Netzwerk

Default IP: 192.168.0.100
admin / admin

Einige Switche haben einen separaten Management-Port (VLAN 1).

BIOS + Manual Downloads: https://www.planet.com.tw/en/support/downloads

  • Einfache Konfiguration selbst ohne IP-Adressvergabe über MAC-Adresse per Winbox.
  • in Default-Config ist Port-1 = WAN (kein Management)
  • SafeMode (oben links): Konfiguration wird sofort aktiv, aber nicht zurück geschrieben bis man Safe-Mode beendet. Vorher reicht aus/ein für Urzustand.
  • Konfiguration per Winbox, WEB-Gui oder SSH möglich.
  • Werksreset: Reset-Taste (ca. 5 sek.) + Power-on oder SSH: /system reset-configuration oder GUI: System -> Reset Configuration
  • Stromversorgung: meist 24V, Hohlstecker 5,5x2.1mm (Plus Innen), teilweise auch PoE oder Schraubklemme

RouterOS wird in Lizenzlevel 0 (Demo) bis 6 (Controller) angeboten.
Preise und Funktionen: https://help.mikrotik.com/docs/display/ROS/RouterOS+license+keys
Alle Lizenzen:

  • gelten zeitlich unbegrenzt
  • beinhalten alle zukünftigen Updates
  • können unbegrenzt Interfaces nutzen
  • sind für ein Gerät

Default Config (Router Mode):

  • WAN Port geschützt durch Firewall, DHCP= on
  • Eth.-Ports (außer WAN) sind Mitglied in "LAN Bridge"
  • LAN-Bridge IP= 192.168.88.1/24, DHCP-Server und DNS = ON
  • WAN Gateway = Ether-1, IP v4 Firewall= ON, NAT= ON, DHCP-Client= ON

Default-Konfig löschen im Terminal: system reset-configuration skip-backup=yes no-default=yes
oder GUI: System -> Reset Configuration -> Haken bei "No default Configuration"

Einrichtung Best Practice:

  • Passwort unter System / Users festlegen  (Default: admin / ohne PW, bei manchen WLAN-Accesspoints vorkonf. auf dem Gehäuse)
  • Gerätename GUI: System -> Identity oder Terminal:  /system identity set name="UKRouter"
  • IP unter IP -> Addresses (pro Interface oder Bridges) (IP:x.x.x.y/24, Network: x.x.x.0)
  • alle Ports, die "das Gleiche" machen sollen, werden als Bridge zusammen gefasst (jeder Port kann nur zu einer Bridge gehören)
  • Internetzugang kann auf beliebigen Port definiert werden
    - DHCP-Client einrichten, DNS, NTP
    - Default-Gateway aktivieren (Default-Route wird automat. erstellt unter IP -> Routes)
    - NAT einrichten (IP -> Firewall -> NAT): Chain: srcnat, Src.Address: [LAN\24], Out.Interface: Internet,  Action: masquerade
    - DNS-Weiterleitung: IP -> DNS: Allow Remote Requests ->aktivieren
  • Firmware Upgrade unter System / Packages (Channel: upgrade)
  • Firewall (IPTables) unter IP -> Firewall ist per Default aus!
  • Firewall: Accept Input: DNS(56), HTTP/S, Stateful, PING(ICMP), SNMP(UDP-161/162), NTP(UDP-123) / DROP ALL  (siehe Firewall)
  • Firewall: Accept Forward: Stateful,
    pro Wireguard-Verbindung: Wireguard Client Src.Address, LAN-Ziel Dst.Address, In.Interface: WIREGUARD, Out.Interface: Lan-Bridge
  • Internetzugang für LAN: unter IP -> Firewall -> NAT: Chain:dstnat, Protocol:tcp, Dst.Port:80,443, In.Interface oder In.Interface List:festlegen(WAN), Action:dst-nat, To-Adresses:192.168.0.24/32
  • Backup: GUI: Files -> Backup, dann Konfiguration Download
/ip firewall filter
add action=accept chain=input comment=HTTP/S dst-port=80,443 in-interface=all-ethernet protocol=tcp
add action=accept chain=input comment=Stateful connection-state=established,related
add action=accept chain=forward comment=Stateful connection-state=established,related
add action=accept chain=input comment=DNS dst-port=56 protocol=tcp
add action=accept chain=input comment=DNS dst-port=56 protocol=udp
 add action=accept chain=input comment=NTP dst-port=123 protocol=udp
add action=accept chain=input comment=SNMP dst-port=161,162 protocol=udp
add action=accept chain=input comment=PING protocol=icmp
add action=accept chain=forward comment=PING protocol=icmp
add action=drop chain=forward comment="DROP ALL"
add action=drop chain=input comment="DROP All"

Firewallregeln
"Action: log" nutzen zur Fehlersuche
Regeln können deaktiviert werden (D/E), ohne sie zu löschen.
In den einzelnen Regeln wird der Traffic für jede Regel angezeigt, d.h. man sieht ob die Regel greift.

  • INPUT Regeln zum Router
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: input,  Connection State: established+related, Action: accept
  • Management-Interface erlauben: Chain: input,  In.Interface: festlegen oder Bridge-LAN, Action: accept
  • DNS-Server des Routers erlauben: Chain: input,  Dst.Address: [LAN-IP des Routers], Protocol: UDP+TCP, Dst.Port: 56(DNS), Action: accept
  • ggf. PING vom LAN erlauben: Chain: input, Protocol: icmp, In.Interface: Bridge-LAN, Action: accept

  • INPUT DROP REGEL
    Drop All: Chain: input, Action: drop 
    Achtung! Dann ist alles zu! Ggf. erst Action: log oder "Safe Mode". Zugang lokal immer über WinBox möglich.


  • FORWARD Regeln (Traffic durch den Router)
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: forward,  Connection State: established+related, Action: accept
  • Erlaube lokale PCs über HTTP/S zu Internet: Chain: forward, Dest.Address: NICHT! 192.168.1.0/24 (LAN), Protocol: TCP, Dst.Port: 80,443, In.Interface: LAN-Ports/Bridge, Action: accept
  • Bsp: Erlaube PING LAN ins Gäste-LAN: Chain: forward, Protocol: ICMP, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept
  • Bsp: Erlaube WebServer im Gäste-LAN aus LAN: Chain: forward, Protocol: TCP, Dst.Port:80.443, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept  (genauso in Gegenrichtung)

  • FORWARD DROP REGELn
  • Drop All: Chain: forward, Action: drop

  • Bsp: Trenne 2 Netze: Chain: forward, Src.Address: 192.168.10.0/24, Dst.Address: 192.168.20.0/24, Action: Accept, dann DROP ALL

Bedienung per Terminal

  • Aktuelle Firmware und mögliche Updates ermitteln /system routerboard print
  • Update Stable Version: /system package update set channel=current
  • Update-Check online: /system package update check-for-updates
  • 1.Schritt: RouterOS Update: /system package update download
  • 2.Wichtig: Reboot!: /system reboot
  • 3.Schritt: Bootlader aktualisieren: /system routerboard upgrade
  • 4.Wieder Reboot: /system reboot
  • SSH Hostkey neu erstellen: /ip ssh regenerate-host-key
  • System-Name setzen: /system identity set name="UKRouter"
  • Benutzer Admin neu einrichten:/user set admin name="maxmuster"
  • Benutzer Passwort setzen: /passwort
  • Routing Table: /ip route print
  • Ping: ping <ip>
  • komplette Konfig ausgeben: /export verbose
  • nur von Default abweichende Konfiguration ausgeben: /export compact
  • Export (compact) in Datei: /export file=configuration.rsc  (Datei kann dann unter "Files-Download" übertragen werden
  • Import Konfigurationsdatei von "Files": /import file=configuration.rsc

DHCP-Server

  • IP -> Addresses: feste IP für gewünschtes Interface einrichten (DHCP-Server, Bsp. 192.168.100.1/24)
  • IP -> DHCP-Server -> DHCP: DHCP-Server auf o.g. Interface anlegen (geht auch über Assistent: DHCP-Setup)
  • IP -> DHCP-Server -> Networks: DHCP-LAN (/24), Gateway (IP aus Schritt 1), DNS, NTP
  • IP -> DHCP-Server -> Leases: zeigt die zugewiesenen DHCP-Clients
  • IP -> Pool: DHCP-Pool anlegen, Bereich aus dem DHCP-LAN (192.168.100.10-192.168.100.12), mehrere Bereiche möglich
  • IP -> DHCP-Server -> DHCP: eben definierten Address Pool angeben

VPN IPSec:

VPN Wireguard (ab FW 7):

VPN L2TP:

VPN OpenVPN:

Port based VLAN:

  • VLAN erstellen: Interfaces -> VLAN -> VLAN anlegen (VLANs 10 .. 30, Interface=Uplink Port, Trunk-Port)
  • Router-IP im VLAN erstellen: IP -> Adresses -> IP-Adresse/24, Netzwerkmaske und Interface auf das entsprechende VLAN Interface einstellen
  • ggf. DHCP im VLAN: IP -> Pool -> Bereich definieren (192.168.3.10-192.168.3.20)
  • IP -> DHCP-Server: Interface= (vlan-Interface), Adress-Pool: Pool von oben wählen

VLAN  (FW 7.9)
Allgemeines

  • Routing Port ether1 darf (in den meisten Setups) nicht Mitglied der VLAN-Bridge sein
  • Interface "VLAN-Bridge" darf keine direkte IP-Adresse besitzen

Einrichtung

  • Bridge -> Bridge -> neue "vlan-bridge" erstellen (VLAN Filterung erstmal AUS)
  • Interfaces -> VLAN -> neus VLAN: Name, VLAN-ID, vlan-bridge eintragen (mehrfach für alle VLANs)
  • IP -> Addresses -> IP-Adresse für jedes VLAN festlegen (192.168.10.1/32, Network: 192.168.10.0)
  • Bridge -> Ports -> alle VLAN-Ports der VLAN-Bridge zuweisen
    - Endgeräte-Ports: "Admit only untagged and..", PVID entsprechend VLAN
    - Trunk Ports: "Admit All"
  • Bridge -> VLANs: Bridge=vlan-bridge, Tagged=vlan-bridge, alle gewünschten VLAN-IDs
  • Bridge -> Bridge: VLAN-Filterung für vlan-bridge = EIN


https://administrator.de/tutorial/mikrotik-vlan-konfiguration-ab-routeros-version-6-41-367186.html

WLAN

  • CAP - Controlled Access Point (einzelner AP)
    (MikroTik Router mit WLAN-Hardware)
  • CAPsMAN - Controlled Access Points Manager
    (kann jeder MikroTik Router, ist nur 1x erforderlich, geht aber auch mehrfach)
  • Grundkonfiguration CAP Einzelgerät Wireless:
    - WiFi-Interface: WLAN1 +2: Mode= "ap bridge", Country, Frequenz (auto), SSID, (Indoor), WPA aus
    - Security Profiles: Verschlüsselung und Passwort
  • Konfig. als Accesspoint mit DHCP-IP vom LAN:
    - Bridge anlegen, LAN + WLAN-Interfaces aufnehmen
    - IP -> DHCP-Client auf Bridge konf.
  • Konfig. als Accesspoint mit eigenem DHCP-Server:
    - Bridges getrennt für LAN und WLAN anlegen
    - Einrichtung DHCP auf WLAN-Interface siehe DHCP-Server
  • Reset-Button hat 3 Funktionen:
    - Hold this button during boot time until LED light starts flashing, release the button to reset RouterOS configuration (total 5 seconds).
    - Keep holding for 5 more seconds, LED turns solid, release now to turn on CAP mode. The device will now look for a CAPsMAN server (total 10 seconds).
    - Keep holding the button for 5 more seconds until LED turns off, then release it to make the RouterBOARD look for Netinstall servers (total 15 seconds).

CAPsMAN:

  • ist als Funktion und Lizenz in jedem Routerboard enthalten
  • zentralisiert die Konfiguration aller APs (Provisioning)
  • optional wird auch der Datenverkehr zentral am CAPsMAN per VLAN angebunden (WLAN Control)
  • CAPsMAN -> Interfaces -> Manager: =ENABLED, CA+Certificate= auto
  • Wireless -> WiFi-Interface -> CAP= ENABLED, Interface= WLANs, Certificate= Request, Discovery Interface festlegen
    Danach ist das WiFI-Interface nur noch vom CAPsMAN zu steuern.

siehe auch

Windows 10/11 und Windows Server blockieren PING-Anfragen per Firewall in den Default-Einstellungen.
Es antwortet nur auf PING-Anfragen aus dem selben Netz.
(Ohne NAT bleibt auch beim Routing die Absende-IP unverändert.)

  • Freigabe per Firewall-GUI: Eingehende Verbindung, Datei- u. Druckerfreigabe (Echoanforderung ICMP eingehend)

  • per GPO: Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall : "Eingehende Echoanforderungen zulassen"



Server • Speichersysteme • Client-Server- Systeme • Datenbanken • Hard- und Software • VPN • VoIP
(V)DSL / WLAN / GSM-LTE • Netzwerk-Fernanbindung • Fernwartung • Anbindung HomeOffice
Sicherheitskonzepte • Datensicherung und -archivierung • Virenschutz • Zugriffsschutz • Spamabwehr • Verschlüsselung
Intranet • Firmenportale • Netzwerk-Kommunikationslösungen (Fax, Mail, SMS, Terminplan, Adressen, ..)
Router • Switche • Vernetzung • VLAN • Quality-of-Service ..





Lancom Systems GmbH ist ein deutscher Hersteller innovativer und sicherer Kommunikationslösungen in den Bereichen Secure Internet Access, VPN Network Connectivity und Wireless LAN.
Die Geräte sind modern, zeichnen sich durch hohe Zuverlässigkeit aus und besitzen eine sehr gute Systemoberfläche.
Als qualifizierter LANCOM- Fachhändler habe ich die Kompetenz.



VMWare ist der Spezialist in Sachen Virtualisierung:
Virtuelle Server, Virtuelle Desktops, Konvertierung von physischen in virtuelle Desktops, Lastausgleich und Load Balancing zwischen mehreren Hosts.

» Installation, Einrichtung, Wartung...



Netgear ist ein amerikanischer und weltweit operierender Anbieter von Netzwerklösungen wie Router, Switche, Wireless-LAN Produkten, Netzwerkkarten usw. mit einem guten Preis-Leistungs-Verhältnis.
Als PowerShift- Partner stehen mir der Service und das Wissen eines erfahrenen Global Player zur Verfügung.



Veeam Backup kann neben virtuellen Maschinen auch physische PCs sichern.


Das läßt sich nicht nur vom Agent aus steuern, sondern nun auch vom Backup-Server aus.
Es kann genau wie am Agent ein ganzer Computer, ein Volume oder ein Verzeichnis / Datei ausgewählt werden.
Diese Funktion ist nur mit dem kostenpflichtigen Windows-Agent möglich.
Setzt man die Free-Edition des Agents ein, muß das Backup vom jeweiligen Client-Agent aus gesteuert werden.

Ausnahme:
Das Backup eines physischen Servers mit der kostenlosen Community-Edition ist ohne Agent-Lizenz möglich.



Frage: Wie bekomme ich meine Datei wieder, die ich eben auf dem Netzlaufwerk gelöscht habe?
Antwort: Gar nicht.
Es ist kaum zu glauben, aber im Jahr 2017 gibt es bei Windows immer noch keinen Papierkorb für Dateien, die auf einem Netzwerk-Laufwerk gelöscht wurden.
Der Windows Papierkorb greift nur lokal.
Server speichern nur Dateien im Papierkorb, die an der Serverkonsole selbst gelöscht wurden. Das ist sinnfrei.
Im Normalbetrieb erfolgt der Zugriff vom Client aus auf den Server.

Und genau dieser Normalfall wird nicht erfasst.

Im Technet wurde eine erstaunlich einfache Lösung vorgestellt, die funktioniert.
Mit dieser Lösung kann man Netzlaufwerke und URLs genau so gegen versehentliches Löschen absichern wie lokale Laufwerke.

Mein Favorit ist aber der Undelete Server von Condusiv.

Lesen Sie wie beide Löungen funktionieren.



Der Update-Manager ist in der vCenter Server Appliance integriert.
Der vSphere Client WEB arbeitet wahlweise wie gewohnt mit Flash oder nativ mit HTML5.

Die Installation der vCenter Server Appliance funktioniert per Installer direkt vom Installations-PC.

Es gibt mit VMware 6.5 keinen aktualisierten vSphere C# Client.



LCOS 9.20: BGP - intelligentes Routing
     IKE v2 VPN-Verschlüsselung
     DNS-Logging
     iPERF - Server zur Durchsatzmessung
     SNMP3



vCenter Server 6.0. U1 hat wieder ein Management-GUI auf Port 5480.
Hier kann man wie von VMWare 5 gewohnt diverse Einstellungen des vCenter Servers verwalten und den Server updaten. Das geht in VMWare 6.0 vor diesem Update nicht.



Die Telekom und die meisten anderen Provider stellen zur Zeit ihre Telefonanschlüsse auf All-IP um.

Mit All-IP wird die leitungsvermittelte ISDN-Verbindung durch eine paketvermittelte IP-Verbindung ersetzt, die die Übermittlung aller Informationsarten wie Daten, Sprache und Video über das Internet Protocol (IP) vereinheitlicht.

Für den Anschlußnutzer hat die Umstellung Vor- und Nachteile und sowie Tücken.


 
- Seite: 1 -