makana

Also mein Konstrukt ist folgendes ich hab 2 interne Host im gleich subnet 192.168.100.1 /192.168.100.2 beide verstecken sich nach aussen hinter eine Public IP 62.100.100.2. Funzt prima nund möchte ich aber aus einem remote Netz 10.10.10.10 ein static nach innen machen zur 192.168.100.100. aber eben nur dann wenn der Traffic von der 10.10.10.10 zur 192.168.100.100 möchte. oder vlt noch ein wenig anders formuliert NUR wenn der traffic von den 10.10.10.10 kommt und zur 192.168.100.100 möchte dann ersetze mir die Source IP durch eine 192.168.100.x. Hinter grund ist ich kann das 10.10.10.x netz nicht direkt routen und verändern weil es nicht in meiner Hoheit liegt.

Ok das leuchtet mir schon ein was du da meinst. aber wie wird entschieden wenn sich der Client X an der SSID anmeldet wo hinter der SSID z.B 3 VLANS mit unterschiedlichen Ranges liegen. Woher weis der Client dann aus welchem VLAN er die IP bezieht er sieht ja erstmal nur die SSID und im Contrller sind 3 verschienden virt. Interfaces hinterlegt

Hallöchen kennt sich jemand mit den Dingern tiefgründiger aus? Ich hätte da mal ein frage bzgl. der interface Groups. Und Zwar kann man ja mehrere Vlans (somit auch IP Ranges) in eine Gruppe packen und diese dann wiederum ein SSID zu ordnen. Kann mir jemand erklären wie indem Falle die IP Adresse Zuweisung (DHCP der Clients unterschieden wird? Und die 2. Frage wäre kann man verschiedene LAG Gruppen bauen oder oder nimmt er automatisch alle 8 in eine LAG Gruppe? Danke für eure Hilfe schonmal.

Hintergrund ist das der eine standort zum It Verbund gehört welcher 27001 Zertifiziert ist und die Ports im Büro geschützt werden müssen, in anderen Standorten gib es das nicht.

genau das war meine ursprüngliche Frage

Wenn die GPO einmal gezogen hat bleibt die ja resistent. ich würde einfach gern 2 Profile anlegen so wie das beim WLAN möglich ist wo ich das an Hand der SSID unterscheide. Ist die SSID mit 802.1x nicht in Reichweite so zeihen einfach wieder die default Einstellungen für WLAN

Hallo zusammen, ich brüte gerade an folgendem Sachverhalt. Ich hab ein domaine mit 3 Standorten. An einem davon muss ich die Netzwerkeinstellungen so per GPO verteilen das 802.1x aktiv wird. bei den anderen Standorten nicht. Die User arbeiten allerdings auch an den anderen beiden Standorten in der Domaine und auch ausserhalb des Firmennetzwerkes beim Kunden. dort müssen natürlich die Netzwerkeingenschaften wieder auf DHCP gestellt werden. Bei wireless verdungen mach ich ja die Einstellung an der SSID fest und gebe die per GPO mit ( kommen sie in ein anderes WLAN ziehen die einstellungen dann nicht mehr die von der GPO kommen), das funzt prima. gibt es sowas auch für Kabelgebundene- LAN Einstellungen in den GPO´s ? wenn ich im domain Netz bin hat das ja auch sowas wie eine Kennung ( bsp. test.test.de) ander man das fest machen könnte welche Einstellungen ziehen, allerdings ist ja der name test.test.de in der Domain dann ja an allen standorten gleich und in den Standorten wo kein 802.1x läuft wäre er ja auch test.test.de --> also wäre da kein unterscheidung möglich. Hatt jemand einen Gedankenblitz wie ich das per GPO lösen kann. Ich kann dem User ja nicht zu muten das immer per hand zu ändern. Achso domain ist w2k8 R2 Danke für euere Vorschläge

IT Grundschutz. Ja wir haben 2 Rechenzentren welche aber vorher schon Tier 2 waren.

Hallo Hannes, ich habe mal ein Computerkonto im Ad angelegt --> bringt leider nicht den gewünschten Erfolg. Muss das Konto noch in spezielle Gruppen aufgenommen werd ?

Danke dir für den Tipp ich werde das gleich mal testen und dann ein Feedback da lassen ^^

wir haben des "Spaß" jetzt komplett und erfolgreich hinter uns. mal abgesehen von den Kosten ist das ganze Projekt ein mega Zeitvernichtungsmaschine geworden ( mehr als ein Jahr). Dann kommt dazu dass das ganze Unternehmen die Geschichte im wahrsten sinne des Wortes "leben muss" sonst ist die sache nach einem Jahr zur Re-Zerti geschichte. Ob die Zertifzierung was bringt oder nicht hängt eigentlich davon ab welchen Kundenkreis man angehen möchte . Wir sind ein Hosting Unternehmen --> will man Server von öffentlichen Einrichtungen oder Ämtern hosten, ist das ne wichtige Sache. Will man nur den Exchange von der Baufirma nebenan hosten wird den Cheffe das nicht jucken ob ISO oder nicht weil den Preis wird er dir nie zahlen ^^.

Cisco ASA 5505 z.B. da hast du schon mal 10 site to Sites drin und mit der HaSec Variante unlimtetd user, Clusterfähigkeit und dual ISP lediglich den WEB Filter must du extra lizenzieren. Obwohl ich der Meinung bin ein Webfilter und Antivirus gehört nicht auf eine FW da gibts deutlich bessere Kombinationen, aber das ist in erster Linie eine Phylosophiefrage. Mit Spophos habe ich da schon wahnwitzige Sachen erlebt mal abgesehen von der Prfomance wenn alle Services aktiviert sind :)

Da gibts vielo entscheidende Parameter. -Geschwindigkeit -Vorhaltezeit -Auslagerung -Integrations Features ( SQL, SAP, Exchange usw) -Preis wir schreiben unsere Backups mit Veam raus auf die Disk und ziehen den Rest mit HP Dataprotector auf´s Band.

Hallo Zusammen, folgendes Problemchen bewegt mich gerade. und zwar möchte ich Gast PC´s welche wieder Name schon sagt nicht Domainmeber sind gegen den NPS authentifizieren (mit Zertifikat) Eine eigene Unternehmes Ca ist vorhanden und für Clients die in der Domain sind funzt die ganze Sache wunderbar. Nehme ich aber einen Rechner der nicht in der Domain ist und fordere für ihn ein Client Zerti an ( hatte schon gelsen man soll die Vorlage für IAS&RAS nehmen). bekomme ich beim authentifizieren im NPS-Log folgende Meldung: "das angegebene Benutzerkonto existiert nicht" --> ja wie, auch ist ja kein Domainmitglied sollte da nicht das Client Zerti verwendet werden oder verstehe ich da was falsch? Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 24.04.2013 08:19:25 Ereignis-ID: 6273 Aufgabenkategorie:Netzwerkrichtlinienserver Ebene: Informationen Schlüsselwörter:Überwachung gescheitert Benutzer: Nicht zutreffend Computer: DC-FUNKI.funki.local Beschreibung: Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. Benutzer: Sicherheits-ID: NULL SID Kontoname: host/nb0910161 Kontodomäne: FUNKI Vollqualifizierter Kontoname: FUNKI\host/nb0910161 Clientcomputer: Sicherheits-ID: NULL SID Kontoname: - Vollqualifizierter Kontoname: - Betriebssystemversion: - Empfänger-ID: 00-24-a8-d8-98-40 Anrufer-ID: 70-5a-b6-96-e9-d9 NAS: NAS-IPv4-Adresse: 192.168.180.250 NAS-IPv6-Adresse: - NAS-ID: ibkchsw001 NAS-Porttyp: Ethernet NAS-Port: 2 RADIUS-Client: Clientanzeigenname: ibkchsw01 Client-IP-Adresse: 192.168.180.250 Authentifizierungsdetails: Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen Netzwerkrichtlinienname: - Authentifizierungsanbieter: Windows Authentifizierungsserver: DC-FUNKI.funki.local Authentifizierungstyp: EAP EAP-Typ: - Kontositzungs-ID: - Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. Ursachencode: 8 Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>6273</EventID> <Version>1</Version> <Level>0</Level> <Task>12552</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2013-04-24T06:19:25.702638300Z" /> <EventRecordID>50263</EventRecordID> <Correlation /> <Execution ProcessID="732" ThreadID="328" /> <Channel>Security</Channel> <Computer>DC-FUNKI.funki.local</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">host/nb0910161</Data> <Data Name="SubjectDomainName">FUNKI</Data> <Data Name="FullyQualifiedSubjectUserName">FUNKI\host/nb0910161</Data> <Data Name="SubjectMachineSID">S-1-0-0</Data> <Data Name="SubjectMachineName">-</Data> <Data Name="FullyQualifiedSubjectMachineName">-</Data> <Data Name="MachineInventory">-</Data> <Data Name="CalledStationID">00-24-a8-d8-98-40</Data> <Data Name="CallingStationID">70-5a-b6-96-e9-d9</Data> <Data Name="NASIPv4Address">192.168.180.250</Data> <Data Name="NASIPv6Address">-</Data> <Data Name="NASIdentifier">ibkchsw001</Data> <Data Name="NASPortType">Ethernet</Data> <Data Name="NASPort">2</Data> <Data Name="ClientName">ibkchsw01</Data> <Data Name="ClientIPAddress">192.168.180.250</Data> <Data Name="ProxyPolicyName">Sichere verkabelte (Ethernet-) Verbindungen</Data> <Data Name="NetworkPolicyName">-</Data> <Data Name="AuthenticationProvider">Windows</Data> <Data Name="AuthenticationServer">DC-FUNKI.funki.local</Data> <Data Name="AuthenticationType">EAP</Data> <Data Name="EAPType">-</Data> <Data Name="AccountSessionIdentifier">-</Data> <Data Name="ReasonCode">8</Data> <Data Name="Reason">Das angegebene Benutzerkonto ist nicht vorhanden nicht.</Data> <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data> </EventData> </Event> Danke schon mal für eure Tipps wenn es dann welche gibt ^^

Hier eine simple Config Auf dem Master Switch ( auf dem du die VLANs anlegt: VTP mode server VTP domain Test ( test kann irgenwas sein ) VPT password test Auf den Client Switches ( die an die es verteilt wird) VTP Mode Client VTP domain Test VTP paddword test ein "sh vlan" auf dem Client sollte die nun die vlan´s anzeigen die auf dem Master Konfiguriert worden sind. vorausgesetzt beide Switches sind über einen Trunk verbunden sind. Achtung !! die Revisions Nummer auf dem CLient sollte nei höher sein als auf dem Server sonst wird nix verteilt bzw der Client verweigert das Update der VLAN Database. !!