rep

Es ist geschafft... Das Problem, es gab noch unterverteiler (Ciscos) und diese hatten diese Einstellungen nicht. Da aber die DHCP-Helper auf eine Unicast Adresse (DHCP) Verwiesen haben, kam die Fehlermeldung aus den anderen Netzsegmenten.... Ist mir aufgefallen als ich alles untereinander geschriebne habe... und es waren nur Computer aus anderen Netzen die aufgelistet wurden. Bis zu diesem Tag als ich die Cisco umkonfiguriert hatte. Kurz, es klappt, es waren nur nicht alle Ciscos so Konfigurert :-)

Hallo, ich kenne das Problem auch. In der Schule dort machen andere Dienstleister das auch eher komisch. Es wird eine IP-Adresse (die des Proxy) und das Standardgateway verbogen, und dann eine Statische Route für die Server gesetzt. Also ein Netz für Schulenweite Server (inkl Proxy ISA2004) und jeder Klassenraum / Tackt / Gebäude ein Subnetz. Jeder PC hat nun eine Statische Route für die Server, und ein Standardgateway. Die Statische Route ist da, damit man, wenn man das Gateway verbiegt noch alles andere machen kann. Historisch gewachsen :-). Ebenso wird die einzelne IP-Adresse per routen unerreichbar gemacht. Ist alles unschön. Aber da gibt es einen ISA für die ganze Schule. Es wird also nicht der Lehrer PC selbst zum Routen oder als Gateway verwendet. Der Hauptrouter (cisco mit vlans) und der ISA sind nicht so leicht von jetzt auf gleich per Skript anzupassen (wäre aber schön wenn das Ginge). Die kommunikation läuft per Daemon. Es ist also auf einem SchülerPC ein Daemon drauf der mit dem Server Kommuniziert, die LehrerPCs haben eine Steuersoftware. So kann man Skripts am SchülerPC "live" ausführen und die Routen setzen. (Die Software ist gar nicht so schlecht, und macht noch mehr, der Weg ist also da und bleibt) Allerdings würde ich auch lieber den ISA direkt ansprechen und auf IP/Computeraccount/Benutzereben das Internet sperren wollen. Oder alternativ per NetOp. Wie könnte man den ISA denn ansprechen und sagen Benutzer XY ab sofort nicht mehr ins Internet lassen. Geht das im ADS, direkt im ISA, oder geht das "gar nicht". Wie geht das denn per NetOP, die Schule nutzt das für einige wenige Dinge, wußte gar nicht das man da auch so was machen kann. Version 3-5 sind glaub ich noch in Betrieb. Geht das "nur" wenn der LehrerPC auch Router ist? Danke für die Hinweise. Vielleicht können wir ja ne Lösung finden die für alle gut Funktioniert. Ich würde sonst in dem Konkreten fall einen Squid auf Windows (LehrerPC) empfehlen. Aber wenn der Lehrer Admin auf den PCs der Schüler ist, sollte man mit netsh doch auch die Gateways setzen können. Skripts hin oder her, wenn man es Gut Dokumentiert und erklärt, dann brauchst du kein Fachmamnn sein um zu befreifen was es macht ;) Und auch die Lehrer nicht. Gruß

dann danke für die Informationen....

Was ist denn der Nachteil bei einem solchen Kauf aus Wien? Die Komponenten wären für eine Schule, also der Öffentlichen Hand. Die Preise sind aber soweit ich mich mit den Bezeichnungen auskenne OK.

Ja, das die Geschwindigkeit und Leistung nicht so toll ist war mir auch durchaus bewußt. Ich Danke für die Info.... Gruß

Ok :), Welche Version meinte ich. Sarge 3.1, Etch 4.0, Lenny 5.0 Also, ich habe ein oder mehrere Segemente die mittels L2 Switchen an L3 Backbones angeschlossen sind, ich möchte das weiter aufteilen und L3 auch in den Unterverteilern einbauen. Testweise ist die Frage ob da Linux nutzbar ist. Und das würde ich im ersten Step in einem Testsegment machen welches ich über diesen Weg Testweise anschließen will. Und da Linux nun keine 24/48 Port Karten hat, möchte ich Linux mit 2 Netzkarten nehmen, eine als Uplink und die andere auf den vorhandenen 24/48 Port L2 Switch. Gruß

Gibt es denn da eine Markt für, wo man das gebraucht bekommt? Also einen Vernünftigen Shop oder so? Ebay und Co ist denke ich nicht so angesagt in diesem Bereicht, oder doch? Wir gesgat geht es sich hier um dinge zu testen, und ein Solches Gerät zum Kurzfruistigen Testen oder dergleichen zu kaufen ist nicht so der Hit. Ich möchte doch nur wissen, ob man anstelle eines Cisco Routers auch Linux verwenden kann und ähnliche Features hat. Damit man nicht ein L2 Switch verwenden muss, bzw. diesen durch vorbei eines Linux L3 mäßig trennen kann vom Rest. Danke aber für eure Anregungen. Nur zur Info, Wordo, welche Distrir hast Du?

Danke für die Infos und Antworten. Klar ist das reine Trennen uns Basisfunktionen so möglich. Testnetz ist auch korrekt, aber zum Schluss in letzter Instanz soll das Netz dann auch angeschlossen werden... also Wenn der Test ordentlich verläuft. Und da ist die Frage, könnte man sowas auch mit einem Linux machen. Also auch die VLANs über Trunk in das Netz kippen, und BCast Storms unterbinden (Beispielsweise bei einer Bridge Konfiguration). Gruß

Hallo Leute, gibt es eigentlich eine Linux Distribution oder Unix, welche Ansatzweise in LowBudget Umgebungen oder Testlabs anstelle einer Cisco für ein Layer3 Netzwerk verwendet werden könnte. Die Klassisch benötigten Dinge um das Segment vom rest zu trennen ist VLAN und STP. Kann sowas pfSense? Hab ich irgendwo einen Gedankenfehler? Normal müsste es doch möglich sein auf einer Cisco ein Porttrunk zu bauen wo alle VLANs durchgereicht werden und mit einem Router (PC) dort ähnlich einer Cisco weiter zu machen. Oder? in dem VLAN ist ja "eh" ein Layer2 Segment, und ein "normaler" Switch würde da reichen, klar ist dann pro Port nicht alles drin, und ein Pro Port BCast Storm würde auch gehen, ich will aber in erster Linie nur das Netzsegment vom rest "gut" trennen. Gruß

dann ist ja gut, hab ich mir fast geadacht, aber suche gerade an allen stellen. Was genau ist das hier "Broadcast address is 255.255.255.255" im Vlan. Müsste hier nicht sinnigerweise auch ein "10.60.1.255" und co stehen. also auf dem Interface (VLan) ein ip broadcast-addresse 10.60.1.255" gemacht werden? WOL und DHCP werden verwendet in den Netzen. Wann genau spielt die dort definierte Adresse eine Rolle? Gruß

Ich habe auf 2 Cisco zugriff, die sind fast identisch konfiguriert, die eine ist kleiner und die große ist älter. Die Kleine hat 12.2 und die große 12.1 drauf. Was mir in bezug auf ARP noch aufgefallen ist, die große hat bei allen vlan die gleiche ARP Adresse, und die kleine nicht. also "show int vlanX" und "show int vlanY" haben etwas anders hier stehen "Hardware is EtherSVI, address is 0017.940f.8ec3 (bia 0017.940f.8ec3)" bei der 12.1, der großen ist das nicht so, da steht immer das gleiche, was ist denn nun korrekt? oder geht beides? CiscoGross12.1>show arp | incl 254 Internet 10.60.1.254 - 000c.ce64.41ff ARPA Vlan1 Internet 10.60.2.254 - 000c.ce64.41ff ARPA Vlan2 Internet 10.60.3.254 - 000c.ce64.41ff ARPA Vlan3 CiscoGross12.1> CiscoKlein12.2#show arp | incl 254 Internet 10.60.4.254 - 0017.940f.8ec6 ARPA Vlan4 Internet 10.60.5.254 - 0017.940f.8ec1 ARPA Vlan5 Internet 10.60.6.254 - 0017.940f.8ec2 ARPA Vlan6 CiscoKlein12.2#

Das ist ja konfiguriert, nur da es sich auch ändern muss. Und zwar Zeitnah, ich komm von der Stelle aus nicht an den DHCP dran, und ein release trennt ja auch die Verbindung. Der Rechner läuft und an Ihm wird gearbeitet, ich muss nun also in der Lage sein das Gateway zu änden/löschen ohne das der Benutzer im lokalen Netz was davon merkt/ausfälle hat.

Also dann hab ich eventuell ein Uralt :) Cisco>show ip inter vlan3 Vlan3 is up, line protocol is up Internet address is 10.60.3.254/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is 10.60.1.10 Directed broadcast forwarding is enabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP CEF switching is enabled IP CEF Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Cisco> Cisco>show inter vlan3 Vlan3 is up, line protocol is up Hardware is Ethernet SVI, address is 000c.ce64.41ff (bia 000c.ce64.41ff) Internet address is 10.60.3.254/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:01:49, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec L3 in Switched: ucast: 1157355 pkt, 202364615 bytes - mcast: 0 pkt, 0 bytes L3 out Switched: ucast: 1332614 pkt, 936953536 bytes - mcast: 0 pkt, 0 bytes 1157355 packets input, 202364615 bytes, 0 no buffer Received 8068 broadcasts (64 IP multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 1332614 packets output, 936953536 bytes, 0 underruns 0 output errors, 0 interface resets 0 output buffer failures, 0 output buffers swapped out Cisco> So wie ich das sehe ist ARP Proxy eingeschaltet. Aber mal was anders, ein L3 Switch muss doch genau wie ein Rechner aus seinem Segment die ARP Einträge den IP Adressen zuordnen, sonst ist mit Routing doch auch nicht mehr viel, oder? Also ein "show arp" macht bei mir sehr viele Einträge. Aber das ist doch normal, oder etwa nicht? Meine Probleme scheinen sich immer mehr zu erklären. Wobei mir nun auch das erste mal die 255.255.255.255 auffällt :) Ich denke da muss auch eher die 10.60.3.255 rein.

Proxy ARP schau ich mir später an, aber warum würdest du das nicht empfehlen. So wie ich das sehe ist das an, und zwar weil es eine Standardeinstellung ist, kann das sein? Gruß

Hallo, die Cisco ist eine 4506. Das Internet macht ein LinkSys RV082 mit 2x T-DSL Business 16000. Die Cisco sollte viel mehr schaffen als alles andere. Das es theoretisch richtig ist, kann ich nachvollziehen. Aber Engpässe sollte es hier nicht geben, und ich will einfach vermeiden das ich auf den Servern immer die ganzen Statischen Routen pflegen muss. Die anderen Netze gehen ja ebenfalls über die Cisco ins Internet, da diese ja nur über den Cisco-Router in andere Netze kommen. Und die Redirects, wenn diese schnell dafür sorgen würden das es klappt, wäre auch alles kein Problem. Doch die Antworten mit den ICMP und die Bearbeitung dauert ewig lange. Die Response auf ein PING ins Internet war ewigkeiten, und Internet war wegen Timeouts überhaupt nicht mehr möglich. Erst nach dem Umstellen ging wieder alles super schnell. Mag sein das es nicht sein sollte, aber so war es. Kenn mich in der Erfahrung leider mit den ICMP Redirects nicht aus. Gruß und Danke für die Antwort

Hallo, scheinbar ist es auf dem Interface "no ip redirects". Vielleicht kann noch jemand einen Satz zu arp proxy sagen, macht das Sinn was genau ist das wie teste ich das. Danke schön

So, nun wird es echt übel.... Es ist nun alles wie beschrieben eingestellt, aber der Fehler MrxSMB(8003) Bleibt beim DC bestehen. Ich hatte auch wegen dem DHCP Helper und der Suche bei Google zu dem Fehler einen Arikel aus diesem Forum gefunden "RouterGod Trinity Explains The IP Helper-Address Command". Dort steht ja der Hinweis mit der Konfiguration des "no ip forward-protocol". Jetzt ist es gemacht, aber die Fehler gehen weiter. Ein kurzer Wireshark zeigt mir noch immer ganz viele Meldungen aus den Netzen. Da ich den Wireshark im Zielnetz (Netz wo der DC steht) mache sehe ich Pakete die als Ziel aber direkt die IP-Adresse des DCs haben. Entweder greifen die Regeln nicht weil direkt der DC also die Ziel-IP Adresse angeschprochen wird, oder ich kann es mir nicht erklären. In jedem Fall sind es UDP Meldungen mit Source-Port und Dest-Port 138. genau das was ja nicht mehr weitergeleitet werden sollte. Jemand eine Idee? Oder ist es Zeit für das Forum der Windows MCS[AE] Cracks ;( Welche Stellen kann ich mir noch genauer ansehen, welche Infos braucht Ihr noch?

Also folgende Optionen gehen nur Global und nicht per Interface. no ip forward-protocol udp 37 no ip forward-protocol udp 49 no ip forward-protocol udp 53 no ip forward-protocol udp 137 no ip forward-protocol udp 138 Ansonsten scheint alles so zu klappen wie gedacht. DHCP Directed Broadcast scheint für die WakeON LAN Funktion zu sein, was genau da Weitergeleitet wird, also wie die WakeON LAN Pakete aussehen müssen würde ich aber gern noch mal erfahren. Danke schön...

bei welchem Skript? Ich habe sowas aber schon versucht. Also netsh befehle bei denen das einfach leer ist oder ähnliches.

Hallo, Ich habe ein auf DHCP stehendes Netz von vielen Computern. Jetzt möchte ab und zu kurzfristig das Gateway löschen. Daher suche ich eine Möglichkeit nicht ein falsches Gateway zu setzen, sondern das Gateway zu löschen. Gibt es da auch so etwas. Der Befehl setzt es, gelöscht bekomm ich das aber nicht. Wäre super.... danke.

Firewall vielleicht eingeschaltet und dort keien Entsprechenden Regeln hinterlegt? Haben nur ein RV082, keine Ahnung ob die Identisch sind :)

Hallo Leute, ich habe ein Netzwerk welches die Server beeinhaltet und den Router (Linksys) mit 2 WAN Schnittstellen ist ebenfalls in diesem Netz. Anschlossen ist alles an einer Cisco mit VLAN1 und es gibt da noch sehr viele andeere VLAN2 und Subnetze die über die Cisco geroutet werden. Die Cisco kennt die Route ins Internet per Default route an die 10.60.1.1. Jeder Client hat die Cisco IP aus seinem Netz als Default GW eingetragen und alles klappt. Der Linksys kennt auch alle Routen! Die Server hatten aber immer den Linksys eingetragen und Statische Routen in die anderen Netze. Das wollte ich nun der Einfachheit über die Cisco machen, also die Default GWs auf den Servern auch auf die Cisco 10.60.1.254 und es läuft auch. Nur sooooooo langsam. Ich bemerke nun das die Cisco den Servern bei einer Anfrage ein ICMP Redirect sendet, und der Server dann die eine IP Adresse die er anfragen wolle (aus dem Internet) in seine Routingtabelle temporär einträgt und zwar mit dem Linksys als Ziel. Das anfragen und die ICMP Antwort dauert ewig. So das ich wiede ralles zurück gebaut habe. Was muss die Cisco denn nun noch konfiguriert bekommen das ich diese als Standard auf den Servern eintragen kann und der Traffic nun wirklich über Sie läuft? Hoffe das war so weit verständlich.

Hallo Leute, ich habe von einer Cisco folgende Konfiguartion erhalten (Auszugsweise für das VLAN) ! interface FastEthernet2/46 switchport access vlan 2 ! interface FastEthernet2/47 switchport access vlan 2 ! interface FastEthernet2/48 switchport access vlan 2 ! interface vlan2 ip address 10.60.2.254 255.255.255.0 ip helper-address 10.60.1.10 ip directed-broadcast ! Nun hat der Windows DC (DHCP) Probleme aus dem Subnetz, das Clients per NetBIOS Broadcast rumrufen das Sie MasterBrowser sind. Das geschieht grob auf Port 137/138. Das möchte ich nun unterbinden. Ebenso möchte ich, da ich den Router nicht selbst Konfiguriere den DHCP Server auch auf anderen IP-Adressen betreiben können, daher nehme ich die Broadcastadresse vom Zielnetz als Helper. Auch CDP wird nicht verwendet, sendet aber alle 60 Sekunden was meinen Dump unschön aussehen läßt ;) Kann ich das nun so Konfigurieren??? Was "ip directed-broadcast" bedeutet und ob das nötig ist weiß ich gerade nicht, und ob der Kontext in dem man das Forwarding ausschaltet auf dem Interface ist weiß ich nicht. ! interface FastEthernet2/46 switchport access vlan 2 ! interface FastEthernet2/47 switchport access vlan 2 ! interface FastEthernet2/48 switchport access vlan 2 ! interface vlan2 ip address 10.60.2.254 255.255.255.0 ip helper-address 10.60.1.255 no ip forward-protocol udp 37 no ip forward-protocol udp 49 no ip forward-protocol udp 53 no ip forward-protocol udp 137 no ip forward-protocol udp 138 ip directed-broadcast no cdp enable ! Es wäre schön da euere Meinung zu bekommen :) Gruß

Ok, dann mach ich hier erstmal Schluss.... versuche mir einiges von Cisco zu angeln zum lesen und würde mich dann mit einem kleinen Scenario noch mal bei euch melden. Das Netz ist hier echt am zusammenbrechen, und das kann ich mir eigentlich nicht vorstellen und nach einigen Wireshark Messungen dürfte das meiner Meinung auch auch nicht sein. Danke für euere Hilfe bis hier her... melde mich im Neuen Thread am besten noch mal.... Das einzige von dem ich weiß was falsch ist, das der dhcp-helper auch 137/138 weiterleitet :) Das darf er nicht. GRuß

Ja und Nein, es gibt verschiedene Arten und ich habe sie bisher nie wirklich gebraucht. Daher möchte ich hier nicht einfach mit JA Antworten. Aber sie sollten dafür sorgen das Segemente im Netzwerk aufgebaut werden und mindestens Broadcast Domains entstehen, oder?