DerMarcus

Unter Umständen geht dein Ping Echo Request auch bis zum Ziel, aber der Eco Replay wird eventuell nicht bis zu deinem Rechner durchgelassen. Ich hab selber schon erlebt, dass manche billigen SOHO Router, die vom Hersteller aus primär dazu gedacht sind, um einen Internetzugang zu ermöglichen, nicht in beide Richtungen wie normale Router funktionieren. So konnte man bei einem Netgear Gerät zum Beispiel nicht einstellen, dass Ping von "WAN"-Seite durchgeroutet werden soll. Es gab ein Häkchen, um das WAN Interface auf Ping antworten zu lassen - aber keine Möglichkeit, das Routing oder die Firewall entsprechend einzustellen. Eventuell bist du mit deinen Geräten auch eingeschränkt.

Gott sei Dank gibt es hier tatsächlich Leute, die auch nicht 65 - 70 Stunden pro Woche Arbeiten wollen. Ich hab mich echt schon gefragt, was hier los ist. Ich persönlich habe keine Lust, der Powerworker Hanswurst 2000 mit Wake-on-Blackberry-funktion am Wochenende zu sein. Burnout ist mittlerweile keine Luxuskrankheit mehr, das bekommen besonders gerne immer erreichbare, überarbeitete IT Spezialisten. Irgendwo lebt man doch auch, um mal nicht zu arbeiten. Selbst wenn man in seiner Arbeit aufgeht, muss es mal Pausen und Zeit für anderes geben. Würde jemand derart intensiv seinem Hobby nachgehen, würde er direkt als Taugenichts abgestempelt. Arbeitet man aber derart exzessiv ist das in Ordnung.

Du könntest alternativ auch Split Tunneling konfigurieren. Beim Split Tunneling läuft nur der Traffic für das VPN Netz in den Tunnel und alles andere geht ins Internet. Damit hast du quasi schon automatisch eine "Weiche". Allerdings ist das nicht auf einzelne Dienste beschränkt, sondern das gesamte Internet ist zugänglich. Eine Sache gibt es da aber zu bedenken. Angenommen, der Rechner ist aus dem Internet erreichbar und hat den VPN Tunnel offen. Er könnte kompromittiert werden und einem Angreifer so Zugriff auf Ressourcen im VPN Netz.

Eben. Leider ist es mir aus technischen Gründen momentan nicht möglich, die VPN User in einen eigenen Netzbereich oder in einen Teilbereich des LANs "fallen zu lassen". Und da der Zugriff DMZ -> LAN genau so abgeschottet ist wie Internet -> LAN (bis auf den Unterschied, dass man aus der DMZ auch SMB erreicht), halte ich das noch für relativ unbedenklich. Es wäre allerdings fatal, wenn ein Eindringling in die DMZ geraten würde und eine Verbindung zu einem Netzlaufwerk (auch nur mit entsprechenden Domänenrechten erlaubt) herstellt. Von daher wollte ich gerne mal andere Meinung dazu hören.

Hallo Zusammen! Ich benötige mal eine kleine Einschätzung. In meinem Unternehmen wurde vor Kurzen ein VPN- Zugriff eingerichtet. Die User landen IP-technisch in der DMZ. Das genügt soweit auch erstmal, allerdings sollen die Benutzer auch Zugriff auf die Netzlaufwerke im internen LAN haben. Also hab ich auf der Firewall zwischen LAN und DMZ im Grunde die selben Berechtigungen wie zwischen LAN und Internet eingestellt. Nur halt zusätzlich, dass aus der DMZ der SMB-Port im LAN angesprochen werden darf. Habt Ihr das Bedenken oder kann man das so lassen? Grüße, Marcus

Zum Fachkräftemangel gibts sogar einen eigenen Thread, das wäre hier also zu weit ausgeholt. Aber natürlich wollen die Unternehmen möglichst die besten Absolventen, das ist ja nix neues. Unter anderem wohl aus dem Grund, dass manche Leute nicht mit einem Schulabschluss von der Schule gehen, der Ihnen eine Ausbildung ermöglicht. Die Vorraussetzungen für eine schulische Ausbildung sind weitaus geringer. Und anders als bei einem Berufsgrundschuljahr hat man am Ende sogar was in der Hand. Oder wenn du komplett Branchenfremd ausgebildet bist und in die IT-Branche willst. Das könnte zumindest ein Einstieg sein. Und wenn dein Notenschnitt nicht passt..naja, das Problem hat jeder Schulabgänger. Ich denke aber, dass du mit nem ITA ganz gute Chancen auf eine Ausbildung im IT-Bereich hast (Wenn dein Notenschnitt nicht grade bei 4.0 liegt. Grade Bonn/Rhein-Sieg bietet da einen Haufen Stellen an.

Das ist soweit richtig. Wenn man aber jemanden "von der alten Schule" da sitzen hat, missfällt demjenigen das unter Umständen. Und jemand anders wird sich wohl nicht dran stören, insofern ist man mit der groß geschriebenen Anrede auf der sicheren Seite. Nur meine zwei Cents.

Das hört sich so an, als solltest du in einer virtuellen Maschine ein Fly4L installieren (Diskettenimage) und entsprechend konfigurieren. Die VM stattest du mit virtuellen Netzwerkinterfaces aus und simulierst Netze an beiden. Kann das sein? Ist das ganze als Übung gedacht oder produktiv?

Für die Katz waren die drei Jahre sicher nicht. Du hast die abgeschlossene Ausbildung und die nimmt dir keiner mehr weg. Mein Eindruck ist allerdings, dass eine rein schulische Ausbildung tatsächlich oft als geringwertiger betrachtet wird. Der fehlende praktische Anteil der Ausbildung stößt den Unternehmen wohl sauer auf. Auf meiner Berufsschule haben fast alle ITAs nach Ihrer schulischen Ausbildung eine duale Ausbildung zum FiAe oder FiSi angefangen, nur wenige haben eine Anstellung bekommen. Außerdem solltest du bedenken, dass der ITA in NRW auch nur in NRW anerkannt ist (war zumindest auf meiner Berufsschule so). Das mag sich erstmal egal anhören, aber es kann durchaus sein, dass du mal in ein anderes Bundesland gerätst.

Bootet er auch das korrekte Image? Eventuell liegt noch ein altes, kaputtes Image im Flash. Schau dir im rommon mit "dir" mal an was da liegt und starte mit "boot" das korrekte Image.

:eek Wie willst du das denn begründen? Welcher Schaden ist dir entstanden und wieviel? Deine "Materialkosten"? Die addieren sich doch nichtmal zu 3,- €

Sehe ich auch so. Viele haben auch entsprechende Klauseln in ihrem Vertrag. Wobei der Grundgedanke des Studierenden ohnehin sein sollte, dass er sich langfristig bei dem Unternehmen engagiert, während das Unternehmen das Studium analog als Investition betrachten sollte. Natürlich zahlt das Unternehmen drauf während der Ausbildung. Daher ist so eine Vertragsklausel in meinen Augen auch in Ordnung. Der vorhin erwähnte Personaler scheint das aber nach dem Muster zu sehen, dass er dann eine nicht ausgebildete Arbeitskraft hat, die die Hälfte der Zeit nichtmal da ist. "Und dann soll die noch Geld bekommen?!" Aber es ist ja nicht Sinn der Sache, den Unternehmen vollwertige Arbeitskräfte zu stellen. Vielmehr sollen die Unternehmen die Gelegenheit bekommen, sich Fachkräfte für den eigenen Gebraucht anzulernen. Aber das artet hier sonst noch aus. Was ich sagen wollte: Lass dich nicht übers Ohr hauen. Du kannst ganz klar ein Gehalt in Höhe einer durchschnittlichen Ausbildungsvergütung verlangen. Du bist nicht der Bückling, der um einen Studienplatz bettelt, du bist eine Investition für das Unternehmen.

Ich studiere an einer BA in Schleswig-Holstein Wirtschaftsinformatik. Ich habe bei meinen Kommilitonen durchschnittlich festgestellt, dass alle in etwa das Gehalt eines Auszubildenden bekommen. Da gibt es dann mal mehr oder weniger starke Abweichungen je nach Betrieb. Da reicht die Spanne dann von ~300 Euro bis ~800 Euro. An einen Mindestlohn glaube ich nicht. Die Krönung bei einem Vorstellungsgespräch war, als er mir allen Ernstes erzählen wollte, man müsse dann sehen, ob ich dem Betrieb noch was geben müsse, weil es ja Studiengebühren zu zahlen gäbe. Solche Betriebe sollten sowas garnicht erst anbieten, da stimmt der Grundgedanke nicht.

Und wenn der Client dann z.B. auf den Rechner mit der IP 1.0.0.2 zugreifen will? Die passt in jedes am Client angeschlossenes Netz. Angenommen der Client hat 2 Netzwerkkarten: eth0: im Netz 1.0.0.0/29 eth1: im Netz 1.0.0.0/28 Wenn er nun mit der 1.0.0.2 kommunizieren will: Welches Interface muss er benutzen? Die 1.0.0.2 passt sowohl in das Netz an eth0, als auch an eth1. Er kann ja garnicht entscheiden, wohin er nun IP-technisch muss. /€dit: Außerdem glaube ich, dass diese Konfiguration von den meisten OS nichtmal zugelassen würde, aber vielleicht lehne ich mich da zu weit aus dem Fenster.

Sowas in der Art meinte ich auch. Wenn irgendwas kniffliges pfiffig gelöst wird, ist das cool. Das macht es komplex UND interessant.

Ach, nicht? Warum? Meines Wissens stellst du den Projektantrag für ein Projekt, das du durchführst. Das liegt also (prinzipiell) bei dir. Wenn du nichts anderes machen kannst: Such nach einem gewissen Coolnessfaktor. Selbst wenn dein Projekt von den Anforderungen her ausreicht ist AD immer so ein Kandidat, den die Prüfer schon -zig mal gesehen haben und noch -zig mal sehen werden. Und dann sind die Projekte auch noch alle sehr ähnlich. :schlaf: Also schau mal, ob du nicht noch etwas Interessantes einbauen oder die Rahmenbedingungen interessanter gestalten kannst.

Stell dir dann doch besser einen Nagios Server mit GSM-Modul hin. Da hast du Überwachung und Benachrichtigung in einem Gerät. Falls du dann noch Internetzugriff willst reicht auch ein billiger 08/15 Router.

Irgendwer hat die immer. Hör dich mal in deiner BS Klasse um. Quasi alles. Kommt aber auch auf den Betrieb an. Eine Projektarbeit, die dein Betrieb nicht erfüllen kann, ist Schmökes. Schau dir mal an was bei euch so läuft und frag dich, was einen gewissen Coolness-Faktor hätte. Guck dir das Inhaltsverzeichnis mal an und gut ist. Das Handbuch ist nur bei Detailkram wie TCO-Normen hilfreich, damit man sich sowas nicht merken muss. (Was manche Leute mit ihren bunten Klebereitern da veranstalten ist mir schleierhaft.) In unserer BS-Klasse ging ein Dokument mit den aufgedröselten Themenvorgaben für unseren Jahrgang herum. Basierte meines Wissens auf den Schullehrplänen und den Vorgaben der IHK. Wo das genau herkam weiß ich jetzt aber nicht mehr. Das war natürlich viel zu viel, aber man kann zumindest die Themen rauspicken, die einem vermeintlich garnix sagen.

Den Eindruck habe ich auch bekommen. Ich hatte gehofft, dass hier Jemand entweder den selben Fall schonmal gelöst hat oder ich etwas eklatantes übersehen hätte. Ich fürchte, das Gerät ist schon von der Firmware her so zugeschnitten, dass es als Internet-Zugang genutzt werden kann, aber nicht als Netzwerkrouter. Schade.

Ich hab mal einem LAN-Rechner eine zu bevorzugende Route ins WLAN eingetragen. Von diesem Rechner aus habe ich dann einen Rechner im WLAN angepingt. Wieder nichts. Laut Traceroute geht er zwar direkt an den Sitecom Router, aber danach ist wieder schluss. Das Log des Routers hat davon garnichts eingetragen, scheint aber auch nur Logins (gescheitert, erfolgreich) und Verbindungsversuche zum Router einzutragen. Netzwerkverkehr wird da garnicht geloggt. Auch interessant: Der Router antwortet bei einem Ping aus dem LAN von seinem Interface im LAN , aber nicht von seinem WLAN Interface. Die Maschine wird also definitiv erreicht, er leitet nur nicht weiter.

Schau mal nach WLAN-Ticket-System.

Klar ist auf dem Default-Gateway des LANs eine Route in das WLAN drauf. Hab ich ja eingerichtet. Das Routing funktioniert soweit auch, denn wie ich im vorigen Beitrag geschrieben habe, werden die Pakete aus dem LAN schon an den Sitecom-Router geschickt, aber nicht darüber hinaus. Probleme macht lediglich der Sitecom-Router, der sich beharrlich weigert, "normal" zu arbeiten.

Hah! Richtig! Spanning Tree war das Zauberwort!

Wie schon gesagt finden Loops nur bis OSI LAyer 2 statt, nicht darüber. L2TP als VPN-Protokoll setzt auf Layer 2 auf. Prinzipiell könnte man also argumentieren, dass auch Loops übertragen werden. IPSec beispielsweise setzt auf Layer 3 (IP halt) auf. Allerdings muss meines wissens bei eines Site-to-Site Verbindung auch bei L2TP immer eine Art Gateway an jedem Standort stehen. Ich denke mal, dass da dann spätestens Schluss wäre mit dem Loop. Aber in einem voll geswitchten Netz sollten Loops doch ohnehin kaum auftreten, oder vertu ich mich da jetzt?

Das Netz ist etwas größer, aber ungefähr so, ja. Vereinfacht könnte man sagen: Internet <-> Router <-> DMZ <-> Router/Firewall <-> LAN <-> SiteCom <-> WLAN Die Routen vom LAN ins WLAN sind gesetzt, in der Theorie sollte das funktionieren. Zu den Tests: Ein Ping aus dem LAN ins WLAN funktioniert nicht. Anhand eines Traces habe ich festgestellt, dass das Paket zum SiteCom-Router geleitet wird und dass danach nichts mehr kommt. Da das Laptop im WLAN auch keinen Ping bekommen hat (Sagt der Kabelhai), muss der Router das rausgefiltert haben. Obwohl ich die Funktion "Discard Ping from WAN Site" explizit deaktiviert habe, habe ich noch einen Zugriff auf einen Webserver auf dem Notebook getestet. Das hat genauso versagt wie ein Telnet auf einen offenen (und auf dem Router in beide Richtungen freigegebenen) Port. Mach ich allerdings einen Ping von meinem Notebook (WLAN) ins LAN, so wird der auch entsprechend beantwortet. Zugriff auf einen Webserver funktioniert auch. Verbindungen können also vom WLAN (intern) ins LAN (extern) initiiert werden, um gekehrt jedoch nicht. Das ist zwar das ganz normale Verhalten eines 08/15 Routers, wie ihn Lieschen Müller braucht, aber hier nicht erwünscht.