Laut dem oben verlinkten AVM Artikel macht die das wohl automatisch.
Habe ich aber auch noch nie getestet, da ich eigentlich immer ein Tool mit WOL dabei habe.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/36_Netzwerkge ...


Trommel

Ja, tut es sogar mit farblich abgesetzem Hinweis auf diese Thematik.

Ja, aber alles kumuliert auf der Bridge. Empfehlenswert und sicher sind solche Setups nicht und das Tutorial weist auch explizit darauf hin.
Der WAN Port sollte immer eine dedizierter und isolierter Port sein der niemals Memberport eine Bridge oder VLAN Bridge sein sollte. Nur so ist das wirklich sicher und Firewall konform.

Nein, das ist technisch falsch oder zu mindestens falsch ausgedrückt und weisst du als Netzwerk Forenprofi auch selber!
Wenn man mit einem externen Nur Modem arbeitet sollte dieses immer das Tagging übernehmen sofern es das supportet (was alle handelsüblichen Modems aber können).
Grund ist die deutliche einfachere und sicherere Konfig auf dem Router. Der Router sollte nur dann taggen wenn das Modem es nicht explizit supportet.

Du verstehst das Problem nicht @Pjordorf.
Um einen Rechner über die Fritzbox per WoL zu wecken, muss man sich an der Fritzbox anmelden. Vielelicht ist ja gar nicht gewünscht, der Person, die sich auf den Rechner aufschalten soll, gleichzeitig Zugangsdaten für die Fritzbox zu geben.

Ich bin gespannt, habe bisher nur die GUI gesehen und die sah sehr altbacken aus.



Deswegen habe ich SEP Sesam geschrieben, habe mir das schon fast gedacht.

Gruß Jonas

Steht das nicht auch im Tutorial? Hab jetzt nicht nachgeschaut... Ich habe den WAN-Port jedenfalls bislang immer außerhalb der Bridge. Erschien mir logisch.

Dennoch zwei Fragen dazu:

1. Wenn VLANs aktiviert sind, und man das VLAN-Interface für die PPPoE-Verbindung nutzt, wo ist dann die Gefahr? Das VLAN ist doch isoliert.

2. Wenn man für die Telekoma den Tag 7 setzen muss, muss man ja ein VLAN haben. Und Mikrotik verwendet nun mal Bridge-VLAN. Wenn man das (warum auch immer) nicht über das Modem machen kann/will, sollte man dann dafür eine zweite VLAN-Bridge anlegen?

Viele Grüße, commodity

@MysticFoxDE
Guter Hinweis, dass das Wildcard Zertifikat auch für den Purpose RDP genutzt werden muss*
Glatt vergessen das zu erwähnen.

Danach --> sollte <-- alles klappen

Variante 1 (Dein aktueller Post) ist, es wird gescannt und dann gewartet bis man irgendwann eine Möglichkeit zum direkten Angriff hat
Variante 2 (Dein Eingangspost) ist, es wird gescannt und praktisch parallel (aber von (vermeintlich) anderen aus direkt angegriffen wird.
Für mich ist das ein erheblicher Unterschied. Warum für Dich nicht?

Viele Grüße, commodity

Bei SEP habe ich zuerst an Symantec Endpoint Protection gedacht. Das war damals der allerletzte Krampf.
Habe aber im Internet recherchiert.

Ich kann auch noch Syncsort BEX (jetzt Catalogic DPX) empfehlen. Oder Commvault Backup & Recovery
Die großen produkte wie IBM Tivoli Storage Manager (jetzt Storage-Protect) oder HP Data Protector lasse ich mal außen vor.

Gruss Penny.

Hallo liebe Admins, sorry für die späte Antwort ^^...

Ich bin mit den Kopiergeschwindigkeiten überhaupt nicht zufrieden. Selbst wenn wir hier von 10Gbit-Speeds sprechen, empfinde ich 500-600 MB/s für ein NVMe-Array als zu langsam.

Aus diesem Grund habe ich, wie von @Dani vorgeschlagen, eine NVMe direkt in den Proxmox-Host installiert und siehe da, die Geschwindigkeiten sind immer noch ähnlich.

Ich schätze also, wie auch @Vision2015 meinte, dass hier Proxmox selbst der Flaschenhals ist. Aus diesem Grund werde ich nun "Linked Clones" ausprobieren und schauen, ob hier spürbare Nachteile auftreten. Da es "linked" VMs sind, findet kein wirklicher Kopiervorgang statt und ein Klon ist innerhalb von 3-4 Sekunden einsatzbereit.

Ich danke allen für die Tipps und die geteilten Gedanken.

Ich wünsche euch ein schönes Wochenende.

Wollte gestern auch kommentieren aber @hempel war schneller. Herzlich Willkommen im Forum !
Mit dem Profilbild wirst Du auf jeden Fall immer mit viel Hilfe rechnen können Schönes Wochenende.

Trommel

Zumindestens DA hättest du den Haken ja mal richtig schreiben können... 🤣

Moin @ThePinky777,


eine RDS Verbindung wird im Normalfall auch per SSL/TLS gesichert genau so wie auch eine Webseite, daher kannst du für beides auch dasselbe Zertifikat verwenden. 😉

Gruss Alex

Moin,


Ernsthaft? LWL beim Client im Büro am Notebook? Behörde?

Wenn es so ist, hast Du dann schon mal das Kabel geprüft?

Liebe Grüße

Erik

Moin!

Glasfaser wurde bei uns ein kleiner Kanal (ca. 10mm x 10mm - nie gemessen, nur geschätzt) durch die Wohnung geklebt, dann das Leerrohr rein und die Faser durchgeblasen.

Wenn du bereits Klingeldrähte in die anderen Wohnungen hast, dein Leerrohr nicht genug Kapazität bietet und alles nur ein Heidenaufwand wäre mit Wand öffnen etc, dann schau mal nach DSL-Modem ... Glas in den Keller, CPE und Modem notfalls in jeweils einen eigenen abschließbaren kleinen Kasten (wegen Mimimi der Mieter), von der jeweiligen CPE per Ethernet auf das DSL-Modem, weiter per Klingeldraht in die Wohnung, dort wieder ans DSL-Modem und weiter geht es mit Ethernet ...

Will jemand kein LWL haben so kannst weiterhin den Klingeldraht nutzen, will man nachträglich LWL nutzen, so muss man nicht an die Leitungswege.

Als Beispiel schau mal nach ALLNET MC115

Danke Euch für das reichliche Feedback!
Ich bin erklärter Feind aller Abo-Lösungen und habe mir für kleines Geld eine 2019er Pro-Lizenz besorgt, die ich mit Neuinstall von Pro aktiviert habe.
Gut ist.

Gutes WE Euch

Moin,


SEP ist eine eierlegende Wolfsmilchsau. Extrem leistungsfähig aber ekelhaft in der Bedienung. Ich würde für den "normalen" Gebrauch auch eher Veeam empfehlen.

hth

Erik

Moin @MeowJayJay,


hoffentlich auch unter Computerkonto und nicht beim Benutzer.


Ist auch normal, weil das "installieren" des Zertifikats, nur die halbe Miete ist.
Denn man muss es auch noch für den entsprechenden Dienst "aktivieren".

Siehe ...
https://www.frankysweb.de/tipp-zertifikat-fr-rdp-austauschen/
😉

Gruss Alex

Hatten bis zum letzten Upgrade auch nur Lizenzen die den Support betreffen, aber anscheinend haben wir bei der letzten Version eine Lizenz erworben, bei der nicht nur der Support ausläuft. Finde das für eine Backuplösung unpraktisch und würde entweder wieder eine "dauerhafte" Lizenz wollen oder eben einen anderen Anbieter.

Das hab ich mir schon angeschaut, hier wüsste ich aber aktuell nicht wie ich auf LTO sichern kann, bräuchte dann eine andere Lösung. Hat damit jemand Erfahrung?

Bitte dann auch nicht vergessen deinen Thread hier als erledigt zu markieren!!
How can I mark a post as solved?

Dann machst du schon am VPN eine Computer Authentisierung mit Zertifikaten via Radius!
Die Computer Zertifikate kann man nur als Admin auslesen was den Usern dann nicht gelingen wird wenn sie diese Rechte nicht haben. Der übliche Weg bei Firmennetzen...
Folglich hast du damit eine feste, gerätespezifische Authentisierung die nicht mehr auf firmenfremde Endgeräte klonbar ist!
Die Chefaussage steht dazu natürlich im krassen Widerspruch. Das zu sagen und etwas völlig anderes zu fordern ist natürlich laienhaft naiv. Muss man sicher auch nicht weiter kommentieren so einen Unsinn.

Hi ! Danke dir!!

Das Wildcard habe ich entsprechend auf alle Server unter "Eigene Zertifikate" ausgerollt,

Meldung kommt leider immernoch.

Oder muss das Cert. woanders rin?

Danke dir!

Grüße!

Steigen gerade von Veritas auf SEP Sesam um, habe leider noch nichts in SEP gemacht.
Höre aber nur gutes davon

Moin,

was spricht dagegen, mit BE weiterzumachen?

Bist du damit unzufrieden, ist es zu teuer?

PS: Meine BE-Kunden haben Lizenzen, die nicht auslaufen, sondern wenn, dann der Support, der verlängert werden muss.

Ich kann dir auch, da ein Synology vorhanden ist, Active Backup For Business empfehlen.
Ist kostenlos und lässt sich sehr leicht einbinden.

Moin,

Veeam

Gruss

Ja leider...
Nungut jeder kennt ja mittlerweile diese Gebaren von Google. Es wäre ja auch recht naiv zu glauben das alle diese Dienste die täglich Millionen an Energie und Manpower kosten kostenlos sind. In einem Aktienunternehmen was rein auf Shareholder Value getrimmt ist wäre das reine Utopie.
Mit deinen Daten bekommen die das aber 3fach wieder raus.
Besser also man hält sich IMMER davon fern.

Lass dir die Aussage "Es ist alles erlaubt, was die IT nicht verhindern kann" nochmal schriftlich bestätigen
Versuch aber trotzdem mal in der Testphase noch eine Lösung zu finden.
Falls du keine bessere Lösung findest und der Chef die Haftung schriftlich übernimmt - dann bist du fein raus

Hi,

SSL ist für RD-Web.

Deine Clients, die sich per RD Client an einem RDSH per DNS anmelden wollen werden auf den Connection Broker weitergeleitet.
Der schaut dann, auf welchem RDSH der Client sich verbinden soll (Load-Balancing).

Problem:
Der Client erwartet das Zertifikat von dem Server, auf dem du dich letztlich verbindest.
Verifiziert wird aber das Zertifikat vom Connection Broker (Farm).
Es erscheint ein Zertifikatsfehler, weil der RDSH in seinem Zertifikat nicht den Namen der Farm beinhaltet.
--> Verbindung wird daher als Sicherheitsrisiko erkannt.

Lösung:
Entweder jedem Server das Wildcard Zertifikat geben
oder
auf dem Connection Broker ein Zertifikat hinterlegen, das im SAN alle Server FQDNs beinhaltet (also von der Farm und von den RDS-Hosts).

Meine Empfehlung:
Nutz RD Web.
Dafür war ursprünglich auch die Remote Desktop Services konzipiert.

VG

Ich danke EUch sehr. Toll, dass ihr mir geholfen habt.

Deines war ja fast richtig.
Bist auf das "echo Fehler"
Daraus ein goto wieder über deinen Ping Befehl und dann sollte das funktionieren.

Der Name der Anwendung ist Tevis - eine Terminverwaltung

Doch Name und Kennwort wurde eingegeben

Das führt bei mir immer zum Laufzeitfehler 1004.

https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-60 ...

"Unfortunately, the researchers could not find the payload used to brick the routers, so they were unable to determine how it was done or for what purpose."

😔

Moin @commodity,


ja, auch.


Na ja, wo ist den nun bitte der Unterschied, ob nun der Scannende und der Angreifende ein und dieselbe Person/Organisation sind, oder ob es sich dabei um getrennte Person/Organisation handelt, die sich die entsprechenden Daten gegenseitig zuspielen/verkaufen? Den das Ergebnis, respektive der Schaden, ist in beiden Fällen für deren Opfer ja +- derselbe.

Es sind übrigens schon beide Varianten zugenüge beobachtet worden, respektive, wenn man die Angriffskette komplett betrachtet, dann kommen sogar noch einige "Teilgewerke" mit dazu. Die die z.B. auf die Infiltration nach einem erfolgreichen Angriff spezialisiert sind, andere werten wiederum die Daten aus die man bei den entsprechenden Opfern bereits erbeutet hat, die nächsten übernehmen die Erpressung, u.s.w..

Gruss Alex

Wo ist dann das Problem. Wenn er das so durchwinkt, muß er auch die Konsequenzen (er)tragen.

lks

Einmalig von Hand in den Store importieren, oder gleich dem ausführenden Account selbst entsprechende Einwahlrechte auf dem Ziel gewähren dann entfallen separate Credentials.
Der lokale Account sollte natürlich wie immer entsprechend abgesichert sein, und das System vor externer Manipulation gesichert werden (Bitlocker &Co.)

Geil - mega. Ich danke Dir sehr. Das hat geklappt.
Damit ich besser werde : wie macht man es denn richtig bzgl. der Zugangsdaten ?

Ok stimmt natürlich :D Soweit hatte ich nicht gedacht...

Viel Erfolg

Der Fehler lag darin das nicht über den Servernamen auf die Drucker Freigabe zugegriffen wurde, sondern über einen anderen Namen der im DNS eingetragen wurde. Beim Zugriff über den "echten" FQDN funktioniert alles. Damit es auch über den DNS CNAME klappt, benötigt der Druckserver noch einen zusätzlichen Computernamen.

Moin,

danke für die Inputs.

Die HO-PCs sind in keinem AD. Sie werden per RMM verwaltet, die Nutzer haben keine Admin-Rechte und die SSDs sind per Bitlocker verschlüsselt.

Der Webserver auf den die zugreifen steht im RZ und läuft unter Linux rein als LAMP.

Das VPN ist rein für den Zugriff auf den Webserver eingerichtet (Testphase).
Es gibt keine Einwahl in ein Firmennetzwerk oder ähnliches.

Es geht "nur" darum, dass nur ausgewählte PCs sich am Webserver anmelden können.
Also quasi 3FA.

Die HO-PCs stehen in den privaten Netzwerken der Benutzer zuhause.
Keine festen IP-Adressen. Auch bringt mir diese IP nichts weil der Zugriff mit dem privaten Gerät aus dem gleichen Netzwerk kommt.

Der Chef sagt "Es ist alles erlaubt was die IT nicht verhindern kann".

Ich teste das mal mit System-Client-Zertifikaten.
Alternativ wäre noch eine Möglichkeit eine kleine Anwendung zu programmieren welche die Seriennummer des Gerätes mit anderen Merkmalen verknüpft, signiert, den Browser startet und einen ID-Parameter mitgibt.

Stefan

Hi Dani,

nein die Frage ist nicht beantwortet.

Gar nichts!!
Dann darfst du natürlich gar keine statische Default Route setzen, denn die kommt bekanntlich immer dynamisch und damit automatisch vom PPPoE!
Eine statische Route hätte höhere Priorität und würde die PPPoE Default Route deaktivieren und damit deinen Internet Zugang.
Die statische default Route also unbedingt löschen!

Fehler die du noch gemacht hast:

• Das PPPoE Hardware Interface ether1 darf niemals Memberport der VLAN Bridge sein!!! Kollege @commodity hat diesen schweren Fehler schon zu Recht angesprochen! ("vlan1-telekom" Name ist auch sehr verwirrend, denn das Telekom Netz kann niemals am Router anliegen!) Das ist ein fataler Fehler, denn das MUSS ein dedizierter Routing Port bleiben wenn du den Mikrotik direkt mit einem NUR Modem am Internet betreibst! Mit deinem Setup legst du das offene Internet dann auf deine interne VLAN Bridge. Ein Sicherheitstechnisches NoGo! Dieser Port MUSS ein dedizierter Routing Port bleiben! Er darf logischerweise nicht Memberport der lokalen VLAN Bridge sein die deine lokalen, geschützten Netze bedient. Es MUSS ein separates reines Routing Interface bleiben!! VLAN 1 ist kein Telekom Netz. WAN Interfaces sollten aus Sicherheitsgründen generell NIEMALS Member der VLAN Bridge sein! Den WAN Tag sollte, wenn möglich, immer das Nur Modem selber setzen bzw. mitgeben!
• Im 2,4 GHz Band sollte immer nur einzig und allein 20Mhz Bandbreite gesetzt sein. Statt .11g solltest du .11n setzen.
• Es ist sinnfrei den Clients externe DNS Server zu geben. Der Mikrotik ist selber immer DNS (Proxy) Server und lernt seine Uplink DNS dynamisch. Den DNS Eintrag im DHCP kannst du deshalb entfernen. Nicht DSGVO konforme DNS zu verwenden birgt immer ein Risiko! Damit erübrigt sich dann auch die überflüssige DNS Regel aus dem Gastnetz.

Der Rest ist soweit ok.

Nachtrag:
Siehe Bilder

So könnte man z.b. die newtab experience durch eine feste url ersetzen.
Musst mal testen, ob das dann auch die Homepage überschreibt beim first-launch.

Policy-Key im Foto:
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | https:/www.administrator.de

Naja grundsätzlich willst du ja eine App veröffentlichen aus dem Android Enterprise Store.
Dieser App willst du dann ein App Configuration Profile mitgeben.

Müsstest also nicht unter Devices / Device Policies schauen, sondern unter Apps.
Am besten mal aus dem Enterprise Store den Edge Browser hinzufügen oder ggfs. direkt bei den App Configuration Policies, ob du da schon den Edge auswählen kannst und die Richtlinien definieren kannst.
Da solltest du auch die Einstellungen von der Microsoft Doku vornehmen können.
Ich denke, dass NewTab auch die Startseite sein könnte* - muss man testen.

Hab leider nur iOS in unserer Umgebung, weshalb ich keine Screenshots / genauere Bilder zeigen kann.

VG

Hallo @commodity,

vielen lieben dank für Deine Nachricht.

Genau, KabelWAN ist im ether1, jetzt wo Du es erwähnt hast, erinnere ich mich auch wieder an das Setup von damals. Wie Du bereits richtig erwähnt hast, kommt der VLAN-Tag 7 vom Modem der Telekom aus. Ich werde das nachher nochmal probieren und mich nochmal melden.

Interessanter Hinweis, dann ist Daniel Medic wohl ein solcher
08:30 - https://www.youtube.com/watch?v=vxOVGRih990

Für meine Testphase ok, in der praktischen Umsetzung hole ich mir gern professionelle Hilfe. Das Problem ist dabei nur, dass es jeder besser weiß, d.h. ich hatte schon jetzt ab und an meine Firewall von Dritten checken lassen, jeder hatte es besser gewusst.

Ich nehme den DNS mal raus, vielen Dank für den Hinweis.