-D1 P-660HW-D1_v2 P-660HW-D3 P-660HW-T1 P-660HW-T1_v2 P-660HW-T1_v3 P-660HW-T3 P-660HW-T3_v2 P-660HW-T3_v3 P-660HWP-D1 P-660HWP-D3 P-660M-63 P-660M-67 P-660N-T1A P-660R-61 P-660R-61C P-660R-63C P-660R-67C P-660R-D1 P-660R-D3 P-660R-T1 P-660R-T1_v2 P-660R-T1_v3 P-660R-T3 P-660R-T3_v2 P-660R-T3_v3 P-660RU-T1 P-660RU-T1_v2 P-660RU-T1_v3 P-660RU-T1_v3s P-660RU-T3 P-660RU-T3_v2 P-660RU-T3_v3 P-660W-T1_v2 Nur mal so als "Wink mit dem Zaunpfahl". Und da fehlen noch diverse lokalisierte und gebrandete Geräte... Aber versuche es erst mal mit der Anleitung. Vermutlich hat sich das Problem dann schon erledigt.

Hallo, Bridgekonfiguration siehe KB-1437: Umstellung eines Prestige der 6xx-Serie zu einer Bridge - Studerus AG, ZyXEL Generalvertretung Wenn das nicht funktioniert, bitte die genaue Firmwareversion posten, denn es gibt gefühlte 5 Mio "Spielarten" der 600er Serie einschließlich diverser gebrandeter Providergeräte. Einige davon können übrigens auch selbst als VPN-Endpunkt fungieren... Gruß sk