Otaku19

gleich i7-8xx nehmen

Bei deinen ungenauen Angaben kann dir niemand helfen.... Welche Firewall ? kannst du die Namen der Seiten auflösen ? Evtl MTU Problem ? Evtl irgendein unsinn am Client ? ....

tjo, wenn man kein brauchbares Securitykonzept hat (Geräte einfach nicht im Netzwerk zu haben ist keines) sollte davon evtl wirklich dei Finger lassen

hm, müsste man in den Blueprints gucken

ohne deiner aktuellen FW Config kann dir das niemand beantworten

vielleicht hilft dir ja nmap: SkullSecurity Blog Archive Scanning for Conficker with Nmap

Möglichkeit 1: Die Firmen mögen doch bitte IPSec oder SSL Remote Access für den herren einrichten. Dagegen spricht überhaupt nichts wenn man das gscheit macht Möglichkeit 2: UMTS Router nehmen der auch gleich dynDNS updaten kann. Damit hätte man das Problem mit der dynamischen IP mal gelöst, zumindest bei uns in Österreich gibts bei jedem provider öffentliche IP Adressen, grademal bei Orange gibts einen APN über den man nur via proxy ins Internet kommt. Allerdings ist das: a unzuverlässig (das Marketing blabla von den Mobilfunkbetreibern kann man knicken) b die latenz lässt zu wünschen übrig, je anch Anwedung kann das ein Problem sein Ich würde Möglichkeit 1 nehmen

wenn am NAT nix verdreht wird, dann werden wohl deine FW Rules irgendwas blocken :)

denke schon, das ist doch die einzige Infoquelle die ein angehender CCIE im Lab benutzen darf ?

da hab ich wohl den 0er überlesen....ABZOCKER! ;)

welche Rolle spielt es ob die gemieteten Ports da auf einem Switch oder am Router zu Hause sind ? Aber sei es wie es sei, HWIC-4ESW kaufen....nur um die mal mit den läppischen 16€ pro Monat wieder drin zu haben dauerts.

weil ? da will ich mal n richtigen grund hören :) die HWIC-4ESW würde ich da nehmen, sonst gibts doch eh nix ?

fa0 ->Modem fa1 ->Switch, 802.1Q trunk bauen ?

wobei, ich bin da nicht mehr ganz fit...wie funkt denn das mit 8mbit ? flutschen die auch über eine 4 Draht Leitung rüber ? Waren da nicht 2MBi/Adernpaar oder so ? ich kann mich nur noch erinnern das die Provider hierzulande damals entweder einfach nur 4MBit max angeboten haben oder tatsächlich 2x4 Draht zum Kunden gezogen wurde um das zu realisieren....wurde da was am Signaling/Multiplexing wie auch immer gedreht ?

da müsste das WIC-1SHDSL-V2 sein, das ohne V2 ist nur 2wire.

tjo, und sonst clients in den netzen ? je nachdem wo weniger freigeschaltet werden muss, dort würde ich ansetzen. hier für dein Anliegen access-list 100 permit tcp host 192.168.1.1 host 192.168.10.1 eq 22 access-list 100 deny tcp any host 192.168.10.1 eq 22 access-list 100 permit ip any any access-list 101 permit tcp established access-list 101 deny tcp host 192.168.10.1 any eq 22 access-list 101 permit ip any any int vlan 150 ip access-group 100 out ip access-group 101 in interessant wirds dann halt bei prokollen die dynamisch weitere Ports aushandeln, ftp oder nfs, da wäre dann CBAC angesagt, da weiß ich allerdings nciht ob das der Switch kann

natürlich

es gibt keine ACL 1.... Man sieht selten so zugemüllte congis, der RIP Prozess ist zB auch 1. unnötig wenn er mit niemanden sprchen kann, 2 sind da Netze drin die du nicht lokal am Router hast. Wozu cdp auf JEDEM Interface abdrehen wenns eh schon global abgeschaltet ist ? Wozu tausende von traps für Features die du nicht mal nutzt ? "server name" sagt mir jetzt auch nichts, was soll der ganze yahoo Krempel da drin ? Ich würde an deiner Stelle mal ein schönes wr erase machen und ganz klein komplett von vorne beginnen...wem hast du denn diese Konfig geklaut ?

lass aber den ganzen unnötigen krempel weg

speed und duplex werden zwischen den Geräten ausgehandelt, ganz sicher nicht über einen Server auf dem für den user da Settings konfiguriert sind. das wäre Unsinn. Rate-limits dagegen wäre was anderes

na dann bitte: ping 81.151.x.x dann sh arp posten sh int und sh run int deines WAN interface posten

Stell ich mri das etzt richtig vor: Provider -> Ethernet -> dein Router |offizielles Linknetz| So und du pingst vom Router die Gegenstelle ? Passt die Maske ? Hast du einen ARP Eintrag für die Gegenstelel am Router ? Was sagt sh interface für dein WAN interface ? Config ?

802.1X mit Zertifikaten ist state of the Art, ich wüsste nicht was es noch geben würde was mehr Sichrheit bietet. Wobei hier natürlich noch eine L2 Verschlüsselung wünschenswert wäre. Schließlich kann man sich für die Zeitdauer in der nicht reauthentifiziert wird immer noch als bereits authentifizierter Client ausgeben afaik.

wwm : Wer wird Millionär GJ: Günther Jauch

das wäre vom Monitoringsystem aus gesehen doch eher passiv ? Es muss ja dazu nix tun, grade mal bei v3 könnte es Acks schicken ?