s.k.

Hallo ckuehni,

 

soll das auf einem Windows-System laufen? Dann wäre der Janaserver eine gute Wahl. Er bietet an verschiedenen Stellen die Möglichkeit zur Einbindung externer Programme und Skripte. Gedacht sind die Schnittstellen in der eMail-Komponente für Virenscanner, Spamfilter, Autoresponder etc. - lassen sich aber auch sehr gut für andere Zwecke gebrauchen. Besonders interessant für Dich ist vielleicht der Punkt "auszuführendes Programm" unter "Benutzer". Aber Achtung: einige Schnittstellen funktionen nur, wenn die Mails per POP3 von extern abgeholt werden - andere wiederum nur, wenn die Mail per SMTP reinkommt. Da heisst es also etwas experimentieren.

 

Gruß

Steffen

DFS-R wäre auch mein Tipp. Andere Delta-Replikat-Lösungen dürften kaum besser sein. Wenn sich das nicht bewährt, sollte man vielleicht den grundsätzlichen Ansatz wechseln und die Daten schlicht am zentralen Speicherort bearbeiten - also Terminalserver oder Clientvirtualisierung.

 

Gruß

Steffen

@schotte:

WinTotal - Tipparchiv: Unterschiede zwischen ControlSet001, 002 und 003 in der Registry

Ich verstehe das so, dass darin - abhängig von der Anzahl der zwischenzeitigen Reboots - möglicherweise noch die alte IP-Adresse zu finden ist.

 

Gruß

Steffen

mit ein wenig Glück über die Registry: HKLM\System\ControlSet00x\Services\Tcpip\Parameters\Interfaces

 

Gruß

Steffen

Hallo Wolkenstein,

 

was ist das für ein WLAN-Router (Modellbezeichnung)?

Ist das neue Modem wirklich nur ein reines Modem oder ein Router mit integriertem Modem?

 

Gruß

Steffen

Hallo,

 

wenn der Exchange selbst als MX fungiert und der Versand nicht über ein Relay läuft, ist das m.E. mit Windows-Bordmitteln nicht zu realisieren.

Jedoch gibt es Router und Firewalls, die durchaus anhand anderer Kriterien als dem Zielnetz Routingentscheidungen treffen können. So könnte man definieren, dass sämtlicher vom Exchangeserver ausgehender TCP-Traffic, dessen Zielport = 25 ist, statt an das Standardgateway an den next hop der 2. Leitung weitergereicht wird. Bei Zyxel nennt sich das bspw. policy based routing. Die kleinste Zyxel-Appliance mit dieser Funktion wäre die Zywall 5 mit ZyNOS 4.02 (380 - 480 EUR). Die 2. Leitung käme hier mangels 2. Ethernet-WAN-Port ans DMZ- oder WLAN-Interface. Über Traffic-Redirect wäre dann auch ein Failover zwischen den beiden Leitungen möglich. Für Loadbalacing braucht es bei Zyxel eine Appliance mit 2 dedizierten WAN-Ports - also mindestens die Zywall35 (ca. 650-750 EUR) - oder eine auf allen Ports frei konfigurierbare Zywall1050 (um 3000 EUR).

 

Gruß

Steffen

Halo bompf85,

 

die Webverkettung betrifft m.W. nur die Protokolle HTTP, HTTPS und FTP - und hier möglicherweise auch nur die Webproxyclients (nicht getestet).

 

Gruß

Steffen

@rEgEn:

 

Grundsätzlich finde ich Deine jetzige Implemetierung für eine so kleine Umgebung völlig angemessen und ausreichend. Einen DC sehe ich zwar ungern mit einem Bein direkt im Internet, hier ist es jedoch akzeptabel - zumindest soweit auf dem Server keine öffentlichen Dienste angeboten werden, wovon ich bei einer ISDN-Verbindung aber ausgehe.

 

 

Firewall läuft die lizenz demnächst aus und eine alternative benutz werden.

Auf die Personal Firewall kannst Du m.E. komplett verzichten. Die macht das System nur instabil und birgt möglichweise selbst Angriffsfläche, wenn sie nicht regelmäßig aktualisiert wird. Deaktiviere statt dessen auf der Dialup-Verbindung alle Bindungen ausser TCP/IP und aktiviere die windowseigene Firewall. Das ist mindestens genauso sicher (dass niemand direkt am Server arbeitet bzw. ins Internet geht, dort nicht ständig irgendwelche zwielichtige Software installiert wird und auch regelmäßig die von Mircosoft, AVM und Kaspersky für ihre Software bereitgestellten Patches eingespielt werden, setze ich voraus...).

 

 

Nun möchte ich, dass das ganze etwas "besser" wird. Das heißt, IMAP Email zugriff sodass mehrer Benutzer auf einen Posteingang zugreifen können.

Meines Wissens beherrscht KEN doch IMAP.

 

Desweiteren währe sowohl direktes Faxen aus dem PC...

Bringt KEN dafür nicht bereits eine Remote-Capi mit!

 

Vielleicht solltest Du auf KEN nochmal einen genaueren Blick werfen. Mir scheint, Du weisst gar nicht, was das Teil alles kann. :suspect:

Selbst gewisse Formen von Layer7-Filterung sind da implementiert! Aber lassen wir das... :D

 

 

...als auch Drucken als PDF mein Wunsch.

Diesbezüglich ist die Forensuche bereits sehr gesprächig... ;)

 

 

Gruß

Steffen

Nicht in jeder Umgebung muss bis zum Layer 7 (besser noch Layer 8 :D) gefiltert werden ;)

Eine vollständige Layer 8-Filterung wäre in nahezu allen Fällen schon das sinnvollste, oder? :cool:

 

Gruß

Steffen

...M0n0wall... Auch wenn es keine richtige Firewall ist...

http://www.mcseboard.de/windows-forum-lan-wan-32/m0n0wall-richtige-firewall-111370.html

Auch wenn der halbgaren Definition des dortigen TO, was eine "richtige Firewall" sei, nicht ausdrücklich widersprochen und die Frage etwas fundierter behandelt wurde, muss man das nicht unbedingt gleich für "bare Münze nehmen" und bei nächster Gelegenheit zitieren. So entstehen urban legends.

 

Gruß

Steffen

www.Netzwerkartikel .de >> IP44/IP67

 

Gruß

Steffen

Allerdings wird es im Internet ein ganz anderes Problem als die Sicherheit geben: Du hast dort kein PCAnywhere drauf.

Sollte PCA terminalserverfähig sein, wäre dies ja kein Problem. Wählt man sich halt auf einen TS in der DMZ ein und von dort geht es mit PCA weiter.

Oder man stellt die Fernwartung im LAN/Corp.Network auf RDP oder VNC um.

 

@Steffen: Nenn mal die Handy-Lösung. Klingt interessant.

Kenne das nur insoweit, als es auf der Roadmap der in Kürze erscheinenden Zywall SSL10 steht (siehe hier auf Seite 51). Hatte bereits Gelegenheit das Produkt anzutesten: noch ist dieses Feature nicht drin - ich vermute, dass das auch noch etwas dauern wird.

 

In den SSL-Gateways von Sonicwall scheint diese Funktion hingegen schon implementiert zu sein (siehe Datenblatt). Die Sonicwall hatte ich allerdings noch nicht in den Händen - kann zur konkreten Implementierung deshalb nichts sagen. Ich vermute, dass das Gateway bzw. der Authentifizierungsserver das Kennwort immer per SMTP verschickt und man sich ggf. selbst um die Umsetzung in eine SMS kümmern muss. Dafür gibt es ja diverse Möglichkeiten - von der Nutzung entsprechender Providerdienste, über den lokalen Anschluss von Handys und das Ansteuern über Skripte oder spezieller Programme bis hin zu Lösungen, die passende Exchange-Connectoren bereitstellen.

 

Gruß

Steffen

Jetzt ist nur noch zu klären, wie das vom Internetcafe aus gehen könnte.

Da steht ja wohl kaum ein Anschluß separat für das Notebook zur Verfügung.

Kann das über SSl geschehen, Auth beim Server in der Firma?

Ist wegen der Sicherheit z.B. Keylogger.

Gibt es eine Möglichkeit das Passwort dafür nach einer erfolgten Einwahl automatisch zu ändern?

Am flexibelsten in Bezug auf die Möglichkeit des Zugriff wäre ein reines SSL-VPN.

Gegen die Gefahr des Mitloggens der Kennwörter hilft ein Einmalpasswortsystem. Hierfür kann eine Tokenlösung zum Einsatz kommen. Es gibt aber auch Lösungen, wo ein Einmalpasswort auf Anforderung hin an eine zuvor definierte email-Adresse oder per SMS an ein Handy geschickt wird. In dieser Hinsicht empfehlenswert wären bspw. die SSL-VPN-Appliances von Sonicwall. Die kleinste gibt es bereits unter 500 EUR.

Wenn Du soetwas allerdings wirklich im Internetcafe machst, kannst Du jede per VPN auf dem Monitor angezeigte Information und jede Eingabe als kompromitiert betrachten.

 

Gruß

Steffen

Hallo,

 

Ist es möglich einen Dienst auf einem TCP Port laufen zu lassen und einen anderen Dienst gleichzeitig auf einem Port mit der gleichen Nummer unter UDP?

Ja ist möglich.

 

Gruß

Steffen

@freakazoid: google mal nach "captive portal". ChilliSpot wurde schon genannt, schau Dir darüber hinaus insbesondere M0n0wall an!

 

Im Übrigen rate ich ebenfalls zum Zyair G-4100 von Zyxel. Für das Gebotene ist das m.E. ein echter Kampfpreis.

 

Gruß

Steffen

Habe die GPOs so Eingestellt wie in dem Link, leider ohne Erfolg.[/Quote]Bedeutet das? Erkennung langsamer Verbindungen deaktiviert?

 

Wird die Anwendung der Richtlinien nun korrekt durchgeführt oder aber abgebrochen? Das Eventlog gibt Auskunft!

 

Letztlich fürchte ich, dass Du mit einem servergespeicherten Profil bei theoretischen 400/150 kbps (minus Overhead und konkurrierender Nutzung) nie zu einem dauerhaft akzeptablen Ergebnis kommen wirst. Allein die ntuser.dat in meinem Profil hier ist schon 8 MB groß.

Was spricht gegen:

- ein rein lokales Profil

- ein Auslagern der Profile der Zweigstelle auf einen Netzwerkspeicher im dortigen LAN

- den Einsatz eines Terminalservers?

 

Gruß

Steffen

Hallo bLUEaNGEL,

 

hab DFS-R noch nicht im Einsatz, aber vor einiger Zeit angetestet, weil ich es zwecks Sicherung der Außenstellendaten implementieren möchte. Besondere Prozessorlast ist mir bei meinen Tests nicht aufgefallen - konnte mich allerdings auch nicht allzu intensiv damit beschäftigen, da ich momentan andere Sorgen habe. :mad:

Ich meine mich jedoch zu erinnern, dass in der Onlinehilfe etwas stand, dass es zu solchen Effekten kommen kann, wenn die Größe der Stagingordner nicht passt. Bitte lies dort mal nach - da stand auch, wie man das ggf. sinnvoll konfiguriert. Hoffe das hilft!

 

Gruß

Steffen

Dann dürfte Windows wohl von einer "langsamen Verbindung" ausgehen.

Schau mal hier: How a slow link is detected for processing user profiles and Group Policy

 

Irgend etwas Auffälliges im Eventlog des Clients?

 

Gruß

Steffen

Mit welcher Bandbreite sind die Standorte denn angebunden?

 

Gruß

Steffen

Ehrlich gesagt verstehe ich die Skizze überhaupt nicht. Router und Server haben demnach jeweils nur 2 Interfaces. OK der Router wird vermutlich noch eine DSL-WAN-Strecke haben, aber warum ist der Server sowohl mit dem LAN- als auch mit dem DMZ-Interface des Routers verbunden?

Um was für ein VPN handelt es sich und wo wird es ggf. terminiert?

Guten Morgen,

 

 

2) das Standardgateway auf dem DMZ-Interface liegt außerhalb der direkt verbundenen Subnetze

Die sind im gleichen Subnetz sorry.

Und wie lautet der Eintrag nun tatsächlich?

 

 

1) es gibt 2 Standardgateways

Ja wie kann ich das ändern? Ich muss es ja so machen. Komme ja nicht von der DMZ an die 10.x.x.1 oder bin ich da falsch?

3) die DNS-Konfig scheint mir auch nicht ganz durchdacht

Das ist das Problem, wenn jemand kommt dir deine schöne VPN Lösung rausschmeist und durch sowas ersetzt :rolleyes: Gib mir mal noch einen Tipp, dreh schon fast am Rad :wink2:

Ohne nähere Angaben zu Deiner Konfiguration kann man keine Aussagen treffen. Bislang _vermute_ ich folgende Topologie:

 

~~~ WAN/Internet ~~~ [Router/VPN-Endpunkt?] ~~~ DMZ (63.?.?.10/29) ~~~ [server] ~~~ LAN (10.?.?.2/24)

 

Stimmt das so?

Entspricht nicht ganz Deinen bisherigen Angaben. Die Aussage

Das LAN Interface am Router läuft über ein VPN und ist mit mehreren Stellen verbunden.

versteh ich z.B, nicht.

 

Ebenso diese Aussage:

Wenn ich versuche über die DMZ auf den Remote Desktop zuzugreifen, gelingt mir das nicht.

Wie lauten kontret die IP-Adressen des Absenders und der Zielstation?

 

 

Gruß

Steffen

Hallo Lord_x,

 

ich weiss nicht, ob es mit Deinem Problem zusammenhängt, aber 3 Punkte fallen mir an der Konfig sofort auf:

 

1) es gibt 2 Standardgateways

2) das Standardgateway auf dem DMZ-Interface liegt außerhalb der direkt verbundenen Subnetze

3) die DNS-Konfig scheint mir auch nicht ganz durchdacht

 

Gruß

Steffen

Hallo Churchie,

hallo il_principe,

 

ich bin auf der Suche nach einer Hard- oder auch Software-Gatewaylösung, die mir meine Standleitung und somit die Verbindung zum Internet prüft und, falls die Leitung ausfällt, automatisch auf meine DSL Leitung umschaltet - und das ganze wieder Rückwärts macht, wenn die Standleitung wieder verfügbar ist.

Optimal wäre natürlich noch, wenn dann automatisch eine Benachrichtigung (per eMail) gesendet wird.

Wenn es wirklich nur um ein Fallback geht und an der DSL-Leitung ein Router hängt, der die DSL-Einwahl übernimmt, dann muss es nicht zwingend ein Gateway mit 2 WAN-Ports sein. Praktisch alle Zyxel-Router können sog. Traffic-Redirect. Wenn die WAN-Strecke wegbricht, wird der Traffic einfach an ein alternatives Gateway weitergereicht und bei Wiederverfügbarkeit der WAN-Strecke auf Wunsch auch automatisch wieder zurückgeswitcht. Ich nutzte das auch. Nur das mit der E-Mail-Benachrichtigung geht vermutlich nicht - habs aber nicht ausprobiert, weil ich die Anbindung meiner Außenstellen ohnehin mit nonetsms monitore.

In Abhängigkeit von Deinen übrigen Anforderungen würde also bereits eine billige Zywall2Plus genügen.

 

Gruß

Steffen

SSL-VPNs bieten bei der Roadwarrior-Anbindung ohne Zweifel Flexibilitätsvorteile gegenüber IPSec.

Als Argument für eine neue Firewall taugt es hier hingegen nicht. Einerseits besteht schlicht kein Erfordernis für ein SSL-VPN, weil die befreffenden Personen bereits mit einem Notebook samt UMTS-Karte ausgestattet sind und anderseits muss man dafür die "alte" Firewall ohnehin nicht ersetzen, sondern kann sich eine dedizierte SSL-Appliance in die DMZ stellen. Wenn man mit den Produkten und dem Support von Watchguard zufrieden ist, kann man ja unter Hinweis auf Systemkonformität und Investitions- u. KnowHow-Schutz auch dafür wieder zu einer Watchguard (Firebox SSL Core) greifen... ;)

 

Gruß

Steffen

Wenn die Rechner Mitglied einer AD-Domäne sind, könnte man das Zertifikat der CA per Gruppenrichtlinie verteilen.

 

Gruß

Steffen