s.k.

Jain.Das mit der separaten IP-Adresse ist schon mal völliger Quatsch. Die können auch bündeln, ohne dass Du eine zusätzliche IP-Adresse hast. Richtig ist, dass man über die vorhandene SDSL-Technik nur 2 MBit/s synchron über eine TAL bekommt. Darüber hinaus wird gebündelt, was zwar in der Summe die Bandbreite erhöht, aber die Einzelsession noch immer auf 2 MBit begrenzt. Mit anderer aktiver Technik wäre aber durchaus auch mehr als 2MBit/s auf einer TAL möglich. Zum Beispiel mit Enhanced SHDSL (SHDSL.bis) maximal 5,7 Mbit/s auf einer Doppelader. Nur scheuen die Provider scheinbar diese Investition. Dem Kunden lieber gebündelte 2Mbit zu verkaufen, scheint mir eher betriebswirtschaftlich motiviert zu sein. Gruß Steffen

Hallo Herbert, schau mal hier: http://www.green.ch/pdf/konfigurationen/de/transparent_konfig_653_792.pdf Mit dem P-324 wird das ebenso funktionieren, sonst würde der von inode kaum für diese Konstellation zur Verfügung gestellt werden. Ich halte es jedoch für sinnvoller, eine Firewall zu kaufen, die _parallel_ natten und bridgen kann. Bei Zyxel kommt dafür die USG-Serie in Frage. Gruß Steffen

Layer2-Isolierung. Bei Gäste-WLANs sicherleich sinnvoll - wenngleich nicht unumgänglich und auch kein Schutz vor Mitsniffen. Wenn ich mich Recht entsinne (hab das System erst einmal implementiert), kann das der WFS709TP von Netgear. Ist ein WLAN-Controller, mit dem man sog. Thin-Accesspoints zentral verwalten kann. Mit 3 APs liegt man bei ca. 2100 EUR incl. Märchensteuer. Ein absolutes Schnäppchen, wenn man das mal mit dem Mitbewerb vergleicht - zumal da m.W. eine OEM-Version von Aruba unter der Haube werkelt. Für Gastzugänge gibt es eine richtig schicke Lösung von Zyxel: den G-4100v2. Ist ein AP mit integrierten CP und Bondrucker. Das AAA-System gibt es auch als separate 19"-Box: VSG-1200V2 Gruß Steffen

Hallo, Damit erzwingst Du aber nur eine Authentifizierung am Captive Portal, wenn der User durch die Monowall hindurch auf "LAN/WAN" zugreifen möchte. Den Zugang zum WLAN selbst kannst Du damit m.W. nicht beregeln. Ob es das ist, was Du möchtest, musst Du selber wissen... Korrekt. Beides ist möglich. Wenns sehr viele User sind, würde ich die mit im AD pflegen und per IAS an die M0n0wall anbinden. Ja, weil hier schlicht kein 802.1x genutzt wird. Siehe oben. Gruß Steffen

Im Nachhinein ist man immer klüger. ;) Das nächste Mal erstelle ich den Request einfach auf einer temporären Website. Gruß Steffen

Habs doch selbst hinbekommen. Folgendermaßen bin ich vorgegangen: Vor dem Löschen des Requests über den Assistenten habe ich mir im Snap-in "Zertifikate" unter "Zertifikatsregistrierungsanforderungen" das entsprechende Zertifikat als pfx exportiert. Anschließend habe ich hieraus mit OpenSSL den privaten Schlüssel extrahiert ("openssl pkcs12 -in export.pfx -nocerts -out server.key"). Als das von der CA signierte Zertifikat vorlag, habe ich dieses zusammen mit dem privaten Schlüssel in eine PKCS#12-Datei gespeichert ("openssl pkcs12 -export -out cert.p12 -inkey server.key -in server.crt"), diese in den Zertifikatsspeicher importiert und auf der Website installiert. Gruß Steffen

Jain. Testserver wäre natürlich kein Problem, nur hab ich im Moment keinen Zugriff. Mach das Ganze per VPN. Weil mich derzeit stark die Termine drücken, dachte ich, erledigst Du das "mal eben" nebenbei. :rolleyes: Schon. Nur komm ich erst an diesen Dialog, wenn ich den Request verarbeitet oder gelöscht habe. Und hier liegt mein Problem bzw. Unsicherheit... Gruß Steffen

Hallo, unser OWA lief bis Freitag mit einem selbstsignierten SSL-Zertifikat. Nun soll ein Cert von Thawte zum Einsatz kommen. Hierzu habe ich auf dem IIS des OWA einen Request erstellt und an den Reseller geschickt. Leider sind die Jungs nicht so fix wie versprochen - das Cert bekomme ich wohl erst am Montag im Verlaufe des Tages. Dann tobt bei mir aber schon der Aufstand der Anwender. Also möchte ich vorübergehend wieder das bisherige Zertifikat auswählen. Dies kann ich aber scheinbar nicht, ohne die Zertifikatsanforderung zuvor zu löschen. Was passiert, wenn ich die Anforderung lösche? Kann ich dann bei Vorliegen des angeforderten Zertifikates dieses trotzdem noch importieren? Wenn ja, was gibt es da ggf. zu beachten? Wäre schön, wenn Ihr mir kurzfristig ein paar Tips geben könntet. Vielen Dank! Gruß Steffen

Ein Evergreen!Freut mich, dass ich helfen konnte. :) Gruß Steffen

Damit kannst Du auf dem Tunnel natten. In den Firewallregelwerken gibt es jeweils eine WAN-WAN-Regel, die UDP/500 eingehend erlaubt? Ebenfalls ein häufiger Fehler bei den ZyNOS-Kisten: Aktivierung des Standardservers unter "NAT" oder Konfiguration eines Portmappings, welches Port 500 einschließt (ZyNOS unterscheidet an dieser Stelle nicht zw. TCP und UDP). Gruß Steffen

Das alte Design war zwar schon etwas angestaubt, aber in funktionaler Hinsicht um Welten besser. Das neue ist etwas unübersichtlich und kontrastarm. Vorallem aber scrollt man sich zu Tode. Bin gerade drauf reingefallen und hab auf einen bereits abgeschlossenen Thread geantwortet. Weil hinter jedem Posting eine kleine Lücke zum nächsten ist, sah es bei meiner Monitorauflösung so aus, als habe noch niemand auf die Ausgangsfrage geantwortet. :rolleyes: Naja, man wird sich dran gewöhnen. Das alte sah für meinen Geschmack aber professioneller aus. Gruß Steffen

- sorry, hab mich vertan -

tower primergy tx120.html Fujitsu Siemens Computers Gruß Steffen

Mit der Virtualisierung hat das nichts zu tun. Du solltest mal genau überlegen, wie die Wegefindung in einem IP-Netz funktioniert. :) LAN-Routing auf dem RRAS-Server macht nunmal kein NAT. Ohne NAT musst Du aber sicherstellen, dass die Rückroute stimmt. Konfiguriere den RRAS-Server mal testweise für NAT und Du wirst sehen, dass es dann funktioniert. Gruß Steffen

Das siehst Du falsch. ;) Zumindest sofern der vRouter nicht nattet. Schau mal, ob Du auf dem physischen Router statische Routingeinträge setzen kannst. Gruß Steffen

Vermutlich kennen die realen Rechner und der reale Router nicht die Rückroute in die virtuellen Netze. Gruß Steffen

Hallo Birgit, Du musst einen MX-Eintrag setzen. MX Resource Record - Wikipedia MSXFAQ.DE - MX-Record Sofern Du für das Versenden kein Relay beim Provider verwendest, sollte für diesen Host auch der Reverse-Lookup funktionieren, da dies viele Mailserver im Rahmen der Spambewertung prüfen. Reverse Domäne - Wikipedia Letzteres wirst Du vermutlich nicht selbst konfigurieren können. Hierzu wirst Du Dich an Deinen Provider wenden müssen. Gruß Steffen

Ja. Wobei es auch hier wiederum zig verschiedene Wege gibt, das mit Jana umzusetzen - abhängig von den konkreten Anforderungen/Zielsetzungen. Im einfachsten Fall genügt ein sog. "Extragateway" (Ken bietet übrigens auch eine vergleichbare Funktionalität - hab allerdings vergessen, wie die das nennen). Ich nutze Jana beispielsweise, um einige alte externe Postfächer per POP3 zu leeren und die Mails per SMTP in unser Antispam/Antivirus-Relay zu schieben, welches sie nach Prüfung dann an unseren Exchange weiterreicht. Gruß Steffen

Hallo Marcus, Jana ist praktisch ein Schweizer Messer. "Sie" bietet eine Unmenge verschiedenster Funktionalitäten, ohne jedoch im Detail mit einem jeweils spezialisierten Programm konkurrieren zu können (und zu wollen). Eine dieser Funktionalitäten ist die Möglichkeit, Jana als HTTP/S-Proxy betreiben zu können. Aber gerade hier fehlen wichtige Eigenschaften. So unterstützt Jana etwa keine NTLM-Authentifizierung und kann bei derzeitigem Releasestand auch nicht an ein LDAP-Verzeichnis oder einen Radius-Server "andocken". Wenn dies z.B. gewünscht ist, wäre Jana ungeeignet (es sei denn, Du machst Dir die Mühe, einen passenden ISAPI-Filter zu schreiben). Es kommt also ganz darauf an, was Du genau erreichen möchtest. Deine bisherigen Ausführungen sind diesbezüglich zu dünn... Gruß Steffen

Microsoft File Server Migration Toolkit Gruß Steffen

Noch ein paar Ergänzungen von mir: 1) Die Tokenlösung muss nicht zwingend zusammen mit der SSL-Appliance von Zyxel eingesetzt werden. Es handelt sich ohnehin lediglich um ein gebrandetes Produkt von Authenex. Mit dem Starterkit wird ein Authentifizierungsserver geliefert, der zwingend auf einem 2000er oder 2003er Windows-Server installiert werden muss. Auf 2000pro, XP, Vista verweigert er die Installation. Dieser Authentifizierungsserver ist nichts anderes als ein Radius-Server - sprich: man kann das System grundsätzlich mit jeder anderen Box verheiraten, die Radius spricht. Theoretisch zumindest, denn die SSL312 von Netgear habe ich damit z.B. nicht zuverlässig ans laufen bekommen - lag aber vermutlich am Netgear-Gerät. Selbstverständlich kann man die Tokenlösung auch mit einem IPSec-Gateway kombinieren oder für die Authentifizierung an einem Captive Portal verwenden und, und, und... Ich setze die Tokenlösung momentan zusammen mit einer SSL-VPN 2000 von Sonicwall ein. 2) Negativ bei den Token finde ich, dass sie nur lackiert sind (kein durchgefärbtes PVC). Trägt man sie ein Weilchen am Schlüsselbund (was ja das naheliegenste ist), dann kommt bald an einigen Stellen zunächst eine silberne Farbschicht und später das weissgelbe Plastik zum Vorschein. Sieht einfach fürchterlich aus. 3) Zur SSL10 selbst ist zu sagen, dass das Produkt halt noch recht frisch auf dem Markt ist und sich in einer frühen Entwicklungsphase befindet. Wie jedes Produkt in der IT reift es erst beim Kunden und wird hinsichtlich der Features erst nach und nach komplettiert. So fehlen momentan z.B. noch integrierte RDP- und Citrix-Clients. Als User der ersten Stunde ist man halt immer ein Stückchen weit auch Betatester. Wobei man sagen muss, dass Zyxel sehr stark auf diese Technologie setzt und sie derzeit in diverse Produkte integriert. Die SSL10 ist ja eigentlich auch nur eine Auskopplung aus deren neuen Firewall-OS "ZLD 2.x", welches auf der USG-Serie zum Einsatz kommt. Entsprechend ist mit einer forcierten Weiterentwicklung des Produktes zu rechnen. Und hier kommen wir wieder zu dem Punkt, der stark für Zyxel spricht: die regelmäßig erscheinenden Firmwareupdates gibt es für lau und auch für telefonischen Support muss man keine teuren Wartungsverträge abschließen. Gerade bei Kleinstinstallationen mit geringem Budget für mich immer ein wichtiger Punkt. Gruß Steffen

Hallo, sorry hatte keine Zeit, früher zu antworten.

Hallo, Da die Etherconnect-Leitung doch verhältnismäßig schmalbandig ist, wäre es m.E. schon sinnvoll, durch Layer3-Segmentierung den Broadcastverkehr von dieser Strecke fern zu halten. Vermutlich kann das hier sogar ganz simpel mit den kleinen Plastikboxen vom Grabbeltisch ("Breitbandrouter" von Zyxel, Draydreck, Netgear, D-Link...) realisiert werden. Der benötigte Durchsatz ist gering und Bedarf für den Einsatz von Routingprotokollen sehe ich momentan auch nicht. Mach doch mal eine Zeichnung! Dabei interessiert weniger, welche Hosts irgendwo stehen, sondern einzig welche IP-Netze (einschließlich des Internets und eventueller RAS- und VPN-Netze) worüber erreicht werden müssen und welche Router und L3-Switches ggf. schon vorhanden sind. Gruß Steffen

Tja, der Suggestivfrage auf den Leim gegangen. ;) Gruß Steffen

Fall Du die 192.168.0.91 meintest, so fehlt auf dem Accesspoint die Route zum 192.168.0.x-Netz oder der Server routet nicht.Da der Accesspoint nicht routet sondern bridget, spielen die dem Accesspoint bekannten Routen hier keine Rolle.Vermutlich stimmt das Standardgateway des Notebooks nicht. Am Server fehlt ebenfalls die Route zum Netz hinter dem AP.Hinter dem Accesspoint befindet sich aber kein anderes Netz! Ist auf dem Notebook eine Firewall aktiv (ggf. die von die Windows)? Gruß Steffen