Hallo Kleines Problemchen. Wir haben ein Büro in einem großen bürokompklex gemietet. In den Böden sind einige Netzwerkdosen. Allerdings einfach zu wenig. Nun haben wir ein Switch gekauft und mussten feststellen das es nicht klappt. Also das Haus Netzwerk vbersorgt uns mit ip's und Internet. Wenn wir zwei rechner über einen Switch an die vorhandene Funktionierende netzwerkdose klemmen bekommt meistens nur einer der Rechner eine Ip. Manchmal beide aber sehr unzuverlässig. Irgendwie kann ich mir das nicht erklären. Und unser Hausmeister hat von Netzwerk keine Ahnung. Wie kann es Technisch überhaupt möglich sein das man netzwerkleitungen nicht aufteilen kann? Was kann in dem Gebäude verbaut sein das man Pro Leitung nur eine Ip bekommt? Service ist bestellt aber bis die kommen würde mich einfach interesieren wie das möglich ist.
:
Verschoben durch User
Ist bei uns ähnlich, hier wird jeder Port an den zentral - Switches für für ein Netzwerkendgerät "freigegben". Wenn man ohne Information an die IT eine Switch anstöpselt, wird im schlimmsten Fall das gesamte Segment vom Netz getrennt. IT-Sicherheit und so.
Lucky schrieb: > Was kann in dem Gebäude verbaut sein das man Pro Leitung nur eine Ip > bekommt? Das ist in einem gemanagten Netz aus Sicherheitsgründen so vorgesehen. Da wird es einen Netzwerkadministrator geben, der sich damit auskennt. Abhilfe kann ein NAT-Router schaffen, der an einen der Haus-Netzwerkports angeschlossen wird, dann aber können andere PCs über das Haus-Netzwerk nicht mehr ohne weiteres auf PCs zugreifen, die an diesem NAT-Router angeschlossen sind.
Das nennt sich Port Security. Es wird in der Config des Switches eingestellt wie viele MAC Adressen pro Port erlaubt sind. Die ersten gewinnen die Pakete der weiteren MACs werden verworfen.
Ihr braucht einen Router...fertig. Die Switche im Gebäude sind als "Access Ports" konfiguriert...sobald LLDP Pakete darüber gehen wird der Port deaktiviert. Ist Standard in größeren Netzwerken
> bekommt meistens nur einer der Rechner eine Ip. > Manchmal beide aber sehr unzuverlässig. Das klingt mir eher nach einem Problem mit der Verkabelung als nach irgendwelchen absichtlichen Sperren, Port-Security und ähnlichem. Vielleicht ist die Verkabelung schon alt und die Klemmen oxidiert, vielleicht die Montage nicht sorgfältig gemacht, vielleicht die falschen Kabel oder falsche Buchsen verwendet etc. Sowas kann dann mit 10 MBit oder 100 MBit ne Weile gut gehen, sobald man dann aktuelle Gigabit-Geräte darüber anschließen will ist Schluss. Ich würde einen etwas besseren, auf solche Themen spezialisierten Elektriker holen und die Leitungen mit einem speziellen Messgerät durchmessen lassen. Dann sieht man sofort ob die taugen oder nicht.
Gerd E. schrieb: > Ich würde einen etwas besseren, auf solche Themen spezialisierten > Elektriker holen oder den Milchmann... Ganz ehrlich, zunächst sollte man den verantwortlichen ITler befragen. Da die Netzwerkinstallation und der Netzwerkservice zusammen mit dem Büro gemietet ist, ist nur der zuständig. Oliver
TestX schrieb: > Ihr braucht einen Router...fertig. Sorry aber das ist Blödsinn. Wenn man keinen Administrativen Zugriff auf das bestehende Netzwerk hat geht das nicht. Du musst ja dem existierendem Router sagen das es jetzt hinter einem neuen Router noch ein neues Netzwerk gibt. Ohne diesem Eintrag geht das nicht.
Lukas schrieb: > Du musst ja dem existierendem Router sagen das es jetzt > hinter einem neuen Router noch ein neues Netzwerk gibt. Ohne diesem > Eintrag geht das nicht. Doch, wenn der Router NAT macht. Und jetzt rate mal wie praktisch alle Plasterouter ausgeliefert werden... Was dann nicht geht ist das andere Leute auf die PCs hinterm Router zugreifen, aber das wurde bisher nicht gefordert. Aber Vorsicht: Mit Plasteroutern kann man in der IT Abteilung sehr schnell schlechte Laune verbreiten.
Jim M. schrieb: > Doch, wenn der Router NAT macht. Und jetzt rate mal wie praktisch alle > Plasterouter ausgeliefert werden... So isses. > Was dann nicht geht ist das andere Leute auf die PCs hinterm Router > zugreifen, aber das wurde bisher nicht gefordert. Und selbst das könnte man mit solchen "Plasteroutern" noch lösen. Man baut einfach Net2Net-VPNs zwischen den ansonsten quasi isolierten Teilnetzen hinter den "Plasteroutern" auf. Manche von denen können das von Hause aus. Z.B. die kaum bekannten Fritzboxen... > Aber Vorsicht: Mit Plasteroutern kann man in der IT Abteilung sehr > schnell schlechte Laune verbreiten. Das müssen die erstmal mitkriegen. Möglich ist es natürlich, erfordert aber schon Kenntnisse, Fertigkeiten und Zeit, die den normalen, unterqualifizierten, unterbezahlten und permanent überlasteten IT-Leuten einfach nicht zur Verfügung stehen. In Umfeld einer Niederlassung des BND mag das anders aussehen, in einem normalen Bürotower ist das absolut kein Ding. "Port-Security" hin und her, eigentlich ist das bei genauerer Betrachtung nur eine Instanz des letztlich immer untauglichen Konzeptes von "security by obscurity".
@ c-hater, in den meisten normalen neune Firmen-Netzwerken werden fremde, nicht an den Switchen bekannte Komponenten gesperrt und eine Nachricht an den zuständigen IT'ler gesendet. Passiert alles automatisch, nennt man SNMP... Da muss man nicht mal suchen oder das Netzwerk extra absuchen, macht die Technik von alleine, nicht nur beim BND :D Wenn man eine Büroeinheit in einem neumodischen Open-Space Komplex mietet, gehört dazu auch die IT. Hier bucht man dann auch die Netzwerkports und Ressourcen in den Netzwerkverteilern, eventuell hat da einer vergessen was als Option dazu zu buchen (Kapitalismus und so)?
EGS schrieb: > in den meisten normalen neune Firmen-Netzwerken werden fremde, nicht an > den Switchen bekannte Komponenten gesperrt und eine Nachricht an den > zuständigen IT'ler gesendet. Passiert alles automatisch, nennt man > SNMP... Du hast definitiv nicht begriffen, um welches Szenario es hier geht. Das ist eben nicht das (beliebig restriktive) Netz einer einzigen Firma, sondern ein Miet-Netz. Der Vermieter muß den Mietern den Betrieb eigener Netzwerkkomponenten erlauben, sonst findet er halt keine Mieter für sein Netz (und damit für seine Büroflächen)... Er kann aus niederen (=pekuinären) Beweggründen versuchen, diese Netzwerkkomponenten auf z.B. "Computer" und "Drucker" zu beschränken, durchsetzen kann er das aber eben nicht wirklich, "Port-Security" hilft ihm dabei exakt garnicht. Genau das ist der Punkt.
c-hater schrieb: > Der Vermieter muß genau das, was im Mietvertrag steht. Sonst gar nix. Da hier keiner weiß, was da steht, sind Mutmaßungen müßig. Solange aber niemand mal mit der häuslichen IT gesprochen hat, ist das alles sowie völlig egal. Wahrscheinlich ist das Problem in 2 Minuten lösbar. Oliver
c-hater schrieb: > Der Vermieter muß den Mietern den Betrieb eigener Netzwerkkomponenten > erlauben, sonst findet er halt keine Mieter für sein Netz (und damit für > seine Büroflächen)... So ein Unsinn. Dann schließt jeder seine Clusterfuck 5€ Router ausm Aldi an und dann geht auf einmal nichts mehr weil der eine Rouge DHCP announced und der andere ARP Spoofing startet und der nächste 200 Multicasts ins Netz wirft. In der Regel funktioniert das in derartigen Fällen dann so, dass der Mieter einen Router oder besser managed Switch von der IT in die Hände gedrückt bekommt welcher bereits konfiguriert ist (bzw. die Konfiguration automatisch bezieht) und dann auch mittels der zentralen IT verwaltet werden kann.
Egon N. schrieb: > Dann schließt jeder seine Clusterfuck 5€ Router ausm Aldi an Ganz genau das ist möglich und zwar jederzeit und TROTZ der teuer eingekauften und mehr oder weniger aufwendig administrierten "Port-Security". > und dann > geht auf einmal nichts mehr weil der eine Rouge DHCP announced und der > andere ARP Spoofing startet und der nächste 200 Multicasts ins Netz > wirft. Das wäre dann eindeutig eine Fehlkonfiguration der Infrastruktur des Netzbetreibers. Dann hätte er nämlich schlicht die Möglichkeiten nicht genutzt, die "Port-Security" bietet und die allesamt technisch durchaus sinnvoll sind, um das Netz zu schützen. Das ist auch überhaupt nicht der Punkt. Der Punkt ist vielmehr der, dass einige Betreiber versuchen, das "Port-Security"-Konzept zu benutzen, um technisch unnötige Restriktionen rein zur Profitmaximierung durchzusetzen. Und dass andererseits schon der Einsatz solcher handelsüblichen Plasterouter es ermöglicht, genau diese technisch sinnlosen Restriktionen zu umgehen. Wenn man denn weiß, was man tut...
Wenn mein LAN Traffic über einen fremden Switch läuft, find ich die Idee von c-hater mit dem plasterouter + VPN gar nicht so dumm.
c-hater schrieb: > Das ist auch überhaupt nicht der Punkt. Der Punkt ist vielmehr der, dass > einige Betreiber versuchen, das "Port-Security"-Konzept zu benutzen, um > technisch unnötige Restriktionen rein zur Profitmaximierung > durchzusetzen. Und dass andererseits schon der Einsatz solcher > handelsüblichen Plasterouter es ermöglicht, genau diese technisch > sinnlosen Restriktionen zu umgehen. Wenn man denn weiß, was man tut... Als Admin hat man aktive, fremde Netzwerkgeräte nicht zu tolerieren. Das schreibt jede Uni in ihre Richtlinie zur Netznutzung und große Firmen geben sowas genauso vor. Klar, bei der 5 Mann Klitsche die einen Telekom Speedport als Router und auch als NAS benutzt mag das nicht der Fall sein, aber sonst ist es einfach nicht akzeptabel. Router machen NAT und das erschwert einem Admin z.B. auf Sicherheitslücken zu prüfen und erst das QoS wird etwas komplexer bzw. kann durchaus Probleme bekommen wenn die Firma dann 200 Rechner über einen Plastikrouter anschließt, die kommen nicht auf die Idee, dass das ggf. Murks ist, nein, dann ist das Netzwerk des Anbieters schuld. Genau so etwas habe ich als ich ein derartiges Netzwerk mal administriert habe erlebt und die Leute sind dann auch noch uneinsichtig weil sie schlichtweg keine Ahnung von IT haben. Bei mir gibt es daher die Regel IP gibt es nur basierend auf Port am Switch, dann bis zu X Stück (5/8 Port dummer Switch ist erlaubt), alles andere wird gleich vom Switch gesperrt, wer die TTL verändert (kurz Router dran hat) wird auch gesperrt, wer irgendwelche IP Pakete mit fremden MAC Adressen verschickt wird auch gesperrt (das wird durch die PORT-IP-MAC Zuordnung sichergestellt).
Egon N. schrieb: > Als Admin hat man aktive, fremde Netzwerkgeräte nicht zu tolerieren. Definiere "aktive, fremde Netzwerkgeräte"! Bei dem Versuch, das zu definieren, wirst du schnell erkennen, dass das nahezu unmöglich ist (jedenfalls ohne DPI, was aber eben gerade nicht Bestandteil der üblichen "Port-Security" ist und zumindest in Deutschland bzw. der EU aus datenschutzrechtlichen Grunden außerhalb geschlossener Netze auch niemals sein könnte). Genau das ist ja der Knackpunkt. > Bei mir gibt es daher die Regel IP gibt es nur basierend auf Port am > Switch, dann bis zu X Stück (5/8 Port dummer Switch ist erlaubt), alles > andere wird gleich vom Switch gesperrt, wer die TTL verändert (kurz > Router dran hat) wird auch gesperrt, wer irgendwelche IP Pakete mit > fremden MAC Adressen verschickt wird auch gesperrt (das wird durch die > PORT-IP-MAC Zuordnung sichergestellt). Wow, du bist ja echt der Vollmacker. Vor dir muss man wirklich Angst haben. Vor allem diese TTL-Geschichte ist ja echt hochspannend. :o))))) Naja, ungefähr so auf deinem Niveau sind halt auch die üblichen Bürotower-Admins. Nur andeutungsweise netzwerktechnisch geschulte Hausmeister. Um das ganz klar zu sagen: dass es so ist, ist nicht deren Schuld. Sie sind halt nur sehr viel billiger als richtige Admins....
Beitrag #5277992 wurde vom Autor gelöscht.
c-hater schrieb: > Wow, du bist ja echt der Vollmacker. Vor dir muss man wirklich Angst > haben. Vor allem diese TTL-Geschichte ist ja echt hochspannend. :o))))) > > Naja, ungefähr so auf deinem Niveau sind halt auch die üblichen > Bürotower-Admins. Nur andeutungsweise netzwerktechnisch geschulte > Hausmeister. Um das ganz klar zu sagen: dass es so ist, ist nicht deren > Schuld. Sie sind halt nur sehr viel billiger als richtige Admins.... Und wie stellt sich der feine Herr das so vor? Jeder darf alles zusammenstecken wie er lustig ist? Fremdrouter stellen ein Sicherheitsrisiko dar. Du bist bestimmt dann so einer der dann 2 Wochen Stillstand im Netzwerk durch ein Loop produziert weil die Consumerscheisse bei den Firmen intern gebrückt wird und dann bei jedem klingelt und nachfragt ob er mal "messen dürfe". Jeder andere öffnet sein Postfach, liest die Mail die ihm der Splunk geschickt hat und weiß dann sofort was Sache ist.
Lucky schrieb: > Was kann in dem Gebäude verbaut sein das man Pro Leitung nur eine Ip > bekommt? https://www.cisco.com/c/en/us/products/switches/350x-series-stackable-managed-switches/index.html Die Ports können für "Telefon", Fax-Fotokopierer","Desktop PC", "Drucker" etc. mit oder ohne PoE konfiguriert werden. Jeden Montag Morgen dasselbe Problem. Muss wieder in den Serverraum und meine Workstation umpatchen, weil am Wochenende wieder jemand dran rumgefummelt hat. Viel Spaß beim "Dem-Kollegen-den-Patch-rausziehen-Spiel". Oder einfach Ausdrucke auf einem anderen Netzwerkdrucker machen lassen, indem man dessen Adresse einträgt. Plötzlich wundert man sich, dass der eigene Drucker Hunderte von Seiten eines Manuals ausdruckt, denn die Kollegen merken das auch und revanchieren sich entsprechend. Dann hat der Admin endlich eingegriffen und hat pro Abteilung eine feste Anzahl von "Geräten" festgelegt. ciao gustav
:
Bearbeitet durch User
Karl B. schrieb: > weil am Wochenende wieder jemand dran rumgefummelt hat. bist du der Admin? wenn ja, abschließen und warten wer mault.
Wenn du der Admin bist, warum dürfen dann andere dort "Rumfummeln" nach Lust und Laune? Da solltest du dann jeden Montag Morgen bei Probleme diese den Vorgesetzten/Chef Mitteilen und Beschweren das Mitarbeiter vorsätzlich die IT Manipulieren und den Betrieb Stören. Es ist Fraglich warum andere Änderungen vornehmen wenn das System läuft...
Kai A. schrieb: > Es ist Fraglich warum andere Änderungen vornehmen wenn das System > läuft... Hi, weil die Performance auf einigen "Ports" besser, bei einigen anderen "schlechter" (gewesen) ist. Kai A. schrieb: > warum dürfen dann andere dort "Rumfummeln" nach > Lust und Laune? Weil einige Leute, zum Beispiel der Chef selber, auch noch den Schlüssel zum Serverraum hatten. Am Wochenende liefen Extra-Projekte, die zum Optimieren und Austesten der Performance dienen sollten, wie es offiziell hieß. Dabei haben die Jungs eben wohl vergessen, den vorherigen Zustand nach Beendigung ihrer Tätigkeit wiederherzustellen. Beispielsweise Fotokopierer. Die Maximal-Blatt-Zahl pro Gerät war von der Leasing-Firma festgelegt. Mehr Kopien durften eben nicht gezogen werden, sonst hätten sich die vertraglichen Bedingungen wieder zuungunsten unserer Firma verändert. Da kamen die Leute auf die Idee, einfach Kopierer anderer Abteilungen netzwerkmäßig anzusprechen. Aber, wie gesagt, das Problem wurde so gelöst, dass es einen Haupt-Admin gibt. Jetzt bekommt jeder Port und jeder Rechner "seine" Rechte und mit welchen Druckern im Netz kommuniziert werden kann, je nach dem, was jeder Mitarbeiter zur Erledigung seiner Aufgabe auch wirklich braucht. Und grundsätzlich wurde per ordre de muffti die Parole ausgegeben "go green", also Anzahl der Fotokopien einzugrenzen und Papier zu sparen. ciao gustav
EGS schrieb: > @ c-hater, > > in den meisten normalen neune Firmen-Netzwerken werden fremde, nicht an > den Switchen bekannte Komponenten gesperrt und eine Nachricht an den > zuständigen IT'ler gesendet. Passiert alles automatisch, nennt man > SNMP... Das ist was anderes. Das ist in etwa so wie zu behaupten, der Postbote gehört zum Finanzamt, nur weil der auch die Steuerbescheide in den Briefkasten wirft.
Echt Leute ... klar, es gibt da verschiedene Möglichkeiten ... ich weiß ... aber bevor hier zuviel Spekulatius betreiben wird, wäre die richtige Antwort : "Suche bitte den zuständigen IT-ler für die Mietsache und frage diesen" Die "vernünftigste" Möglichkeit wäre tatsächlich die, dass man vom Hausnetz erstmal nur eine IP, vermutlich per DHCP zugewiesen bekommt und dann einen NAT-Router o.ä. dahinter klemmen muss. Damit käme man zu den Nutzungsbedingungen, die der Vermieter bzw. dessen IT-Verantwortlicher vorgibt. Ob der Mietgeräte in Petto hat, oder man selbst seine Fritzbox anklemmen darf ... keine Ahnung. Das KÖNNEN wir hier nicht wissen, hier sollten wir dem TO freundlich raten, dies bei der zuständigen Stelle einfach mal nett zu erfragen. Der Hausi MUSS es nicht wissen, SOLLTE aber zumindest wissen, wer IT im Objekt macht. Vorher brauchen wir uns hier doch nicht vor dem TO lächerlich machen und uns mit Spekulatius beharken. Und bevor mich jetzt einer unqualifiziert anmault, ich arbeite mit so Zeugs im ganz großen Stil für fast 60.000 User in einer Struktur von mehreren hundert VLANs über mehrere Standorte einer Großstadt verteilt. Und natürlich isses verboten hier privaten Scheiss anzuklemmen. Halten sich aber auch nicht alle dran ;-) jaja, abschliessbare Netzwerkdosen wären sooooo geil. Erstmal freundlich fragen, dann gibts auch freundlich Antwort ... ausser hier. Gruß
Zusatz, zu dem was z.B. Gustav schreibt : Klar, in einer Idealen Welt könnte man die Netzwerksicherheit schön gradlinig durchziehen, es gibt einen bis mehrere ausgebildete Netz-Admins die, und NUR die, sich darum kümmern, dass da keine Lötzinn veranstaltet. Dann die dementsprechende Gouvernance um denen den Rücken zu stärken und die Durchsetzungsfähgikeit zu verleihen. Den ganzen Ärger mit Loops und weiss der Geier was noch, hatte ich auch schon alles. Das ist alles großer Mist. Aber ganz ehrlich, auch mit einer technisch wertvollen Ausstattung kann man bei fehlender Kenntnis und Gouvernance schön in die Kacke greifen. Stellen wir uns mal vor, wie so eine Objektbetreuung einer gewerblichen Mietsache funktioniert ... glaubt ihr daran, dass da wirklich ein gut ausgebildeter und ausreichend bezahlter Netzwerker sitzt und genau im Blick hat, wies läuft ? Da kannste noch so sehr mit CISCO, Juniper und dem ganzen Halligalli arbeiten. Wenn der Vermieter den Netzi mies bezahlt und ihm auf die FInger klopft, wenn er die Frechheit besitzt dem Edelmieter seine EDIMAX, D-LINK oder Netgear Infrastruktur zu missgönnen ? Dann ist man doch froh, wenn der Mieter wenigstens mit ner Fritzbox antanzt oder ? Also, eine große Bandbreite an Möglichkeiten, die aber nur der Vermieter wissen kann und sollte. Und selbst, wenn das was der Vermieter und sein ITler da veranstalten in unseren Augen "falsch" oder "Mist" ist, hilft das unserem TO nur zu entscheiden, das so als Mietbedingung zu akzeptieren oder sich ein besseres Objekt zu suchen. Als günstige Kompromisslösung könnte jeder Bürouplink mit eigenem VLAN und /31-Subnetz ausgestattet sein, die Daten werden dem Mieter zur Eigenkonfiguration überlassen und der dahinter stehende Layer-3-Switch kann robust per Portsperrung mit Fehlern wie Loop im Clientnetz umgehen. Nicht 100% sexy, aber Kostengünstig für die Vermieterseite. Naja, jetzt hab ich mich auch verspekuliert AAAARGHHH Gruß
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.