Netzwerk

(FAQ)

  • eigener Funkstandard, lizenzfreie Frequenz 868 MHz (Europa), 915MHz (Nordamerika) und 2.4 GHz (weltweit, wie WLAN)
  • weit verbreitet im Bereich Steuerung und Statusmeldung (SmartHome, M2M, Industrie 4.0, IoT und Gebäudeautomation)
  • energiesparender als Bluetooth oder WLAN, geeignet für batteriebetriebene Geräte
  • gute Reichweite (je nach Frequenz 10 bis 100m +Mesh), geringere Datenrate als WLAN od. Bluetooth (max. 250 kb/s)
  • spannt autark ein Mesh-Netzwerk über alle Geräte auf (Akku-Geräte sind meist im Standby und keine Mesh-Partner)
  • erst Zigbee 3.0 ist ein einheitlicher Standard für alle großen Hersteller
  • in der Regel wird eine Bridge, ein Hub oder Router (Steckdosengerät!) benötigt. (Koordinator)
    - Amazon Echo Plus (einige Modelle)
    - Google Assistant
    - Sonoff Zigbee Bridge (Tasmota-Version unterstützt MQTT und cloudfrei alle gängigen Smart Homes)

    Eigene Erfahrungen:
  • gute Reichweite, kaum Grenzen im Wohnhaus (mit Mesh keine Grenzen)
  • Inbetriebnahme absolut komplikationslos
  • deutlich langsame Reaktion bei direkter Kommunikation mit den Geräten (spürbar geringe Bandbreite)
  • Schalter reagieren schnell und verzögerungsfrei

  • Einfache Konfiguration selbst ohne IP-Adressvergabe über MAC-Adresse per Winbox.
  • SafeMode (oben links): Konfiguration wird sofort aktiv, aber nicht zurück geschrieben bis man Safe-Mode beendet. Vorher reicht aus/ein für Urzustand.
  • Komplette Konfiguration per Winbox, WEB-Gui oder SSH.
  • Werksreset: Reset-Taste (ca. 5 sek.) + Power-on oder SSH: /system reset-configuriation

RouterOS wird in Lizenzlevel 0 (Demo) bis 6 (Controller) angeboten.
Preise und Funktionen: https://help.mikrotik.com/docs/display/ROS/RouterOS+license+keys
Alle Lizenzen:

  • gelten zeitlich unbegrenzt
  • beinhalten alle zukünftigen Updates
  • können unbegrenzt Interfaces nutzen
  • sind für ein Gerät

Einrichtung:

  • Passwort unter System / Users festlegen
  • IP unter IP / Addresses (pro Interface oder Bridges)
  • Internetzugang kann auf beliebigen Port definiert werden
    - DHCP-Client einrichten, DNS, NTP, Default-Gateway aktivieren (Default-Route wird automat. erstellt unter IP -> Routes)
    - NAT einrichten (IP -> Firewall -> NAT): Chain: srcnat, Src.Address: [LAN\24], Out.Interface: Internet,  Action: masquerade
    - DNS-Weiterleitung: IP -> DNS: Allow Remote Requests ->aktivieren
  • Firewall (IPTables) unter IP -> Firewall ist per Default aus
  • Portforwardings: IP -> Firewall -> NAT: Chain:dstnat, Protocol:tcp, Dst.Port:80,443, In.Interface oder In.Interface List:festlegen(WAN), Action:dst-nat, To-Adresses:192.168.0.24/32

Firewallregeln
"Action: log" nutzen zur Fehlersuche
Regeln können deaktiviert werden (D/E), ohne sie zu löschen.
In den einzelnen Regeln wird der Traffic für jede Regel angezeigt, d.h. man sieht ob die Regel greift.

  • INPUT Regeln zum Router
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: input,  Connection State: established+related, Action: accept
  • Management-Interface erlauben: Chain: input,  In.Interface: festlegen oder Bridge-LAN, Action: accept
  • DNS-Server des Routers erlauben: Chain: input,  Dst.Address: [LAN-IP des Routers], Protocol: UDP, Dst.Port: 56(DNS), Action: accept
  • DNS-Server des Routers erlauben:  wie oben, aber TCP
  • ggf. PING vom LAN erlauben: Chain: input, Protocol: icmp, In.Interface: Bridge-LAN, Action: accept

  • INPUT DROP REGEL
    Drop All: Chain: input, Action: drop  (Achtung! Dann ist alles zu!, ggf. erst Action: log)


  • FORWARD Regeln (Traffic durch den Router)
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: forward+related,  Connection State: established, Action: accept
  • Erlaube lokale PCs über HTTP/S zu Internet: Chain: forward, Dest.Address: NICHT! 192.168.1.0/24 (LAN), Protocol: TCP, Dst.Port: 80,443, In.Interface: LAN-Ports/Bridge, Action: accept
  • Bsp: Erlaube PING LAN ins Gäste-LAN: Chain: forward, Protocol: ICMP, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept
  • Bsp: Erlaube WebServer im Gäste-LAN aus LAN: Chain: forward, Protocol: TCP, Dst.Port:80.443, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept  (genauso in Gegenrichtung)

  • FORWARD DROP REGELn
  • Bsp: Trenne 2 Netze: Chain: forward, Src.Address: 192.168.10.0/24, Dst.Address: 192.168.20.0/24, Action: drop
  • Drop All: Chain: forward, Action: drop  (Achtung! Dann ist alles zu!, ggf. erst Action: log)

Bedienung per Terminal

  • Aktuelle Firmware und mögliche Updates ermitteln /system routerboard print
  • Update Stable Version: /system package update set channel=current
  • Update-Check online: /system package update check-for-updates
  • 1.Schritt: RouterOS Update: /system package update download
  • 2.Wichtig: Reboot!: /system reboot
  • 3.Schritt: Bootlader aktualisieren: /system routerboard upgrade
  • 4.Wieder Reboot: /system reboot
  • SSH Hostkey neu erstellen: /ip ssh regenerate-host-key
  • System-Name setzen: /system identity set name="UKRouter"
  • Benutzer Admin neu einrichten:/user set admin name="maxmuster"
  • Benutzer Passwort setzen: /passwort
  • Routing Table: /ip route print
  • komplette Konfig ausgeben: /export verbose
  • nur von Default abweichende Konfiguration ausgeben: /export compact
  • Export (compact) in Datei: /export file=configuration.rsc  (Datei kann dann unter "Files-Download" übertragen werden
  • Import Konfigurationsdatei von "Files": /import file=configuration.rsc

VPN IPSec

VPN Wireguard:

VPN L2TP:

Liste aller registrierten Ports (POP,Telnet,FTP,HTTP...) bei IONOS oder bei Wikipedia.

Offene Ports prüfen:

  • nmap (Linux)
  • Advanced Port Scanner (Windows, Portliste erweitern)
  • Telnet [host] [port] - kann alle TCP-Ports anfragen

(FAQ)

  • Google DNS-Server: 8.8.8.8 oder 8.8.4.4
  • Cloudflare DNS-Server: 1.1.1.1
  • Quad9: 9.9.9.9 oder 149.112.112.112, IP v6: 2620:fe::fe oder 2620:fe::9
    (US, kostenlos, non-profit Organisation für Sicherheit und Privatspäre, speichert keine Daten, blockt verseuchte Websites mit Daten von F-Secure, Netlab u.a., kann DNSSEC und DNS over HTTPS)
  • dns0.eu: 193.110.81.0 oder 185.253.5.0
    (franz. non-profit Organisation, DSGVO-konform)
  • dns0.eu - kindgerecht mit Inhaltsfilter: 193.110.81.1 oder 185.253.5.1
    (auch DNS-over-TLS, DNS-over-HTTPS)

VLANs lassen sich bei Lancom Routern nicht auf physische Ports (ETH1-4) konfigurieren, sondern nur auf logische Interface (LAN1-4).
Einem physischen Port (ETH1-4) kann man nur ein logisches Interface (LAN1-4) zuordnen.
Einem logischen LAN (LAN1-4) kann man zwei oder mehr physischen Ports zuordnen, aber dann kann man diese nicht mehr per VLAN oder Firewall trennen.
Mehrere logische LAN mit ggf. unterschiedlichen VLANs lassen sich zu einer BRG zusammen fassen.

Beispiel:
- 2 lokale, getrennte Netze (Netz A an ETH1, Netz B an ETH2) sollen über den Router ins Internet gehen
- AccessPoint an ETH4 soll mit 2 unabhängigen SSIDs WLAN für LAN1 (VLAN1) und LAN2 (VLAN30) anbieten

  • ETH 1 = LAN-1
  • ETH 2 = LAN-2
  • ETH 4 = LAN-4
    (Schnittstellen -> LAN -> Eth.Ports)
  • LAN-1 + LAN-2 + LAN-4 = BRG-1
    (Schnittstellen -> LAN-Bridge -> Port-Tabelle)
  • VLAN 1 = LAN-1 + LAN-4
  • VLAN 30 = LAN-2 + LAN-4
    (Schnittstellen -> VLAN: VLAN-Modul aktivieren, VLAN-Tabelle)
  • LAN-1 Port-VLAN-ID = 1
  • LAN-2 Port-VLAN-ID = 30
  • LAN-4 Port-VLAN-ID = 1
    (Schnittstellen / VLAN / Port-Tabelle)
  • Netz A = VLAN 1 / BRG-1
  • Netz B = VLAN 30 / BRG-1
    (unter IP-Netzwerke: VLAN-ID und Schnittstelle)

Tagging-Mode für logische Interfaces:
- Access (niemals): ausgehend untagged, ankommende VLANs werden interpretiert als hätten sie kein VLAN.
- Hybrid (gemischt): Erlaubt Pakete mit und ohne Tag. Pakete ohne TAG werden dem Port-VLAN (PVID) zugewiesen.
- Trunk (immer): ausgehende Pakete bekommen immer ein TAG. Ankommende Pakete ohne TAG werden verworfen.

VLAN am Router aktivieren, ohne sich auszusperren:
- unter Schnittstellen / VLAN das VLAN Modul aktivieren
- unter Schnittstellen / VLAN / Port-Tabelle prüfen, ob alle LAN-x Ports auf Access (oder Hybrid) stehen mit PVID 1
- unter Schnittstellen / VLAN / VLAN-Tabelle prüfen, ob alle LAN-x Ports dem VLAN 1 angehören
- unter IPv4 / IP-Netzwerke dafür sorgen, dass jedes Netzwerk die VLAN-ID 1 besitzt

Beispiel:
* Lancom Router soll mit TAGGED VLAN an (TAGGED) Switchport

Lösung:

  • VLAN Modul AUS lassen
  • IP v4 Netzwerk erstellen, VLAN-ID vergeben
  • Router ist auf dieser IP nur noch über das TAGGED VLAN ereichbar

Wenn das VLAN-Modul deaktiviert bleibt, muss beim Netzwerk INTRANET die VLAN-ID = 0 bleiben.

In der Routing-Tabelle ist Tag 0 der Wildcard, d.h. Routen mit Tag 0 (Admin-Netz) gelten für alle Netze.
ARF-Netze mit Tag 0 sind "Supervisor"-Netze, d.h. sie sehen alle anderen Netze mit allen anderen Tags.
IP-Netze mit Tag 0 sehen alle Netze, werden aber nur von Netzen mit Tag 0 gesehen.
Netze vom Typ DMZ werden aus allen Tags gesehen.
Verschiedene VLANs lassen sich nur mit Firewallregeln erreichen (Netze gegenseitig erlaubt und auf Zielnetz umtaggen).

 

Lancom Switche (original: Accton)

Quellen und Links:


u.a. mit folgenden Neuerungen:
  • Support für MS Server 2022 und MS Windows 10 Fkt. 21H1
  • MS Windows 11 ready (basierend auf Pre-Releases)
  • Microsoft Azure Stack HCI version 21H2 Support
  • RHEL/CentOS 8.4, Ubuntu 21.04, Debian 11, SLES 15 SP3, OpenSUSE Leap 15.3, Fedora 34 Support
  • VMware Cloud Director 10.3 Support
  • VMware VMC 15 support
  • VMware vSphere 7.0 U3 readiness based on the pre-release build
  • cloudbasierte Unterstützung für AWS, Microsoft Azure und Google Cloud Platform
  • Continuous Data Protection (CDP)




Server • Speichersysteme • Client-Server- Systeme • Datenbanken • Hard- und Software • VPN • VoIP
(V)DSL / WLAN / GSM-LTE • Netzwerk-Fernanbindung • Fernwartung • Anbindung HomeOffice
Sicherheitskonzepte • Datensicherung und -archivierung • Virenschutz • Zugriffsschutz • Spamabwehr • Verschlüsselung
Intranet • Firmenportale • Netzwerk-Kommunikationslösungen (Fax, Mail, SMS, Terminplan, Adressen, ..)
Router • Switche • Vernetzung • VLAN • Quality-of-Service ..





VMWare ist der Spezialist in Sachen Virtualisierung:
Virtuelle Server, Virtuelle Desktops, Konvertierung von physischen in virtuelle Desktops, Lastausgleich und Load Balancing zwischen mehreren Hosts.

» Installation, Einrichtung, Wartung...



Veeam Backup kann neben virtuellen Maschinen auch physische PCs sichern.


Das läßt sich nicht nur vom Agent aus steuern, sondern nun auch vom Backup-Server aus.
Es kann genau wie am Agent ein ganzer Computer, ein Volume oder ein Verzeichnis / Datei ausgewählt werden.
Diese Funktion ist nur mit dem kostenpflichtigen Windows-Agent möglich.
Setzt man die Free-Edition des Agents ein, muß das Backup vom jeweiligen Client-Agent aus gesteuert werden.

Ausnahme:
Das Backup eines physischen Servers mit der kostenlosen Community-Edition ist ohne Agent-Lizenz möglich.



Lancom Systems GmbH ist ein deutscher Hersteller innovativer und sicherer Kommunikationslösungen in den Bereichen Secure Internet Access, VPN Network Connectivity und Wireless LAN.
Die Geräte sind modern, zeichnen sich durch hohe Zuverlässigkeit aus und besitzen eine sehr gute Systemoberfläche.
Als qualifizierter LANCOM- Fachhändler habe ich die Kompetenz.



Frage: Wie bekomme ich meine Datei wieder, die ich eben auf dem Netzlaufwerk gelöscht habe?
Antwort: Gar nicht.
Es ist kaum zu glauben, aber im Jahr 2017 gibt es bei Windows immer noch keinen Papierkorb für Dateien, die auf einem Netzwerk-Laufwerk gelöscht wurden.
Der Windows Papierkorb greift nur lokal.
Server speichern nur Dateien im Papierkorb, die an der Serverkonsole selbst gelöscht wurden. Das ist sinnfrei.
Im Normalbetrieb erfolgt der Zugriff vom Client aus auf den Server.

Und genau dieser Normalfall wird nicht erfasst.

Im Technet wurde eine erstaunlich einfache Lösung vorgestellt, die funktioniert.
Mit dieser Lösung kann man Netzlaufwerke und URLs genau so gegen versehentliches Löschen absichern wie lokale Laufwerke.

Mein Favorit ist aber der Undelete Server von Condusiv.

Lesen Sie wie beide Löungen funktionieren.



Veeam Powered Network (PN) ist eine einfache und kostenfreie, Open-VPN-basierende VPN-Lösung.
Mit diesem Vorstoß will Veeam die Koppelung der Netze und Einbindung von Cloud-Lösungen vereinfachen.
Eine VM für Azure-Cloud und für VMWare für die Zentrale bzw. für Koppelung ganzer Netzwerke ist genau so verfügbar wie ein Open-VPN-Client für Einzel-PCs und machen diese Lösung sehr universell.
Die Konfigurationsdatei für die entfernten Standorte kann einfach zentral erstellt werden und wird nur in die lokalen Installationen importiert.
Die Oberfläche ist aufgeräumt, einfach zu bedienen und bietet eine gute grafische Übersicht über alle Verbiundungen.



Der Update-Manager ist in der vCenter Server Appliance integriert.
Der vSphere Client WEB arbeitet wahlweise wie gewohnt mit Flash oder nativ mit HTML5.

Die Installation der vCenter Server Appliance funktioniert per Installer direkt vom Installations-PC.

Es gibt mit VMware 6.5 keinen aktualisierten vSphere C# Client.



Veeam ProPartner

Software für Datensicherungs-, Disaster Recovery- und Virtualisierungsmanagement
für virtuelle Umgebungen von VMware vSphere und Microsoft Hyper-V.

 



LCOS 9.20: BGP - intelligentes Routing
     IKE v2 VPN-Verschlüsselung
     DNS-Logging
     iPERF - Server zur Durchsatzmessung
     SNMP3


 
- Seite: 1 -