makana

Also mein Konstrukt ist folgendes ich hab 2 interne Host im gleich subnet 192.168.100.1 /192.168.100.2 beide verstecken sich nach aussen hinter eine Public IP

62.100.100.2. Funzt prima nund möchte ich aber aus einem remote Netz 10.10.10.10 ein static nach innen machen zur 192.168.100.100. aber eben nur dann wenn der Traffic von der 10.10.10.10 zur 192.168.100.100 möchte.

oder vlt noch ein wenig anders formuliert NUR wenn der traffic von den 10.10.10.10 kommt und zur 192.168.100.100 möchte dann ersetze mir die Source IP durch eine 192.168.100.x.

Hinter grund ist ich kann das 10.10.10.x netz nicht direkt routen und verändern weil es nicht in meiner Hoheit liegt.

zu frage 1:

der Controlelr bekommt in jedem deiner vlans ein Interface, anhand dessen erkenn der DHCP Server in welchem vlan der client ist. So wie es im wired LAN und dem DHCP Relay auf einem Router auch funktioniert.

Ok das leuchtet mir schon ein was du da meinst. aber wie wird entschieden wenn sich der Client X an der SSID anmeldet wo hinter der SSID z.B 3 VLANS mit unterschiedlichen Ranges liegen. Woher weis der Client dann aus welchem VLAN er die IP bezieht  er sieht ja erstmal nur die SSID und im Contrller sind 3 verschienden virt. Interfaces hinterlegt

Hallöchen kennt sich jemand mit den Dingern tiefgründiger aus? Ich hätte da mal ein frage bzgl. der interface Groups.

Und Zwar kann man ja mehrere Vlans (somit auch IP Ranges) in eine Gruppe packen und diese dann wiederum ein SSID zu ordnen. Kann mir jemand erklären wie indem Falle die IP Adresse Zuweisung (DHCP  der Clients unterschieden wird?

Und die 2. Frage wäre kann man verschiedene LAG Gruppen bauen oder oder nimmt er automatisch alle 8 in eine LAG Gruppe?

Danke für eure Hilfe schonmal.

Mir leuchtet auch das Konzept nicht  ein.

 

Einerseits gibt es einen Standort, der besonders hohe Sicherheitsanforderungen hat, andererseits soll es  Client's geben, die potentiell unsicher sind, da sie "woanders" alles machen dürfen sollen....

Hintergrund ist das der eine standort zum It Verbund gehört welcher 27001 Zertifiziert ist und die Ports im Büro geschützt werden müssen, in anderen Standorten gib es das nicht. 

Und wie unterscheidest du bei LAN unterschiedliche Authentifizierungsprofile? Wäre mir kein Weg bekannt.

 

Bye

Norbert

genau das war meine ursprüngliche Frage 

Das wird per GPO nicht funktionieren. warum nicht? Wenn du ohne 802.1x gar nicht ins Netz kommst, wie willst du dann GPOs ausführen?

Wenn die GPO einmal gezogen hat bleibt die ja resistent. ich würde einfach gern 2 Profile anlegen so wie das beim WLAN möglich ist wo ich das an Hand der SSID unterscheide.

Ist die SSID mit 802.1x nicht in Reichweite so zeihen einfach wieder die default Einstellungen für WLAN

Hallo zusammen,

ich brüte gerade an folgendem Sachverhalt. Ich hab ein domaine mit 3 Standorten. An einem davon muss ich die Netzwerkeinstellungen so per GPO verteilen das 802.1x aktiv wird. bei den anderen Standorten nicht. Die User arbeiten allerdings auch an den anderen beiden Standorten in der Domaine und auch ausserhalb des Firmennetzwerkes beim Kunden. dort müssen natürlich die Netzwerkeingenschaften wieder auf DHCP gestellt werden. Bei wireless verdungen mach ich ja die Einstellung an der SSID fest und gebe die per GPO mit ( kommen sie in ein anderes WLAN ziehen die einstellungen dann nicht mehr die von der GPO kommen), das funzt prima.

gibt es sowas auch für Kabelgebundene- LAN Einstellungen in den GPO´s ? wenn ich im domain Netz bin hat das ja auch sowas wie eine Kennung ( bsp. test.test.de)

ander man das fest machen könnte welche Einstellungen ziehen, allerdings ist ja der name test.test.de in der Domain dann ja an allen standorten gleich und in den Standorten wo kein 802.1x läuft wäre er ja auch test.test.de --> also wäre da kein unterscheidung möglich.

Hatt jemand einen Gedankenblitz wie ich das per GPO lösen kann. Ich kann dem User ja nicht zu muten das immer per hand zu ändern. Achso domain ist w2k8 R2

Danke für euere Vorschläge

Hey Makana,

 

welche 27001er Zertifizierung habt ihr gemacht? Native oder IT-Grundschutz?

 

Innerhalb eines Jahres umgesetzt ist ausgesprochen gut. Wie groß ist euer Laden?

 

Ciao

 Pitti

 IT Grundschutz. Ja wir haben 2 Rechenzentren welche aber vorher schon Tier 2 waren.

Hallo Hannes,

ich habe mal ein Computerkonto im Ad angelegt --> bringt leider nicht den gewünschten Erfolg. Muss das Konto noch in spezielle Gruppen aufgenommen werd ?

Danke dir für den Tipp ich werde das gleich mal testen und dann ein Feedback da lassen ^^

wir haben des "Spaß" jetzt komplett und erfolgreich hinter uns. mal abgesehen von den Kosten ist das ganze Projekt ein mega Zeitvernichtungsmaschine geworden ( mehr als ein Jahr). Dann kommt dazu dass das ganze Unternehmen die Geschichte im wahrsten sinne des Wortes "leben muss" sonst ist die sache nach einem Jahr zur Re-Zerti geschichte. Ob die Zertifzierung was bringt oder nicht hängt eigentlich davon ab welchen Kundenkreis man angehen möchte . Wir sind ein Hosting Unternehmen --> will man Server von öffentlichen Einrichtungen oder Ämtern hosten, ist das ne wichtige Sache. Will man nur den Exchange von der Baufirma nebenan hosten wird den Cheffe das nicht jucken ob ISO oder nicht weil den Preis wird er dir nie zahlen ^^.

Cisco ASA 5505 z.B. da hast du schon mal 10 site to Sites drin und mit der HaSec Variante unlimtetd user, Clusterfähigkeit und dual ISP lediglich den WEB Filter must du extra lizenzieren.

Obwohl ich der Meinung bin ein Webfilter und Antivirus gehört nicht auf eine FW da gibts deutlich bessere Kombinationen, aber das ist in erster Linie eine Phylosophiefrage. Mit Spophos habe ich da schon wahnwitzige Sachen erlebt mal abgesehen von der Prfomance wenn alle Services aktiviert sind :)

Da gibts vielo entscheidende Parameter.

-Geschwindigkeit

-Vorhaltezeit

-Auslagerung

-Integrations Features ( SQL, SAP, Exchange usw)

-Preis

wir schreiben unsere Backups mit Veam raus auf die Disk und ziehen den Rest mit HP Dataprotector auf´s Band.

Hallo Zusammen,

folgendes Problemchen bewegt mich gerade. und zwar möchte ich Gast PC´s welche wieder Name schon sagt nicht Domainmeber sind gegen den NPS authentifizieren (mit Zertifikat)

Eine eigene Unternehmes Ca ist vorhanden und für Clients die in der Domain sind funzt die ganze Sache wunderbar.

Nehme ich aber einen Rechner der nicht in der Domain ist und fordere für ihn ein Client Zerti an ( hatte schon gelsen man soll die Vorlage für IAS&RAS nehmen). bekomme ich beim authentifizieren im NPS-Log folgende Meldung:

"das angegebene Benutzerkonto existiert nicht"   --> ja wie, auch ist ja kein Domainmitglied sollte da nicht das Client Zerti verwendet werden oder verstehe ich da was falsch?

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         24.04.2013 08:19:25
Ereignis-ID:   6273
Aufgabenkategorie:Netzwerkrichtlinienserver
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      DC-FUNKI.funki.local
Beschreibung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
    Sicherheits-ID:            NULL SID
    Kontoname:                host/nb0910161
    Kontodomäne:                FUNKI
    Vollqualifizierter Kontoname:        FUNKI\host/nb0910161

Clientcomputer:
    Sicherheits-ID:            NULL SID
    Kontoname:                -
    Vollqualifizierter Kontoname:        -
    Betriebssystemversion:            -
    Empfänger-ID:                00-24-a8-d8-98-40
    Anrufer-ID:                70-5a-b6-96-e9-d9

NAS:
    NAS-IPv4-Adresse:            192.168.180.250
    NAS-IPv6-Adresse:            -
    NAS-ID:                    ibkchsw001
    NAS-Porttyp:                Ethernet
    NAS-Port:                2

RADIUS-Client:
    Clientanzeigenname:                ibkchsw01
    Client-IP-Adresse:            192.168.180.250

Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie:    Sichere verkabelte (Ethernet-) Verbindungen
    Netzwerkrichtlinienname:        -
    Authentifizierungsanbieter:        Windows
    Authentifizierungsserver:        DC-FUNKI.funki.local
    Authentifizierungstyp:        EAP
    EAP-Typ:            -
    Kontositzungs-ID:        -
    Protokollierungsergebnisse:            Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode:            8
    Ursache:                Das angegebene Benutzerkonto ist nicht vorhanden nicht.

Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>6273</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12552</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2013-04-24T06:19:25.702638300Z" />
    <EventRecordID>50263</EventRecordID>
    <Correlation />
    <Execution ProcessID="732" ThreadID="328" />
    <Channel>Security</Channel>
    <Computer>DC-FUNKI.funki.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">host/nb0910161</Data>
    <Data Name="SubjectDomainName">FUNKI</Data>
    <Data Name="FullyQualifiedSubjectUserName">FUNKI\host/nb0910161</Data>
    <Data Name="SubjectMachineSID">S-1-0-0</Data>
    <Data Name="SubjectMachineName">-</Data>
    <Data Name="FullyQualifiedSubjectMachineName">-</Data>
    <Data Name="MachineInventory">-</Data>
    <Data Name="CalledStationID">00-24-a8-d8-98-40</Data>
    <Data Name="CallingStationID">70-5a-b6-96-e9-d9</Data>
    <Data Name="NASIPv4Address">192.168.180.250</Data>
    <Data Name="NASIPv6Address">-</Data>
    <Data Name="NASIdentifier">ibkchsw001</Data>
    <Data Name="NASPortType">Ethernet</Data>
    <Data Name="NASPort">2</Data>
    <Data Name="ClientName">ibkchsw01</Data>
    <Data Name="ClientIPAddress">192.168.180.250</Data>
    <Data Name="ProxyPolicyName">Sichere verkabelte (Ethernet-) Verbindungen</Data>
    <Data Name="NetworkPolicyName">-</Data>
    <Data Name="AuthenticationProvider">Windows</Data>
    <Data Name="AuthenticationServer">DC-FUNKI.funki.local</Data>
    <Data Name="AuthenticationType">EAP</Data>
    <Data Name="EAPType">-</Data>
    <Data Name="AccountSessionIdentifier">-</Data>
    <Data Name="ReasonCode">8</Data>
    <Data Name="Reason">Das angegebene Benutzerkonto ist nicht vorhanden nicht.</Data>
    <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data>
  </EventData>
</Event>

Danke schon mal für eure Tipps wenn es dann welche gibt ^^

Hier eine simple Config

Auf dem Master Switch ( auf dem du die VLANs anlegt:

VTP mode server

VTP domain Test  ( test kann irgenwas sein )

VPT password test

Auf den Client Switches ( die an die es verteilt wird)

VTP Mode Client

VTP domain Test

VTP paddword test

ein "sh vlan" auf dem Client sollte die nun die vlan´s anzeigen die auf dem Master Konfiguriert worden sind. vorausgesetzt beide Switches sind über einen Trunk verbunden sind.

Achtung !! die Revisions Nummer auf dem CLient sollte nei höher sein als auf dem Server sonst wird nix verteilt bzw der Client verweigert das Update der VLAN Database. !!

Hallo Zusammen,

Man hat mir jetzt ein paar solcher "fast" Cisco Switches hergestellt --> für kleiner Sachen durchaus nutzbar. Nun meine Frage und zwar habe ich ACL´s definiert und und möchte diese gern wie auch sonst auf ein VLAN binden ( L3 Switching ist enabled) ich der bunten GUI gibts es die Option bind ACL allerdings kann man da nur sagen enteweder auf ein phy. Interface oder auf eine LACP Group was beides wenig Sinn macht. im Handbuch steht über die CLI würde es mit dem Befehl service-acl input ... funzen aber geht man wie beschreiben z.b ins "INT VLAN 12" so ist dieser Befehl gar nicht vorhanden. Es muss doch möglich sein eine ACL auf ein virt. Interface zu mappen. --< kennt sich jemand mit den Teilen aus und könnte mir eine Hilfestellung geben.

Danke schon mal im Voraus

Hallo Zusammen,

bin recht neu auf dem Gebiet (WLAN mit Cisco) aber vielleicht findet sich ja jemand der mir kurz hlefen kann.

und zwar habe ich eine Produktionshalle ( sehr wlanunfreundliche Umgebung) mit 76 AP jeweils ca 20 auf einer Etage. Nun wollte ich gern wissen ob es besser ist für jede Etage einen eigenen Contoller zu nehmen oder einen für alle AP´s ? Funktioniert das wenn man 4 Controller nimmt die je 25 Ap´s verwalten können und mit denen 1 Netz einrichtet oder muss das ein Controller sein?

Gelöst die Antwort hab ich gerade in einem anderen Threat gefunden war zwar versteckt aber meine Frage wurde damit beantwortet.

Hallo zusammen,

ich habe folgendes vorhaben ich habe ein Pix (A) die einen Site to Site Tunnel zu einer anderen PIX (B) (funktioniert tadellos). nun möchte ich auf Pix (A) einen remote login machen (remote access VPN ) und nich nur das Netz welches sich hinter Pix (A) verbirgt sondern auch das Netz was hinter PIX(B) ist durch den remote Access erreichen. Hat jemand eine Ahnung ob das techn möglich ist und was noch zu beachten währe aus die jeweiligen Crypto ACL´s an zu passen. Meine Konfig passt in soweit das ich via Remote access das Netz hinter PIX (A) schon erreichen kann, pinge ich dann vom remote Access host in des Netz von PIX(B) bekomme ich áuf PIX(A) den Fehler das es keine Route vom Remote Access Lan zum LAN von PIX(B) gibt.

Danke für eure Tipps

MfG

Carsten

Hallöchen Gemeinschaft.

Hat jemand von euch schon mal versuchen nen Cisco VPN client unetr Vista auf ner 64 Maschine zum laufen zu bekommen den offiziell wird das ja von cisco nicht supportet und es gibt auch keine 64 bit version.

Oder wäre AnyConnect ne alternative ?

also ich hab eineige pixen mit dem selben IOs stand und es geht einfach nur probier mal den weg über die CLI der PDM ist ist der größte rotz seit erfindung des GUI im zusammenhang mit cisco.

du must auf dem VPN Client schon spit tunnelling aktivieren denn sonst schickt der client alles verschlüsselt weiter da hilft das auf dem router nicht mehr wirklich der dahinter steht

setz mal die in den Properties von deinem pcf file unter transport den haken bei allow lan access

bist du dir sicher das es ein layer 3 switch ist der VLANs wirklich routen kann ?

ich sag mal ganz frech ohne das gerät zu kennen das du einen Router brauchst der die VLan routen kann. oder poste mal die konfig komplett hier rein.

Ein Trunk ist ja nur dazu da alle Päcken zu transportieren egal ob mit oder ohne VLAN Tag.

Jo thanks für die Hilfe und benatwortung der Frage gabe gestern die Prüfung bestanden war irgendwie nur halb so wild wie erwartet ich hatte nen score von 978 das hatte dann locker gereicht ob wohl ein LAB nicht zu beenden war weil s da wohl ein fehler bei cisco gab wenn man weis das eine IP flasch ist und sie nicht ändern kann mit den standard befehlen kann man nix machen :-)

Also die Püfung enthät natürlich praktische aufgaben da solltest du dich mit der commandline schon sehr vertraut machen. Denn im unterschied zwischen einen richtigen router und den Prüfungslaboren hast du z.B keine ? Zeichen als hilfe und auch keine TAB Taste also must du die Befehle kennen.

sich brauchst du etwas equipment denn selbst mit den Routersimulatoren die man so im Netz findet kann man nicht alles machen ich empfehle dir also besorg die 2 26ér router und 2 switche die gibts günstig bei Ebay oder so muss nicht das neuste sein.

der SDM kommt in der CCNA prüfung nicht vor die wollen sehen das du die Console beherschst :-)

und dann würd ich sagen viel Erfolg :-) beim spielen