ChrisRa

Hallo zusammen,

ich spiele derzeit ein bisschen mit OpenVPN rum. Wir haben ca. 5 Heimarbeitsplätze, die ich gerne darüber anbinden würde.

Habt ihr OpenVPN im Einsatz? Wie sichert ihr dies ab?

Ich habe mir nun folgendes überlegt. Port forwarding (443TCP und 1194UDP) von der öffentlichen IP auf den Server intern. Ich habe mir die OpenVPN Appliance ausgesucht. Das Zertifikat für den in der Appliance integrierten Webserver kommt aus der eigenen CA.

Eine DMZ haben wir aktuell nicht. Da wir bisher keine Server hatten, die öffentlich im Netz stehen. Gibt es Sicherheitsbedrohungen bis auf eventuell auftretende Sicherheitslücken im OpenVPN? Würdet ihr die Einrichtung einer DMZ ausdrücklich empfehlen?

Grüße

Chris

Ein bisschen spät, aber immer noch besser als gar nicht. :-)

Schau dir mal  Zertifikatssperrlisten an. Die Zertifikate werden nicht gelöscht, sondern landen auf der Sperrliste.

In der CA werden diese dann aber entsprechend angezeigt.

Was spricht gegen den Desktop mit passenden GPOs?

Hast du mehrere DC's? Schon mal im Eventlog geschaut?

Wir haben vor 6 Monaten ein neues Pflegewohnheim gebaut. Die Lichtrufanlage in Pflegeeinrichtungen muss DIN VDE 0834 - konform sein. Die gesamte Kommunikation der Anlage läuft über einen BUS. Von TCP/IT keine Spur. Das sieht die DIN VDE 0834 aber auch nicht vor.

Nun aber Schluss mit den Spekulationen.

Und selbst wenn hoffe ich, dass die Betreiber der Geräte hier nicht solch eine Diskussion führen müssen. ;)

Das hoffe ich auch. ;)​

Reicht ja schon die Rundinfo, dass es eines an gegebener Adresse gibt, damit es zu Ausfällen kommt. Es ist ja gar nicht notwendig, dass das ganze Bild über Broadcast geht.

Was soll der Router denn mit der Info, dass es neue Röntgenbilder gibt? :rolleyes:

​

Solche Kommunikation würde niemals über Broadcast laufen. Röntgenbilder über Broadcast, das stelle sich mal einer vor. Außerdem verwechsel ich nichts. ARP-Requests werden zum Beispiel über den Broadcast gestellt. Mit dem DHCP hast du recht. Ist aber nicht unbedingt etwas anderes.

Alles worauf er achten sollte wurde meiner Meinung nach gesagt. Natürlich sollte man vorsichtig sein. Ich sehe bei der Umstellung allerdings keine Gefahr.

Ich kann mir aber auch nicht vorstellen, dass ein Beatmungsgerät am Netzwerk hängt.

Das ist ja genau die Frage, die er sich stellen sollte.

Broadcast wird meines Wissens nach für Technologien wie DHCP, ARP usw. verwendet. Und warum solltest du Probleme mit Dateifreigaben bekommen? Das Netz besteht doch schon. Und es läuft. Das einzige Problem was du hast, ist, dass deine medizinischen Geräte nicht mit den neuen reden können.

Aber selbst das sollte kein Problem sein, wenn du noch einen Router hast.

Ich denke, dass Windows dich die Broadcastadresse gar nicht verwenden lässt. Und das sind in dem Zusammenhang ja sowieso nur 2.

Und zum Thema Supernetting:

Netz 10.1.0.0/16

Netz 10.2.0.0/16

Netz 10.3.0.0/16

Können so untereinander nicht kommunizieren. Es würde 3 Routen brauchen. Beim Superetting würde man die Routen zusammenfassen zu 10.0.0.0/8.

Im Endeffekt hast du aber recht, ich habe mich vertan. Ich meinte das Prinzip des Ändern der SM. Aber das ist halt einfaches Subnetting. :-)

Wenn ich der Telekom sage, Sie sollen am gemanagten Cisco Router mit der IP Adresse 172.17.4.1 einfach die Maske von 255.255.255.128 auf 255.255.255.0 ändern, dann dürfte das doch erstmal alles weiterhin laufen, denn die Geräte im Netz haben zwar als Maske die 255.255.255.128, aber da es noch keine Geräte gibt, die IPs höher als 172.17.4.129 haben sollten doch die Geräte zwischen 172.17.4.0 - 172.17.4.128 weiterhin kommunizieren können, oder?

Ja, das klappt so!

Oder können die Geräte mit der Maske 255.255.255.128 dann schon gar nicht mehr die Standardrouter 172.17.4.1 erreichen, wenn dieser eine andere Subnetzmaske hat?

Doch, das wird alles funktionieren. Supernetting funktioniert ja nicht anders.

Vielleicht kannst du die medizinischen Geräte ja auch einfach im /25er Netz lassen, falls die nicht unbedingt mit Geräten der IP 192.17.4.1 - 192.17.4.126 (danke iefg) reden müssen.

Bei den anderen änderst du einfach die SM auf /24.

Zur Not einfach einen Router dazwischen.

Leider so nicht ganz richtig.

OT: Das ist aber noch diplomatisch ausgedrückt. :D

Ehrlich? Eine Testumgebung absetzen? Hast du das schon mal gemacht? Die Idee finde ich gut.

Du kannst die Platte, auf dem das OS installiert ist, nicht mit in das RAID nehmen. Da bleibt dir maximal noch ein RAID 1 aus den anderen beiden Platten.

Aber wie zahni schon schreibt. Zum rumspielen ja, produktiv nein.

Sei froh.. so manch einer fragt sich was zwei Dutzend sind :D

Hahaha :D

Ich frage mich, was man mit zwei Dutzend macht ;)

Aussenstandorte

Über iLO einschalten funktioniert. Habe von den Kisten hier zwei dutzend im Einsatz. Ist dasselbe iLO Interface, wie auf den "großen".

Edit: Ich frage mich irgendwie immer, was ihr mit den Geräten macht. Und warum müssen die 24/7 laufen? :suspect:

Die einfachste Methode dies auszuschließen wäre, nachzusehen, ob die Rolle überhaupt installiert ist.

Wenn nicht, weiß ich so auf Anhieb auch nicht weiter.

Wieso kann ich z.B. AdobeReader11.0.0.4.msp reinkopieren und bei AdobeReader11.0.0.5.msp fragt er nach Administrationsprivilegien?

Macht IMHO nicht wirklich Sinn. Ein Berechtigungsproblem kannst du so ja ausschließen.

Das ist absolut verständlich. Richtfunk macht sogar sehr oft Sinn. Der TO hat davon allerdings nichts erwähnt. Und irgendwie zweifle ich auch an dem Richtfunk-Knowhow von TP-Link.

Ergo: Mit professionellem Equipment ja. Sonst lieber ein Kabel. :-)

Ein ernsthafter Rat:

Kauft euch professionellere Hardware. Ich habe schon so unglaublich viel Zeit mit billiger Heimanwenderhardware verplempert. Die läuft zum größten Teil einfach merkbar schlechter als Markenhardware.

Alternativ ein Kabel legen. Wäre übrigens auch mein Favorit.

Grüße

Du willst auch die Verwaltung zentralisieren? Dann schau dir mal den IPAM-Server im Server 2012 R2 an.

Alternativ kannst du in den jeweiligen MMCs natürlich auch die anderen Server hinzufügen.

Zusammenfassend:

Oder gleich per GPO in der Default Domain Controllers Policy:
...\Zuweisen von Benutzerrechten\Hinzufügen von Arbeitsstationen zur Domäne
 
 
-> Austauch der Authentifizierten Benutzer gegen eure Gruppe, die das tatsächlich darf. 

 

​

Mit dem Passwort des Computerkontos wird der Securechannel aufgebaut, worüber dann u.a. auch die Kerberosauthentifizierung läuft. Daher sollte es unbedingt(!) regelmäßig geändert werden.

Doch, das meine ich. Ob ich einen Hash klaue, der gestern gesetzt wurde oder einen Hash, der vor einem Jahr gesetzt wurde, spielt keine Rolle. Oder doch?

Ein "wichtiges" Security Feature ist das für Workstations IMHO nicht...

​Doch, Stichwort Bruteforce. ;-)

Bereite dich einfach mithilfe der Themen: https://www.microsoft.com/de-de/learning/exam-70-412.aspxnoch ein bisschen besser vor. 660 ist doch nicht weit entfernt. Vielleicht hattest du auch nur eine schwierige Prüfung und bei der nächsten klappt es. ;-)