Stream

Boomercringe 3 hours ago

20 comments

Comment in: Arztpraxis Medistar Aktualisierung Server Netzwerkstruktur Datensicherung

Wenn der neue Server ansteht, würde ich nochmals gesondert dieses Thema eröffnen. Vorab würde ich aber gerne erfahren, wie ihr die Virtualisierung gestalten würdet.
- Reicht Hyper-V mit 2x VM um zwei Praxisverwaltungssoftwares (Medistar und 2. PVS für Arbeitsmedizin, bspw. CGM ISIS)? Ein Dienstleister hatte vorgeschlagen den Domänencontroller in einer VM zu betreiben. Ein Dokumentenmanagementsystem oder Mailstore würde dann in der nächsten VM laufen?

Als mögliche Alternative zu Hyper-V kann ich dir https://www.proxmox.com/de/proxmox-virtual-environment/uebersicht empfehlen. Ist benutzerfreundlich, unterstützt mit ZFS ein leistungsstarkes Dateisystem inkl. Software-Raid, und läuft generell sehr stabil.

Das Prinzip bleibt aber dasselbe, wie die Kollegen schon erwähnt haben DC in eine VM, MediStar Server in eine andere. Evtl. kann zu Medistar dann noch die ein oder andere Andwendung, aber nach Möglichkeit sollte das PVS mMn. möglichst clean laufen. Hast du noch die Systemvoraussetzungen von dem anderen PVS für Arbeitsmedizin?

Je nach Virtualisierungsplattform für die du dich entscheidest, muss dann entsprechend das Backup gewählt werden. Für Windows/Hyper-V ist das von @DivideByZero erwähnte ActiveBackup for Business von Synology interessant, für Proxmox gibt es den eigenen Proxmox Backup Server. Evtl. kannst du den bestehenden Server dann entsprechend umfunktionieren für entweder VEEAM oder Proxmox Backup Server.

Bevor du zu easybell wechselst, kannst du dir überlegen ob du nicht eine virtuelle PBX wie https://www.3cx.de/telefonanlage/ in einer weiteren VM betreiben möchtest.

Hardwaretechnisch könnte in dieses Marktsegment bald viel Bewegung mit dem bisher nur geleakten AMD Epyc 4004 (für die AM5 Plattform) kommen.

Wie hast du generell Remotework/Homeoffice gelöst, bzw. ist in der Richtung etwas geplant?

Th0mKa 3 hours ago

13 comments

Comment in: Wann schaltet MS Teams Classic für Windows 2016 RDS ab?

Moin,

Vielleicht aktuell relevant für dich:
https://x.com/msftferk/status/1786460908874551772

/Thomas

Chris1 3 hours ago

5 comments

Comment in: Omada Router + Access Point Aussetzer

Zitat von @em-pie:

Moin,

Zitat von @NordicMike:

habe ich schon alles ausprobiert

Ich finde keine einzige Info über irgendeine Prüfmethode. Ping, nslookup, traceroute, Wireshark ...

Es fehlt ja sogar eine konkretere Fehlerbeschreibung. Bisher steht da ja nur „alle paar Sekunden Netzwerkaussetzer“…

Eine genauere Fehlerbeschreibung kann ich leider nicht geben, als das was ich schon mitgegeben habe. Die Verbindung bricht alle paar Minuten komplett ein und wird dann nach 15-60 Sekunden wiederhergestellt. Sowohl über kabelgebundene als auch kabellose Verbindung gibt es Probleme

@to
Kommt da noch der OMADA-Controller zum Einsatz oder arbeiten beide tp-Links autark?

Beide Geräte sind im Omada-Controller eingebunden

Des Weiteren ist das bestimmt eine grandiose Idee, den Clients per DHCP direkt die DNS-Server 1.1.1.1 bzw. 8.8.8.8 mitzugeben. Warum die internen Anfragen nicht an den ER707, die wiederum bei der Fritze anfragt, die wiederum den ISP konsultiert?

Das habe ich wirklich nur zu Testzwecken einmal reingemacht um zu testen dass nicht mein interner DNS Server (Windows Server) einen Schuss hat. Und das sind genau die beiden, die mir direkt eingefallen sind.
Normalerweise hab ich auch den Weg über den ER707, dann Fritzbox und dann externer DNS Server eingetragen.

Ferner: er707 und netgear sind auch wirklich nur über ein Netzwerkkabel verbunden?

Jup, ist nur darüber verbunden, mehr nicht

Welches Modell kommt beim netgear zum Einsatz?

Netgear GS305EP

Sind Multicast-Clients im System vorhanden?

Keine mir bekannten

Edit:
Und nimm den DHCP-Server mal vom Interface „2.5GWAN/LAN“ runter…

Ich glaube das geht nur etwas unglücklich aus dem Screenshot hervor. Das angehakte WAN/LAN aus dem ersten Screenshot ist nicht die WAN Schnittstelle aus dem zweiten Screenshot. Das kann man auch hier sehen

Nur der 2.5G WAN1 Port ist WAN der 2.5G WAN/LAN2 ist nur als LAN Port konfiguriert (und gerade auch nichtmal im Einsatz)

RamboJay 4 hours ago

6 comments

Comment in: Ausfallsicherung bei HPE Aruba Instant ON Switchen

Wenn ich mich nicht irre müsste es mit RSTP gehen… Siehe Seite 41/42 im Handbuch

https://higherlogicdownload.s3.amazonaws.com/AIO/UploadedImages/bc37449f ...

firefly 4 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

Hi,

wie man eine USB Installer für MacOS vorbereitet:
https://www.macworld.com/article/671308/how-to-create-a-bootable-usb-mac ...

In der .pkg-Datei ist das ISO übrigens enthalten. Du musst die .iso nur mit Hilfe des macOS Finders aus der .pkg Datei extrahieren.

Mit "createinstallmedia" kannst du das aber einfacher von jedem macOS machen. Liest den Beitrag von meinem Link.

Hast du denn einen zweiten Mac zur Hand? Ansonsten praktisch unmöglich einen USB-Stick zu erstellen

Es gibt schon Wege: https://routerunlock.com/create-macos-sierra-bootable-usb-drive-windows- ...

Gruß
firefly

Lochkartenstanzer 5 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

Moin,

Bootet denn ein knoppix auf dem Mac?

Eventuell hat ja die Hardware eine Macke.

lks

Crusher79 5 hours ago

12 comments

Comment in: Merge (PS-Write Modul) von mehreren pdf-Dokumenten mit Variable

Grauschleier bekommt man auch anders weg! Helligkeit, Kontrast und Gamma Korrektur.

Zeit bei OCR ist relativ. Kommt drauf an wie schnell die Dokumente ankommen sollen. Ein Hersteller macht ähnliches mit Barcode etc .Nennt die Dokumente dann automatisch um. Verlangen teils 3.500 Euro für die Software....

Sowas kann man sich sparen. Handschrift ist natürlich mit eine Show-Stopper.

Wenn du Zeit hast und OCR noch suchst: https://github.com/tesseract-ocr/tesseract

Tesseract wird auch von DMS eingesetzt. Kommt auch bei historischen Schriften zum Einsatz.

https://github.com/DerrickFeiWang/HandwritingRecognition_GoogleCloudVisi ...

Also ja - sowas geht auch. Wir werden nur gerade immer Komplexer!

Ggf. kombinieren und mehrere Channels bereitstellen. Kommt A nicht ganz hin, wird es in B weiter analysiert. Mit Histogrammen oder anderen Methoden die Werte ermitteln kann man Toleranzen festlegen.

Ich würde aber mal langsam anfangen. Ggf. wie oben in meinen Code Bsp. das Image mal durch

https://github.com/BadAga/ImageProcessing

Hau das Bild mal durch Filter durch.

Wenn du keine DLL willst würde auch Batch Verarbeitung mit PhotoFiltre o.ä. gehen. Nur das verlangsamt dann den Prozess.

Es gibt auch command-line tools die auf diese Art Grauschleier entfernen.

Es gibt ja zig Ansätze.

stefaan 5 hours ago

9 comments

Comment in: Access Switch Wahl

Servus,

sorry für die späte Rückmeldung. Der günstigere Preis vom C1200 hat mich jetzt stutzig gemacht, so wie es ausschaut, sind die C1200/C1300 die Nachfolgemodelle der CBS-Serie.
Wird zumindest hier ganz unten erwähnt:
https://www.reddit.com/r/Cisco/comments/1478l9h/psa_introducing_catalyst ...

Dafür würde zumindest sprechen, dass die C1000/CBS-Serie 2020 eingeführt wurde und die C1200/C1300 ganz frisch auf den Markt gekommen sind.

Stefan

Reflecting-God 5 hours ago

12 comments

Comment in: Merge (PS-Write Modul) von mehreren pdf-Dokumenten mit Variable

Also es geht „nur“ um gescannte Dokumente manche haben einen fast weißen Hintergrund und manche eine richtigen Grauschleier , Nachteil der ocr Geschichte es dauert etwas bis man z.B. 64 Seiten analysiert hat „nur um „ leere Seiten zu entfernen.

Die Multifunktionsgeräte können das nicht (mehr)….da das eingesetzte Papier Ökopapier ist.

Ich hatte mal die cmyk Behandlung. Gemacht …das hatte nichts gebracht da wir nur graustufen scannen und der „Unterschied“ nicht „messbar“ bzw einstellbar war.
sprich über die ganze Seite ist ein Grauschleifer und dann halt Text Maschinenschrift oder manchmal auch nur Handschrift aber immer mit Grauschleier mal mehr mal weniger das müsste man als Referenz nehmen und irgendwie „ausblenden“ zur Bewertung.

anteNope 5 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

oooooooh man ...

Crusher79 5 hours ago

12 comments

Comment in: Merge (PS-Write Modul) von mehreren pdf-Dokumenten mit Variable

Könnte. Normal müsste man mit den Werten auch ein table Objekt füllen können.

Vorteil von Zahlen ist dass die vergleichbar sind. Man könnte mit den Werten dann einen Bereich festlegen wo es sicher weiß ist. Bei ungenauen Mail-Benachrichtigung oder Logfile füllen. So kann man später Fehler nachvollziehen.

Sind die Referenz Bilder Seiten füllend oder nur Briefpapier? Rectangle wäre ggf. da was? Also einfach einen Ausschnitt damit croppen und den dann vergleichen? Wenn Grafiken nur an den Rändern sind, könnte man so auch leeres Briefpapier ermitteln.

https://github.com/dmtrKovalenko/odiff

Denke du meinst sowas. Ja das geht auch. Wenn du fit in Visual Studio bist wäre github dein Freund.

Mergen fast ja nur Bilder an Rändern zusammen. Morphen und Demorphen. So kam ich drauf.

odiff scheint schon in die Richtung zu gehen, die dir vorschwebt.

https://github.com/mapbox/pixelmatch

Pixelmatch tut ähnliches.

Chris1 6 hours ago

5 comments

Comment in: Omada Router + Access Point Aussetzer

Zitat von @NordicMike:

habe ich schon alles ausprobiert

Ich finde keine einzige Info über irgendeine Prüfmethode. Ping, nslookup, traceroute, Wireshark ...

Das stimmt natürlich, ich habe diesen Beitrag erstmal generell formuliert, deswegen meinte ich wenn ihr noch Infos braucht... ;)
Aber ich weiß was du meinst, ihr wollt ja auch ein genaueres Fehlerbild haben und braucht die Infos, tut mir leid dass ich das nicht direkt mitgegeben habe, lag vielleicht an der Müdigkeit in der ich den Beitrag formuliert habe :D

Über ping bekomme ich folgende Ergebnisse, wobei ich auch einen timeout bekomme und danach auch einen großen delay

Tracert erreicht ohne Auffälligkeiten die Adressen aus dem 10.250.250... Bereich von Omada als auch 192.168.178... der Fritzbox

nslookup funktioniert auch und löst alles auf

wusa88 6 hours ago

34 comments

Comment in: Fritzbox Telefonie hinter Mikrotik NAT, SIP

/interface bridge
add admin-mac=18:FD:74:8E:55:66 auto-mac=no comment=defconf name=vlan-bridge vlan-filtering=yes
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan3 vlan-id=3
add interface=vlan-bridge name=vlan70 vlan-id=70
add interface=vlan-bridge name=vlan90 vlan-id=90
add interface=vlan-bridge name=vlan111 vlan-id=111
add interface=vlan-bridge name=vlan200 vlan-id=200
add interface=vlan-bridge name=vlan_fritzbox vlan-id=4
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=wlan-intern supplicant-identity=""  
add authentication-types=wpa2-psk mode=dynamic-keys name=wlan-gast supplicant-identity=""  
add authentication-types=wpa2-psk mode=dynamic-keys name=wlan-iot supplicant-identity=""  
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=germany disabled=no distance=indoors frequency=2427 installation=indoor mode=ap-bridge name=wlan-intern \
    security-profile=wlan-intern ssid=dahoam vlan-id=70 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=germany disabled=no distance=indoors frequency=5500 installation=indoor mode=ap-bridge \
    name=wlan-intern-5ghz security-profile=wlan-intern ssid=dahoam_5GHz vlan-id=70 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6B master-interface=wlan-intern multicast-buffering=disabled name=wlan-iot security-profile=wlan-iot ssid=\
    IoT vlan-id=111 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6D master-interface=wlan-intern-5ghz multicast-buffering=disabled name=wlan-iot-5ghz security-profile=\
    wlan-iot ssid=IoT_5GHz vlan-id=111 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6A master-interface=wlan-intern multicast-buffering=disabled name=wlan-gast security-profile=wlan-gast \
    ssid=HeimwehLAN vlan-id=90 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6C master-interface=wlan-intern-5ghz multicast-buffering=disabled name=wlan-gast-5ghz security-profile=\
    wlan-gast ssid=HeimwehLAN_5GHz vlan-id=90 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=intern ranges=192.168.7.200-192.168.7.230
add name=wohnung-eg ranges=192.168.3.200-192.168.3.230
add name=wlan-intern ranges=192.168.70.200-192.168.70.230
add name=wlan-gast ranges=192.168.90.200-192.168.90.230
add name=iot ranges=192.168.111.200-192.168.111.230
add name=freifunk ranges=192.168.200.200-192.168.200.230
add name=Pool_Mama_Papa ranges=192.168.4.200-192.168.4.230
/ip dhcp-server
add address-pool=intern interface=vlan1 lease-time=2h name=intern
add address-pool=wohnung-eg interface=vlan3 lease-time=2h name=wohnung-eg
add address-pool=wlan-intern interface=vlan70 lease-time=2h name=wlan-intern
add address-pool=wlan-gast interface=vlan90 lease-time=2h name=wlan-gast
add address-pool=iot interface=vlan111 lease-time=2h name=iot
add address-pool=freifunk interface=vlan200 lease-time=30m name=Freifunk
add address-pool=Pool_Mama_Papa interface=vlan_fritzbox name=DHCP_Mama_Papa
/queue simple
add max-limit=5M/5M name=queue1 target=vlan111
/interface bridge port
add bridge=vlan-bridge comment=defconf interface=ether3
add bridge=vlan-bridge comment=defconf interface=ether4
add bridge=vlan-bridge comment=defconf interface=ether5
add bridge=vlan-bridge comment=defconf frame-types=admit-only-vlan-tagged interface=wlan-intern pvid=70
add bridge=vlan-bridge comment=defconf interface=wlan-intern-5ghz
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-iot pvid=111
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-gast pvid=90
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-gast-5ghz pvid=90
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-iot-5ghz pvid=111
add bridge=vlan-bridge interface=ether2 pvid=4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether5,vlan3 vlan-ids=3
add bridge=vlan-bridge tagged=vlan-bridge,ether5,wlan-intern,wlan-intern-5ghz,vlan70 vlan-ids=70
add bridge=vlan-bridge tagged=vlan-bridge,ether5,wlan-gast,wlan-gast-5ghz,vlan90 vlan-ids=90
add bridge=vlan-bridge tagged=vlan-bridge,ether5,wlan-iot,wlan-iot-5ghz,vlan111 vlan-ids=111
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=200
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=4
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=vlan1 list=LAN
add interface=vlan3 list=LAN
add interface=vlan70 list=LAN
add interface=vlan90 list=LAN
add interface=vlan111 list=LAN
add interface=vlan200 list=LAN
add interface=vlan_fritzbox list=LAN
/ip address
add address=192.168.7.1/24 comment=defconf interface=vlan1 network=192.168.7.0
add address=192.168.3.1/24 comment=defconf interface=vlan3 network=192.168.3.0
add address=192.168.70.1/24 comment=defconf interface=vlan70 network=192.168.70.0
add address=192.168.90.1/24 comment=defconf interface=vlan90 network=192.168.90.0
add address=192.168.111.1/24 comment=defconf interface=vlan111 network=192.168.111.0
add address=192.168.77.1/24 interface=wireguard1 network=192.168.77.0
add address=192.168.200.1/24 interface=vlan200 network=192.168.200.0
add address=192.168.4.1/24 interface=vlan_fritzbox network=192.168.4.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.3.0/24 gateway=192.168.3.1
add address=192.168.4.0/24 dns-server=192.168.4.1 gateway=192.168.4.1
add address=192.168.7.0/24 dns-server=192.168.7.11 gateway=192.168.7.1
add address=192.168.70.0/24 dns-server=192.168.7.11 gateway=192.168.70.1
add address=192.168.90.0/24 gateway=192.168.90.1
add address=192.168.111.0/24 gateway=192.168.111.1
add address=192.168.200.0/24 gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=forward comment="Kamera keine Internetverbindung" out-interface=ether1 src-address=192.168.7.71  
add action=drop chain=forward comment="Wohnung nur ins Internet" in-interface=vlan3 out-interface=!ether1  
add action=drop chain=forward comment="Mama Papa nur ins Internet" disabled=yes in-interface=vlan_fritzbox out-interface=!ether1  
add action=drop chain=forward comment="TV Schlafzimmer nur Internet. Kein LAN" out-interface=!ether1 src-address=192.168.7.39  
add action=drop chain=forward comment="TV Wohnzimmer nur Internet. Kein LAN" out-interface=!ether1 src-address=192.168.7.38  
add action=accept chain=input comment="wireguard ip input" src-address=192.168.77.0/24  
add action=accept chain=input comment="wireguard udp input" dst-port=13231 protocol=udp  
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=drop chain=input in-interface=vlan90 protocol=icmp
add action=accept chain=forward dst-address=192.168.111.10 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.10 in-interface=vlan70
add action=accept chain=forward dst-address=192.168.111.10 in-interface=vlan90
add action=accept chain=forward dst-address=192.168.111.11 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.12 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.40 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.70.2 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.11 in-interface=vlan70
add action=drop chain=forward in-interface=vlan200 out-interface=!ether1
add action=drop chain=forward comment="WLAN Gast nur ins Internet" disabled=yes in-interface=vlan90 out-interface=!ether1  
add action=reject chain=forward comment="WLAN iot keine Zugriff auf WLAN Intern" in-interface=vlan70 out-interface=vlan111 reject-with=icmp-network-unreachable  
add action=reject chain=forward comment="WLAN iot keine Zugriff auf Intern" in-interface=vlan1 out-interface=vlan111 reject-with=icmp-network-unreachable  
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec  
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec  
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes  
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked  
add action=accept chain=forward comment="Reverse Proxy" connection-nat-state=dstnat in-interface=ether1  
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN  
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN  
add action=dst-nat chain=dstnat dst-port=80,443 in-interface=ether1 protocol=tcp to-addresses=192.168.7.11
/ip traffic-flow
set interfaces=ether2
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
add address=::1/128 comment="defconf: lo" list=bad_ipv6  
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp  
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10  
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6  
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
/system clock
set time-zone-name=Europe/Berlin
/tool bandwidth-server
set authenticate=no enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

schrick 6 hours ago

8 comments

Comment in: RDP-Shadowing schwarz mit Cursor

Hmm, habe hier 3 Systeme mit "großen" Nvidia Karten (RTX4070) und aktuellsten Treiber getestet, keiner Zeigt das beschriebene Verhalten.
Was soll man da sagen, MS halt 🤐, just a normal day in a MS World.

shiring 6 hours ago

Zeigt her euer Rack!

Hallo,

mal so aus Interesse, wie schaut eure „Schaltzentrale“ aus? Chaos oder Ordnung?

Ich fange mal an:
Schreibtisch-Rack😄

Beste Grüße

Reflecting-God 6 hours ago

12 comments

Comment in: Merge (PS-Write Modul) von mehreren pdf-Dokumenten mit Variable

Das stimmt ich hatte gedacht das ,die ocr bei Handschrift irgendwas ausgibt…

Mit dem Grauschleier da wäre diese histogramm Sache gut …kann man da irgendwie den Farbcode von so 3 Hintergründen rausziehen und als Referenz hinterlegen ?

Kuemmel 6 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

Hast du denn einen zweiten Mac zur Hand? Ansonsten praktisch unmöglich einen USB-Stick zu erstellen.
Wenn ja:
https://support.apple.com/de-de/101578

anteNope 6 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

LAN, WLAN egal ...

CMD+R versucht dann HighSierra zu installieren, verkackt dabei aber spektakulär. Vermutlich wie üblich irgendwelche Zertifikate abgelaufen ...

Simpelster Weg wäre Monterey auf USB-Stick zu packen und dann damit zu betanken ... aber wie?

schrick 6 hours ago

34 comments

Comment in: Fritzbox Telefonie hinter Mikrotik NAT, SIP

Ich tippe immer noch auf die Firewall, du hast wohl vergessen das Fritten VLAN in die LAN Interface Liste einzutragen.
Aber da du hier immer nur Bildchen statt mal die kompletten Klartextconfig postest dürfen wir uns hier immer einen vom Ast abwürgen und Vermutungen anstellen🤮. Mach doch bitte mal Nägel mit Köpfen und poste den kompletten Export, ansonsten bin ich raus, da ist mir die Zeit ansonsten zu Schade für den Kindergarten..

/export

Ich will das alles über den Mikrotik läuft. Ich will auch nicht den Google DNS oder sonstige in der Fritte eintragen.

Das war ja nur für den Test um zusehen an wem es liegt!
Gib den Mikrotik als DNS-Server Option mit und fixe deine Firewall dann lüppt dat 100%

/ip dhcp-server network set [find address=192.168.4.0/24] dns-server=192.168.4.1,192.168.4.1
/interface list member add interface=vlan4 list=LAN

Kuemmel 6 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

Mhhmm... dann hast du die Lösung ja schon durchgespielt.
Ist der Mac im LAN oder WLAN? Eventuell mal per LAN probieren..

WindowsOKLinuxAmateur 6 hours ago

5 comments

Comment in: Desinfect mit alten Business Notebooks - sehe keine Windows-Partition

Hallo zusammen,
danke euch allen für die Antworten!
@Kuemmel, Dein Ansatz

Zitat von @Kuemmel:

zumindest bei der Dell-Kiste steht die "SATA Operation" im BIOS wahrscheinlich auf "RAID on". Stell es mal auf AHCI um, dann sollte das mit Knoppix auch funktionieren.

hat den Durchbruch für Dell gebracht. Jetzt läuft der desinfect Scan.

Der Shortcut "Win-Drives einhängen" brachte war wieder die Fehlermeldung, allerdings gab es danach im Ordner "CDRom", der eigentlich zum Speichern von Virenlogs auf dem desinfect-Boot-USB-Stick gedacht ist, Unterordner, in denen sich auch die Windows-Partition befand, die ich jetzt scannen kann.

Bei Lenovo hab ich es wohl nicht richtig mit Admin-CMD und "powercfg /h off" versucht. Ein erneuter Versuch brachte auch hier Desinfect zum Sehen der Windows-Daten.

Auch mit o.g. Fehlermeldung und der Einordnung der Windows-Partition als Unterordner des CDROM-Ordner, aber auch so war der Scan möglich.

Danke euch allen!
Viele Grüße
Fred

desidia 6 hours ago

20 comments

Comment in: Arztpraxis Medistar Aktualisierung Server Netzwerkstruktur Datensicherung

Zitat von @radeon3000:

Vorab würde ich aber gerne erfahren, wie ihr die Virtualisierung gestalten würdet.

- Reicht Hyper-V mit 2x VM um zwei Praxisverwaltungssoftwares (Medistar und 2. PVS für Arbeitsmedizin, bspw. CGM ISIS)?

Je nachdem ob die Software z.b. Gleiche Ports verwendet für eine webanwendung oder o. Ä. Im Regelfall kann aber z. B. Auf einem (SQL) Server verschiedene Instanzen vom SQL parallel laufen

Ein Dienstleister hatte vorgeschlagen den Domänencontroller in einer VM zu betreiben.

DC gehört immer in eine eigene vm.
Man könnte noch schauen ob man einen TS (nicht Microsoft) darauf laufen lassen kann. Aber keine Daten, keine SQL

Ein Dokumentenmanagementsystem oder Mailstore würde dann in der nächsten VM laufen?

Das kann auch mit auf dem Daten /SQL Server laufen

Wieso sollte das LAN nicht weiter segmentiert werden? Aufbau Praxisnetzwerk mit Fragen (TI, Switch, Firewall, VoIP, Netzwerkdesign) hier war meine Idee entnommen…. Firewall in Arztpraxis mit Konnektor - hier war das einer der Vorschläge – in der KBV Richtlinie wird das auch empfohlen, dass man DMZ einrichtet.
- Wobei ich nicht verstehe wie man die TI/den Konnektor in eine DMZ legen kann, da die PVS ja mit dem Konnektor kommunizieren muss.

Konnektor auslagern wäre eine Möglichkeit, aber Drucker, PCs und so trennen (welche halt im LAN kommunizieren) ist Blödsinn. (jedenfalls in solch einer kleinen Größe)

anteNope 6 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

Fehlercode -5101F

NVRAM habe ich bereits gelöscht.

Crusher79 6 hours ago

12 comments

Comment in: Merge (PS-Write Modul) von mehreren pdf-Dokumenten mit Variable

PS:

Die Barcode DLL oben analysiert das Bild mit Hilfe eines Histogrammes um die Barcodes zu erkennen.

https://github.com/LazoCoder/Image-Processing-Library

https://github.com/topics/histogram?l=c%23

Eine C# DLL kann man in PS sehr einfach einbinden und die Funktion aufrufen.

[void] [System.Reflection.Assembly]::LoadFrom("c:\temp\BarcodeImaging.dll");      
$barcodes = @{}
[BarcodeImaging]::FullScanPage([ref] $barcodes, $src, 150)

Finde auf die schnelle keine einfache DLL für dich. Aber ein Histogram würde auch dein Handschriftenproblem lösen. Man kann es ja sehr genau einstellen.

Histogramm wäre eig. mit das Mittel der Wahl für so ein Vorhaben.

Beispiel: Bildauswahl an DLL übergeben und Barcode ermittel

Grundlage: https://www.nuget.org/packages/BarcodeImaging

using namespace System.Drawing;
Add-Type -AssemblyName System.Drawing;

[void] [Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")  

$testBild = "C:\temp\code_ls4.png-1.png"  
$src=[System.Drawing.Image]::FromFile($testBild)

$rect = New-Object System.Drawing.Rectangle(740,1500,400,250) # top, left, width, height of slice
$slice = $src.Clone($rect, $src.PixelFormat);
#$slice.Save("c:\temp\test_slice.png", "png"); 

$src = $slice;

[void] [System.Reflection.Assembly]::LoadFrom("c:\temp\BarcodeImaging.dll");      
$barcodes = @{}
[BarcodeImaging]::FullScanPage([ref] $barcodes, $src, 150)

$barcodes

Kuemmel 6 hours ago

8 comments

Comment in: MAC OS Monterey auf nackte SSD installieren?

Moin,

Dachte mir jetzt mach ich halt Internet Recovery (CMD+ALT+R) => verkackt beim starten

Was heißt das? Was kommt denn für ein Fehler?
Normalerweise sollte das der bevorzugte Weg sein. macOS ist halt nicht einfach ladbar und auf einen Stick packbar, das wird bewusst erschwert (aber nicht unmöglich gemacht) damit nicht zu viele auf den Geschmack von Hackintosh kommen.

anteNope 6 hours ago

8 comments

MAC OS Monterey auf nackte SSD installieren?

Nabend zusammen,

habe den Auftrag einen Apple neu zu installieren aufs Auge gedrückt bekommen. Absolut nicht meine Welt aber was solls...
Es handelt sich um einen iMAC Late 2015 27" Retina mit i5
Die SSD ist blank, so richtig blank. So diskpart-clean blank.

Dachte mir jetzt mach ich halt Internet Recovery (CMD+ALT+R) => verkackt beim starten
Normales Recovery (CMD+R) => verkackt beim Start der Installation

Dachte mir nimmste halt nen DMG / ISO von Monterey machst dir einen USB-Stick ... gibt es nur noch als .pkg-Datei

Wie zum Geier betanke ich das Teil nun? Wie kann etwas so einfaches so unnötig verkompliziert sein?!
Hilfe? Bitte!

Crusher79 6 hours ago

12 comments

Comment in: Merge (PS-Write Modul) von mehreren pdf-Dokumenten mit Variable

Du hattest in der Nachricht Handschriften erwähnt.

Für Barcodes hab ich mal mit PS Bild aufgeteilt, so dass nur der Barcode - immer an einer Stelle in dem Fall - erkannt wird. Die Barcode DLL würde aber auch auf der kompletten Seite Barcode finden. Auch mehrere. Die Logik dahinter ist etwas komplex. Könnte man natürlich auch abwandeln um leere Seiten zu ermitteln. Wäre aber wohl zu viel des Guten

https://stackoverflow.com/questions/68912911/slice-image-and-save-each-s ...

Was soll das ganze? Man kann Ausschnitt als Objekt in PS weiter übergeben und analysieren. Bei der Variante mit Ghotscript z.B. nur den 5x5 cm Bereich analysieren lassen.

Wenn du bei manchen Seiten an die Grenzen stößt, könntest du die Genauigkeit erhöhen, in dem nur ein begrenztes Feld betrachtet wird.

Bei deiner Variante oben mit PDF zu Text wäre das hilfreich, da komische Hieroglyphen dann reduziert werden, da der Ausschnitt nahezu rein weißen Bereich zeigt.

Ist für den Anfang kein muss. Aber Rectangle ausschneiden ist easy und durch kleine Referenzbilder der Din A4 Seite kann man einiges optimieren.....

Nur so eine Idee.

radeon3000 6 hours ago

20 comments

Comment in: Arztpraxis Medistar Aktualisierung Server Netzwerkstruktur Datensicherung

Vielen Dank für den Input, insbesondere @commodity & @Boomercringe. Wie die Praxismodernisierung werde ich das Vorhaben IT-Modernisierung aufteilen und an die Gespräche anders herangehen:
1) Ich werde mir nichts aufschwatzen lassen
2) Zunächst aktuellen Server mit größeren SSDs ausrüsten, um Zeit zu gewinnen, damit die
3) bestehende Infrastruktur angepasst werden kann
3) eine Back-Up-Anpassung mit NAS erfolgen kann
4) die Einrichtung einer EDR mit Microsoft Defender for Business durchgeführt werden kann [darauf war ich auch schon durch die Telekom gestoßen, im Rahmen der Cloudtelefonie Diskussion mit deren Vertrieblern. Das Office-Paket benötigen wir sowieso und man könnte meines Erachtens auch eine revisionssichere Mailarchivierung durchführen]

Die Umsetzung der KBV-Richtlinie halte ich selbst als Richtschnur. Mir dient es als Kontrolle – die KV Bayern hat auch eine schöne Checkliste erstellt.

Wenn der neue Server ansteht, würde ich nochmals gesondert dieses Thema eröffnen. Vorab würde ich aber gerne erfahren, wie ihr die Virtualisierung gestalten würdet.
- Reicht Hyper-V mit 2x VM um zwei Praxisverwaltungssoftwares (Medistar und 2. PVS für Arbeitsmedizin, bspw. CGM ISIS)? Ein Dienstleister hatte vorgeschlagen den Domänencontroller in einer VM zu betreiben. Ein Dokumentenmanagementsystem oder Mailstore würde dann in der nächsten VM laufen?

Wieso sollte das LAN nicht weiter segmentiert werden? Aufbau Praxisnetzwerk mit Fragen (TI, Switch, Firewall, VoIP, Netzwerkdesign) hier war meine Idee entnommen…. Firewall in Arztpraxis mit Konnektor - hier war das einer der Vorschläge – in der KBV Richtlinie wird das auch empfohlen, dass man DMZ einrichtet.
- Wobei ich nicht verstehe wie man die TI/den Konnektor in eine DMZ legen kann, da die PVS ja mit dem Konnektor kommunizieren muss.

aqui 7 hours ago

44 comments

Comment in: Unterstützung in Wlan Ausstattung

Das ist dann ein Vorteil der Ruckus APs die mit Beamflex arbeiten und zu jedem Mac Client ein entsprechendes Richtdiagramm speichern. (Nicht zu vergleichen mit dem wenig performanten Beamforming des .ax Standards).
Dort stellt sich die Frage ob Decke oder Wand und welche Antenne gar nicht erst!

wusa88 7 hours ago

34 comments

Comment in: Fritzbox Telefonie hinter Mikrotik NAT, SIP

Ich bin jetzt mal in ein anderes vlan bei mir gegangen und habe das ganze nochmal getestet.

Hier mal kurz die Einstellungen dazu:

DNS:

Und dann nochmal den Befehl von dir ausgeführt:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de192.168.90.1

Ausgabe:

Hier sieht es so aus, als wird das alles sauber aufgelöst.

Heißt doch, dass der Provider da nichts blockt? Oder sehe ich das falsch?

Auch die DNS Einstellungen sind gleich.
Irgendwo muss doch noch etwas falsch eingestellt sein.

Der Mikrotik übergibt bei nicht angegebenen Servern in der DHCP Optionen die die unter ip > dns stehen an den Client, also in deinem Fall die vom Provider. Sie fragen dann nicht den Mikrotik selbst sondern direkt den Provider!!!

In diesem Fall verstehe ich das allerdings anders.
Ich habe keinen DNS unter dem DHCP Server angegeben. Lt. deiner Aussage fragt der Client dann direkt beim DNS an und nicht über den Mikrotik.
Warum sehe ich dann wenn ich den nslookup Befehl ausführe, die Anfrage am Mikrotik?

Sorry für das ganz, aber ich komme da alleine nicht weiter.
Ich will das alles über den Mikrotik läuft. Ich will auch nicht den Google DNS oder sonstige in der Fritte eintragen.
So wie es aussieht, sollte es normal auch funktionieren? Warum hier aus dem Netz der Fritte nichts ankommt, verstehe ich im ersten Moment nicht.

Edit:
Jetzt habe ich genau das gleiche Spiel nochmal in dem Netz gemacht, in dem die Fritte hängt.

Und was kommt hier raus:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.4.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

desidia 7 hours ago

20 comments

Comment in: Arztpraxis Medistar Aktualisierung Server Netzwerkstruktur Datensicherung

Zitat von @commodity:

Wer sich als Arzt an der Cloud versuchen will, fange mal mit nem Cloud-Konnektor an. Das sieht man dann schnell die "Vorzüge", wenn jeder Einrichtungsschritt 5 Mails mit dem Cloud-DL braucht, weil man nichts mehr selber machen kann und der Medistar-Support bei Problemen auf den Cloud-Anbieter zeigt und der wiederum sagt, "alles ok bei uns, wendet Euch an Medistar". Gerade diese Woche gehabt ...

Viele Grüße, commodity

Da braucht man ja nicht mal mit einem cloud connector anfangen...
Mach einfach mal eine Stunde das Internet in einer Praxis im Betrieb aus (was ja vorkommen kann) und dann versuche auf deinen online Termin Kalender zuzugreifen (z. B. Doctolib oder andere)... Da weißt noch nicht mal ohne Zugriff wer überhaupt kommt und wie du neue Termine machen kannst. Oder du weißt gar nicht wer im Wartezimmer sitzt oder wer gar nicht da ist...
Das geht aber im Vergleich noch dazu wenn du komplett in der cloud bist ohne Patienten Verwaltung...
Welchen Patienten habe ich welche Spritze gegeben?
Welchen Zahn wollten wir ziehen als wir den Termin gemacht haben... Oder welche Verordnung hat der andere Arzt den ausgestellt...
Alles funktioniert dann nicht.
Wer mit solchen Daten und Praxis Größen in die cloud geht dem ist echt nicht zu helfen.

Bei den größeren Kunden (wo alles on promise ist) haben wir zwei DSL Zugänge (von verschiedenen Providern) damit nur solche Sachen weiterhin funktionieren.
Und da "funktioniert die Patienten Verwaltung immer" weil halt on promise
Nicht mal da würden wir es ansetzen wollen in die cloud zu gehen

MysticFoxDE 7 hours ago

44 comments

Comment in: Unterstützung in Wlan Ausstattung

Moin @Visucius,

Ja, das wäre vernünftig. Gott sei Dank gibt es dafür 2024 ja entsprechende Modelle – auch ohne 6 cm Stabantennen. 😂

Ach ja, OK, welche denn? 🤨

Kann aber natürlich auch sein, dass die Ciscos, Ruckus, Zyxels, HPs und Konsorten einfach zu doof sind, die Mittelschul-Binse einer Stabantenne zu kennen. Da sollten wir die hier unbedingt mal aufklären! 🙄

Naja, wenn man es genau nimmt, dann klären die entsprechenden Hersteller, einige davon zumindest, ihre Kunden schon darüber auf für welchen Zweck die entsprechenden AP's gedacht sind und wo ihre Stärken liegen. 😉

Nehmen wir als Beispiel mal das aktuelle Flaggschiff von Aruba, sprich die 650er Serie.
Und beim AP-655, also der Variante mit internen Antennen, schreib Aruba klipp und klar hin, wofür dieser AP gedacht ist.

Sprich, auch der AP-655, ist trotz seines stolzen Preises von > 1500.- €, im Grunde nur ein Deckenstrahler, der mit einem Öffnungswinkel von 30-40°, den Boden unter sich anstrahlt, sofern er an der Decke befestigt wurde.

Das sieht man übrigens nochmals etwas detaillierter in der Doku des AP's.

Sprich, für eine grosse Messehalle mit einer höhe von > 10m, ist das Ding top um die Fläche unter sich auszuleuchten, in einer Wohnung mit vergleichsweise niedrigen Decken, bekommst du damit jedoch keine Fläche versorgt. Denn dafür, sprich für grosse Flächen mit niedrigen Decken, ist eher der AP-654 vorgesehen, an den man nach Gusto, respektive nach Bedarf, bis zu 6 externe Antenne anschliessen kann, unter anderem auch Stabantennen. 😉

PS: Vielleicht ist es aber auch ne Kartell-Verschwörung, weil sie dann ne größere Anzahl Decken-APs verkaufen … 🤔

Warum gleich Verschwörung, wenn sich viele Kunden aufgrund von Unwissenheit und oder Dessinteresse, auch so ordentlich abschöpfen lassen? 😔

Gruss Alex

aqui 7 hours ago

6 comments

Comment in: VLAN based central switching

Ich hoffe ich bekomme das so konfiguriert

Das Freeradius Tutorial und die weiterführenden Links ist dein bester Freund!
Freeradius Management mit WebGUI
Wenn du ohne Datenbank mit einem statischen Textfile arbeitest musst du dir den ganzen SQL Datenbank und GUI Kram wegdenken!

Eine solche Option finde ich leider in meinem WLC (2504) nicht.

Gut möglich das Cisco Flexauth auf dem Controller nicht supportet. Hast du mal in die Release Notes der Firmware gesehen? Wenn dann sicher nur auf dem allerneusten letzen Image. Cisco ist im Gegensatz zu Ruckus und anderen recht spät mit der local Termination Option rausgekommen. Das solltest du erstmal klären.
Sollte es daran scheitern und hast du nur eine Handvoll APs könntest du diese notfalls auch im Standalone Mode betreiben:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
Erspart dir bei wenigen APs einen Stromfresser. Beim zu vielen ist das allerdings aus Management Sicht keine Option, keine Frage.

aqui 7 hours ago

14 comments

Comment in: IPv4 Filterregeln erstellen

Einem Switch kann man keinen Subnetz Port zuteilen. Es ist auch wichtig das dedizierte Routing Ports die ein Subnetz bedienen unbedingt von der Switch bzw. Bridge Funktion ausgenommen sind!!
Eine Router kann auch niemals einen L3 (Routing) Switch embeddet haben. Das wäre doppelt gemoppelt.
In der allemeisten Fällen ist es bei Router oder Firewall HW so das generell alle Ports dedizierete Routing Ports sind. Möchte man einige aber zusammenfassend in einem Netz betreiben weil man z.B. mehrere Endgeräte anschliessen möchte fast man diese dann als Bridge zusammen und hängt das Subnetz an das Bridge Interface.
Ein übliches Prozedere bei so gut wie allen Herstellern. Diese Bridge Memberports dürfen dann aber niemals mehr anderen gerouteten Netzen zugeteilt werden. Meist verhindert die Konfig sowas auch schon aus syntaktischer Sicht was ja richtig ist.
To make a long story short.
Wenn Port 1_4 der 5te Port und damit dein WAN Port ist, und damit NICHT Member der Bridge_0 (welche ja dann nur die Ports 0 bis 3 sein dürfen) muss dein Regelwerk natürlich dann auf den WAN Port (1_4 oder 5ter Port). Wie sollte es anders sein. Dort kommt ja dein Traffic rein den du NICHT haben willt und genau dann dort auch blocken willst. Einfache Logik!

Jetzt muss ich also die Filterregeln auf die Schnittstelle WAN verlegen?

So ist es, wenn von dort dein Traffic reinkommt!

desidia 7 hours ago

9 comments

Comment in: Gibt es das? Switch der selbst per PoE versorgt wird und per PoE verteilt?

Genau diesen habe ich im Haus zu laufen mit ui Kameras.
Ich konnte nämlich beim Bau keine 3 rj45 Dosen nach draußen legen lassen und habe daher diesen switch draußen angebracht und er versorgt jetzt seit knapp einem Jahr ohne jegliche Probleme alle 3 Kameras die dran sind.
Insgesamt habe ich davon 3 im Einsatz wie z. B. Für die Türklinkel und das läuft alles super.
Hat nämlich den Vorteil, daß ich mit einem großem poe switch der an der usv hängt alle unter switche auch bei Stromausfall noch verbunden habe und somit die Kameras weiterlaufen. Brauche also nicht bei jedem unterverteil switch eine usv haben.

anteNope 8 hours ago

23 comments

Comment in: Microsoft Problem SSO (AD - Entra)?

Bei mir tritt es in allen Umgebungen auf:

PCs ohne AD mit privat Konten
PCs ohne AD mit Business-Konten
PCs mit AD ohne SSO mit Business-Konten
PCs mit AD mit SSO mit Business-Konten

Mit MFA, ohne MFA ..., bunt gemischt durch die Bank. Ich kann kein Schema erkennen.

bubblegun 8 hours ago

14 comments

Comment in: IPv4 Filterregeln erstellen

Mensch aqui, woher soll der gesunde IT-Verstand denn kommen?
Ich stochere hier mehr oder weniger im Nebel, versuche das alles irgendwie zu verstehen, liege dabei aber nicht immer ganz richtig, wie Du treffend erkannt hast. Bridge_0 sind die restlichen 4 Ports des integrierten L3-Switches im Router. Die Bezeichnung LAN1_4 ist die (bei Elmeg) gebräuchliche Bezeichnung für den 5. Port des integrierten Switches, der dem weiteren Subnetz zugeteilt/konfiguriert ist.
In der Firewall habe ich den Zugriff von Bridge_0 auf LAN1_4 verboten, und das funktioniert auch klaglos. Heißt, alle Rechner und Geräte die in Bridge_0 sind, haben keinen Zugriff auf die Rechner die in LAN1_4 beheimatet sind, antworten aber selbstverständlich auf Anfragen aus LAN1_4.
Jetzt muss ich also die Filterregeln auf die Schnittstelle WAN verlegen?

McJoey 8 hours ago

6 comments

Comment in: VLAN based central switching

Zitat von @aqui:

dass User ohne VLAN-Zuteilung per Radius eine Fallback-VLAN-ID erhalten

Das ist zumindestens mit einem FreeRadius problemlos möglich.
Im Abschnitt "DEFAULT" der User Datei landet alles was nicht authentisiert wurde. Normalerweise immer mit einem Deny. Man kann aber alternativ allen vorab Nichtauthentisierten zwangsweise ein VLAN mitgeben: [...]
Das zwingt nicht authorisierte User dann in das VLAN 99 in dem man dann z.B. ein Captive Portal mit einem Voucher oder Einmalpasswort abfragt.

Super, das war genau, was mir vorschwebt, vieeeeelen lieben Dank! Ich hoffe ich bekomme das so konfiguriert

FlexAuth mit local Termination/Switching musst du immer über Flex Profile lösen im WLC unter "Configuration -> Tags&Profiles -> Flex" (WLC 9800) Hier legts du ein Flex Profil an das alle VLANs enthält die der AP supporten soll unter dem Reiter "VLAN". Das musst du dem Policy Tag im WLAN hinzufügen.

Eine solche Option finde ich leider in meinem WLC (2504) nicht.
Ich kann zwar Polycies erstellen, die auf VLAN-IDs matchen, aber nicht solche, die die Weise des Switchings festlegen. Zumindest habe ich diese nicht gefunden.

Heutzutage gibt es eigentlich kein Argument mehr für Central Switching. Aus Performancegründen und sehr schlechter Skalierbarkeit bei aktuellen WLAN Geschwindigkeiten ist dies keine Option mehr und man sollte grundsätzlich immer auf local Switching gehen.

Will ich ja auch! Ich habe aber ein VLAN bei dem Sicherheit wichtiger ist als Performance, und ich möchte dafür eigentlich keine eigene SSID betreiben müssen (diese Lösung hab ich durch und würde funktionieren). Standard soll definitiv "Local" sein. Nur das betreffende spezielle VLAN darf an manchen APs aus Sicherheitsgründen nicht anliegen. Daher in dem Fall das Auskoppeln über den WLC.

Du machst oben auch einen Denkfehler.
Es ist so wie Kollege @em-pie schon gesagt hat es geht nur entweder oder.

Das verwirrt mich. Cisco selbst beschreibt in seiner Doku (siehe letzten Post) dass genau das ab Version 7.3 geht. Bis 7.2 nur entweder-oder. Meine APs haben 8.5.

Da du über die Profilsteuerung bei Flexauth die VLANs festlegen muss sind die VLANs festgelegt.

Hab ich getan!

Wenn der Radius dynamisch ein VLAN zuteilt was nicht im Flexprofil landet geht der Traffic ins Nirwana. Der AP verwirft diesen Traffic weil er den Tag nicht zuordnen kann und das lässt dann folglich auch ein Breakout am Controller scheitern denn woher soll der wissen welchen VLAN tag wenn diese Information fehlt.

Laut Cisco sollte in genau diesem Fall Central Switching greifen.

Es geht nur entweder oder...

hmmm... liegt die Doku falsch?
Wenn ja, kann ich evtl. VLAN-basierte Policies erstellen?
Wie gesagt, hab auf dem 2504er nichts dazu gefunden. Jede Mange ACLs und Polycies, aber nichts, was das switching beeinflusst.

Muss ich echt meine APs mit zusätzlichen SSIDs "zumüllen" (es geht ja nicht nur um diese eine, das war nur ein reduziertes Beispiel)

vafk18 8 hours ago

10 comments

Comment in: Mobile NAS einrichten

@ukulele-7
Das ist eine gute Möglichkeit. Aber ich wollte (weil primitiv eingerichtet), die Windows-Netzwerkshares über \\192.168.4.11\share verbinden. Sonst muß ich sie löschen und neu verbinden (unpraktisch bei 7 Shares). Wiederum \\TrueNAS1\share ist nicht immer zuverlässig.

em-pie 8 hours ago

1 comment

Comment in: Bildschirm geht nach 30 Sekunden aus

Moin,

Gibt es eine Gruppenrichtlinie die gesetzt werden kann, ohne an die Registry zu müssen?

Ja. Das wäre die Antwort.

Weil heute Freitag ist, sage ich dir sogar, wo du die findest:
https://help.trugrid.com/en/article/how-to-configure-power-management-se ...

ClockHat 8 hours ago

1 comment

Bildschirm geht nach 30 Sekunden aus

Die Monitore aller Windows-Laptops in unserer Domäne, gehen im gesperrten Zustand (lock screen), nach 30 Sekunden in den stand-by Modus.
Wir möchten jedoch, dass der stand-by Modus erst nach 10 Minuten aktiv wird.

Gibt es eine Gruppenrichtlinie die gesetzt werden kann, ohne an die Registry zu müssen? Ich finde keine.

Grüße
ClockHat

Kuemmel 8 hours ago

5 comments

Comment in: Desinfect mit alten Business Notebooks - sehe keine Windows-Partition

Ja, das gilt dann meist für die Consumer-Schlitten

MasterPhil 9 hours ago

23 comments

Comment in: Microsoft Problem SSO (AD - Entra)?

Zitat von @MasterPhil:

Bei uns äußert sich das Problem wie folgt:

Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.

Äußert sich das Problem bei dir so wie von mir beschrieben? Generell suche ich auch recht viel in Reddit oder MS Technet-Foren, aber wir scheinen hier ziemlich wenige zu sein, die solche Probleme melden. Bei uns fällt es auch nur bei den Geräten auf, die nicht persistent sind, wie Shared PCs oder Nicht-Persistente VDI Umgebungen.

Frostfach 9 hours ago

9 comments

Comment in: Gibt es das? Switch der selbst per PoE versorgt wird und per PoE verteilt?

Moin ich glaube du suchst so etwas

https://techspecs.ui.com/unifi/switching/usw-flex?s=us

aqui 9 hours ago

6 comments

Comment in: VLAN based central switching

dass User ohne VLAN-Zuteilung per Radius eine Fallback-VLAN-ID erhalten

#
DEFAULT         Cleartext-Password := "%{User-Name}"  
                         Tunnel-Type = VLAN,
                         Tunnel-Medium-Type = IEEE-802,
                         Tunnel-Private-Group-Id = 99 

Das zwingt nicht authorisierte User dann in das VLAN 99 in dem man dann z.B. ein Captive Portal mit einem Voucher oder Einmalpasswort abfragt.

FlexAuth mit local Termination/Switching musst du immer über Flex Profile lösen im WLC unter "Configuration -> Tags&Profiles -> Flex" (WLC 9800) Hier legts du ein Flex Profil an das alle VLANs enthält die der AP supporten soll unter dem Reiter "VLAN". Das musst du dem Policy Tag im WLAN hinzufügen.
Das ist bei Cisco durch die extreme Aufsplittung der Profile nicht ganz einfach und oft verwirrend.
Das Tutorial erklärt es aber recht gut.
Heutzutage gibt es eigentlich kein Argument mehr für Central Switching. Aus Performancegründen und sehr schlechter Skalierbarkeit bei aktuellen WLAN Geschwindigkeiten ist dies keine Option mehr und man sollte grundsätzlich immer auf local Switching gehen.
Du machst oben auch einen Denkfehler.
Es ist so wie Kollege @em-pie schon gesagt hat es geht nur entweder oder. Da du über die Profilsteuerung bei Flexauth die VLANs festlegen muss sind die VLANs festgelegt. Wenn der Radius dynamisch ein VLAN zuteilt was nicht im Flexprofil landet geht der Traffic ins Nirwana. Der AP verwirft diesen Traffic weil er den Tag nicht zuordnen kann und das lässt dann folglich auch ein Breakout am Controller scheitern denn woher soll der wissen welchen VLAN tag wenn diese Information fehlt.
Es geht nur entweder oder...

dertowa 9 hours ago

23 comments

Comment in: Microsoft Problem SSO (AD - Entra)?

Antwort des Supporters von heute.
Das Backendteam konnte keine Probleme in den Logos erkennen.
Man hat das nun noch mal eskaliert.

Ich vermute das zieht sich so nun bis zum nächsten Patchday auf wundersame Art und Weise die Probleme verschwinden.

Grüße
ToWa

McJoey 9 hours ago

6 comments

Comment in: VLAN based central switching

Aus FlexConnect VLAN Based Central Switching

FlexConnect VLAN Based Central Switching

From release 7.3 onwards, traffic from FlexConnect APs can be switched centrally or locally depending on the presence of a VLAN on a FlexConnect AP.

In controller software release 7.2, AAA override of VLAN (Dynamic VLAN assignment) for locally-switched WLANs puts wireless clients on the VLAN provided by the AAA server. If the VLAN provided by the AAA server is not present at the AP, the client is put on a WLAN mapped VLAN on that AP and traffic switches locally on that VLAN. Further, prior to release 7.3, traffic for a particular WLAN from FlexConnect APs can be switched Centrally or Locally depending on the WLAN configuration.

McJoey 9 hours ago

6 comments

Comment in: VLAN based central switching

Du willst, dass der Traffic am AP „ausbricht“.

Eben nein! Der Traffic soll nur DANN am AP ausgekoppelt werden, WENN das VLAN dort anliegt. Laut Doku macht "VLAN based Central Switching" genau das.

Central switching: Breakout am WLC
Local Switching: Breakout am AP

Ja, aber mein Ziel:

VLAN am AP nicht vorhanden --> Central switching: Breakout am WLC
VLAN am AP vorhanden --> Local Switching: Breakout am AP

ManuManu2021 9 hours ago

5 comments

Comment in: Wie am einfachsten aus Windows10 mehrseitiges Fax senden?

wieso nicht www.simple-fax.de ?

McJoey 9 hours ago

19 comments

Comment in: EAP-PEAP über Radius: cert "wird nicht vertraut"

Ist nicht nachzuvollziehen was du da schreibst.

tut mir Leid, gerne nochmal dargestellt: Egal, welche Zertifikate ich bisher in der Radius-Konfig "bemüht" habe: Die Clients zeigen diese Zertifikate immer an als "wird nicht vertraut", diese kann ich dann aber bestätigen mit Klick auf "vertrauen". Danach läuft alles. Auch mit selbstsignierten Certs, die NICHT vorher installiert wurden. Was mich auch wundert!

Mich stört das "wird nicht vertraut". Als sicherheitsbewusster User würde ich solch ein Zertifikat normalerweise nicht akzeptieren, aber aktuell muss ich meinen wlan-Nutzern sagen, sie sollen das trotzdem "abnicken". Dann läuft auch alles. Nur wenn das Cert validierbar wäre, dürfte diese Meldung doch gar nicht erst kommen? Oder doch?

Danke für die links, aber ich arbeite schon seit zwei Jahrzehnten mit Zertifikaten, oft selbstsignierten, public key shiffre, usw.. Ich werfe natürlich mal einen Blick rein, aber was mir eher helfen würde wäre eine gute Doku, wie genau die Radius-Auth abläuft. Da fehlt's mir leider an Wissen, da ich hiermit noch keine Erfahrungen habe.

Ein Zertifikat gilt immer zum Vertrauen eines Endgerätes oder eines Nutzers. Mit Verschlüsselung an sich hat es nichts zu tun.

Genau die liegt eines meiner "Probleme". Natürlich ist der primäre Zweck eines Certs die Authentifizierung, also Überprüfung, ob mein Gegenüber auch der ist, der er angibt, zu sein. Das bestätigt eben die jeweils zertifizierende Stelle. Sie bestätigt die Urheberschaft des im CN oder in den SANs eingetragenen Daten.

Wenn der WLAN-Client aber weder die IP des Radius-Servers kennt, noch dessen Hostnamen, noch die IP und Hostname vom WLC, das den Tunnel aufbaut,. und ich im Radius-Server nur ein Zertifikat angeben kann obwohl ich mehrere WLAN SSIDs verwalte, was soll der Client denn Überprüfen? Er kann doch nur prüfen, ob das Cert von einer vertrauenswürdigen CA signiert wurde (*), er kann damit NICHT den Radius-Server selbst authentifizieren.

*) genau das habe ich mit den Zertifikaten von LetsEncrypt und eigenen CAs sichergestellt (die eigenen CAs habe ich natürlich auf dem Client installiert und auch aktiviert (aktivieren ist beim iPhone leider nötig!). Dass den eigenen Certs auch vertraut wird habe ich mitttels Safari auch getestet. Nur beim WLAN-Aufbau kam wieder die Meldung "wird nicht vertraut".