Otaku19

btw. Wohl nicht nur mir rollts die Zehennägel bis zu den Knien auf wenn man öffentliche Schlüssel als Zertifikate bezeichnet :)

bin kein QoS Profi aber: (queue depth/total drops/no-buffer drops) 0/17/0 = Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 17 somit wird von intern mit mehr als deinen zugelassenen 47,5Mb gesendet und zwar anscheinend so lange/so viel das dir der Puffer übergelaufen ist, ewig kann shaping zu viele Daten nicht speichern, wenn der Puffer voll ist wird gedropt.

lokal kann man natürlich sätmliche tastenanschläge mitbekommen, was innerhalb der RDP Session passiert afaik irgendwie gesichert, da kommt man dann nicht mehr sooo leicht ran, aber alles was der User zu gesicht bekommt, muss man auch abgreifen können. Aber sowas wird hier sowieso gleich wieder geschlossen :)

mit entsprechenden Vorkerhungen ist nichts dagegen einzuwenden, da wäre zuerst eine gute Authentifizierung und IOS bietet irgendeine Art rate-limiting wenn jemand zu oft versucht sich zu verbinden

first of all, am vty bindet man keine extended acls, da soll ja nur auf source IP gelauscht werden wie schaut die interfacekonfig aus ? Was sprichst du an ? evtl eien nicht von draussen erreichbare loopback ?

das war früher ind en Kabelnetzen immer weider n Problem, da konnten ja die Kunden die in einem Segment waren auchauf Shares der anderen zugreifen etc. Und da wäre natürlich auch das betreiben eines eigenen DHCPs problemlos möglich gewesen und schon kann ein "interessierter" Kabelkunde sämtlichen Traffic über sich schleifen und mithören sofern unverschlüsselt.

Du könntest max. noch die IP Adressen der DHCP Server einschränken, aber wenn der ISP was ändert funktionierts erst recht wieder nicht. Securityseitig bist du hier also dem ISP auf Gedeih und Verderb ausgeliefert :) aber im Normalfall sind die Kunden bei allen Kabelbetreibern mittlerweile separiert und dein NAchbar kann sich nicht als dein DHCP und somit dann auch als GW angeben.

btw Kabelmodems sind normalerweise L2/Medienumsetzer, sonst nichts weiter, die IP bekomtm man vom DHCP des ISP

permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps = Käse

ne, meine eh schon verdienten Millionen muss ich eh schon so und so versteuern das mir schlecht wird :D Ne, so funktioniert das ja bei vielen Brötchengebern nicht, aber jede Ausbildung, Zertifizierung oder Prüfung wird sich später mal bezahlt machen.

Jo,denn Composite gibts nicht mehr :-) den hab ich knapp vor dem letztmöglichen Termin abgelegt.

done :-)

Endlich habe ich meinen CCNP in der Tasche und wie geplant waren dafür nur 2 Prüfungen zu erledigen :-) An alle die TSHOOT machen wollen,einige Problemstellungen sind wirklich gemein,zieht euch am.besten das Certificationkit von Kevin Wallace rein und auch seine Bullseye Strategys auf youtube. Einer der Tipps ist Gold wert ;-) die Prüfung habe ich sogar mit 1000 Punkten abgeschlossen,mal sehen ob der Mr. Wallace hier auf der Networkers ist,dann kann ich mich direkt bei ihm bedanken :-)

SAP und Leute die mit dem Graus arbeiten sind da nicht so :)

schaut nach Tunnel aus ? ich persönlich tu mir immer leichter wenn ich statt Märchen von Räubern,Drachen und Prinzessinen IP Adressen und Configzeilen lese

wird ja anscheinend ohnehin schon genattet, das muss entsprechend umkonfiguriert werden

tjo, bei cisco selbst gibts defakto nix (mehr), dei MARS stirbt. Wenn ihr eh CP im Einsatz habt/hattet...ich glaub dieses Tufin kann docha uch mit syslogs der ASA umgehen ? Die meisten CP User haben doch auch oft Tufin irgendwo am laufen ?

die komplette Sysinternals Suite :)

da gibts wohl entsprechende forwards, zeig mal die config. 443 kann vom https server kommen, der SDM kann nämlich auf http und htps laufen

na dann passts ja :)

ich glaub 1700er unterstützt GNS3 doch garnicht ? Da gehts doch erst ab 2600 los

ne, sowas ändert ein ISP normalerweise nicht ständig. So sollte es zumindest mal fürs erste funkitonieren und man kann sich in Ruhe anschauen wo genau das mit der dynamischen Zuweisung hapert

dann trag sie auf die schnell halt manuell im dhcp pool ein und lass die clients direkt den dns draussen befragen, solange du am router selbst keine eigene zone machst, ist es perfomancetechnisch eh gscheiter das DNS nicht den Router machen zu lassen

dazu musst du sie importieren,dazu ist am dialer irgendwas mit ipcp und im dhcp pool import all einzutragen.

Interessant ist der Aufbau ja, aber grade wenn du sagst Neustart...all dieser Wartungskram muss ja dann mit 3 verschiedenen Parteien abgeklärt werden und wenn der Router den Geist aufgibt (auch Cisco ist nicht für die Ewigkeit gebaut) sind alle 3 Zugänge weg. Du baust dir somit gleich bei 3 unterschiedlichen Kunden einen SoF ein. Und was ist wenn einer der Kunden irgendeinen Unsinn treibt und den Zugang der anderen 2 beeinträchtigt ? Klar, die Dataplane ist quasi getrennt, die controlplane aber nicht. Ich hätte für jeden einzeln einen passenden 800er gewählt und fertig. Damit sind wahrscheinlich auch auch die externen Modems obsolet und du kannst einen 800er parat halten wenn einer defekt ist. Das alle 3 gleichzeitig den Geist aufgeben ist eher unwahrscheinlich (aber dennoch möglich)