Forum: PC Hard- und Software Routerkaskade sinnvoll?

ähhh, ich suche noch die 'Kaskade'
In Deiner Aufzählung sehe ich nur zwei Router, wobei der Router im 
Keller eher nache einem Repeater/Accesspoint klingt.
Welchen Sinn würde ein zusätzliches Routing machen? Wie würdest Du die 
verschiedenen Netze aufteilen und wer muß auf was zugreifen können? Und 
warum?
Und was hat das mit dem Home Office zu tun?

Wozu soll das gut sein?

Ueblicherweise unterbinden kommerzielle VPN-Clients jeden weiteren
Zugriff auf andere Netze, ausser dem Zielnetz des VPNs.
Ob da ein Router mehr oder weniger ist, ist da voellig irrelevant.

Gegen welches Risiko willst du absichern? Zugriff vom Homeoffice-Laptop 
auf dein sauberes Heimnetz, oder Zugriff von deinem potentiell 
durchgeschweinten Heimnetz auf den Homeoffice-Laptop?

Wenn die IT den dir gestellten Laptop gut konfiguriert hat, ist es egal. 
Da kommt keiner rein, der nicht rein soll, und du kommst vom Laptop aus 
nicht auf dein Heimnetz. Merkst du spätestens, wenn du trotz gleichem 
Netz nicht drucken kannst.

(prx) A. K. schrieb:
> ... Merkst du spätestens, wenn du trotz gleichem
> Netz nicht drucken kannst.

Moeglicherweise koennte er noch per Bluetooth zu Hause drucken. :)
Wenns schnurlos sein soll.

Mirko schrieb:
> Hinzukommen würde noch ein Notebook, dass als Homeofficegerät fungiert
> und sich über einen Tunnel ins Firmennetzwerk einwählt.

Prinzipiell geht Homeoffice auch übers Notebook, aber ergonomisch ist 
was anderes.
Fürs Homeoffice brauche ich soviel Bildfläche wie möglich, um effektiv 
arbeiten zu können. Also kommt nur der PC mit 1 besser 2 großen 
Bildschirmen in Frage.
Homeoffice läuft bei uns über Citrix, d.h. Du arbeitest immer auf Deinem 
Firmen-PC und mit den dort installierten Programmen.

Vermutung: Du verwechselst Router mit WLAN Access Point und eventuell 
Netzwerk Switch.

In Deinen Setup ergeben mehrere Router keinen Sinn bzw. Mehrwert.

Ich habe in einem sehr viel komplexeren Setup im Heimnetz genau einen 
Router stehen. Der verbindet mein Netz mit dem des Internetproviders. 
Dazu kommen drei Access Points (einer pro Etage) und 4 Switche mit 24+ 
Ports (davon zwei mit PoE) und 3 Switche mit 5 Ports (zu wenig Kabel an 
einigen Stellen). Meine Access Points nutzen jeweils mehrere SSIDs (WLAN 
IDs) und zusätzlich nutze ich an einigen Stellen noch VLANs zur 
virtuellen Trennung der Netze.

Ich stecke den Homeoffice Laptop meistens ganz normal per Kabel an das 
Netz an. Für mehr Sicherheit würde ich ein VLAN mit eigenem Subnetz im 
Switch und Router genau für diesen Port/Laptop konfigurieren.

Hallo,

das ist ja schonmal ganz interessant zu vernehmen, dass die Meinung zu 
meiner Idee und meinem Gebrauch eher ungewöhnlich als auch uninteressant 
sei.

Im Groben dachte ich die Kaskade so aufzubauen:

Wolke -> Router 1 -> Router 2

Router 1: Geräte die von Außen erreichbar sein sollten, wie z.B. ein NAS 
und/oder Drucker.
Eventuell ein Extra Gästenetzwerk... oder eben dies nutzen.

Router 2 -> Adblock: Smartphone, PC, Notebooks und Streaming Box.


So wahrscheinlich für den Heimgebrauch eher Overkill... interessant fand 
ich es dennoch irgendwie

Peter D. schrieb:
> Prinzipiell geht Homeoffice auch übers Notebook, aber ergonomisch ist
> was anderes.

Heutige Notebooks können oft mindestens 2 externe Bildschirme 
anschliessen. Gerne auch per Docking-Station über einen einzigen 
USB-C-Anschluss.

Es ist wesentlich ergonomischer, einen Laptop ab und zu in die Firma und 
zurück zu transportieren, als einen Desktop oder Tower. Die Firma-IT 
kommt nämlich garantiert nicht zu dir nach Hause, wenn eine 
Neuinstallation oder ein Upgrade auf Win12 ansteht.

Überlasse diese Gedanken lieber der IT, die den Laptop stellt. Die wird 
wahrscheinlich noch keine Mini-PCs für die Jackentasche vorsehen, auch 
wenn das allmählich in Frage käme.

Peter D. schrieb:
> Homeoffice läuft bei uns über Citrix, d.h. Du arbeitest immer auf Deinem
> Firmen-PC und mit den dort installierten Programmen.

Ist eine Variante, aber auch das wird vom Unternehmen vorgegeben, nicht 
vom Mitarbeiter. Wobei der "Firmen-PC" dann vielleicht virtualisiert in 
der internen Cloud des Unternehmens steckt, nicht als Blech im Regal 
oder auf dem Schreibtisch.

Natürlich bist du mit einer Routerkaskade sicherer, wenn du zwei 
verschiedene Hersteller verwendest noch besser. Es bietet sich auch an 
z.B. OpenWRT auf einem Router zu verwenden um Adblock NAS Hausautomation 
usw. zu realisieren.

(prx) A. K. schrieb:
> Heutige Notebooks können oft mindestens 2 externe Bildschirme
> anschliessen. Gerne auch per Docking-Station über einen einzigen
> USB-C-Anschluss.

Kommt drauf an, welche Tätigkeiten man im Homeoffice ausführen soll. Ich 
möchte jedenfalls nicht noch ein Notebook samt Kabelgewirr, Netzteil 
usw. auf dem Tisch liegen haben und damit in Altium arbeiten müssen.

Zur IT muß mein PC nicht. Es gibt eine Anleitung für die Installation 
des Citrix Client und meine Zugangsdaten, das wars.
Ob nun mein Home-PC Windows, Linux oder macOS bootet, interessiert die 
IT nicht.
Man kann unter Citrix einen lokalen Drucker anmelden, wenn man denn 
einen hat.
Ich finde Citrix ganz bequem, man muß nichts hin und herschleppen.

Rüdiger B. schrieb:
> Natürlich bist du mit einer Routerkaskade sicherer, wenn du zwei
> verschiedene Hersteller verwendest noch besser.

So pauschal ist diese Aussage Unsinn.

Ein zweites NAT kann Vorteile bringen aber wer auf die Idee kommt seinen 
Drucker aus dem Internet erreichbar zu machen, wird bei dem Versuch das 
richtig zu konfigurieren mehr Schaden anrichten als Nutzen haben.

Je mehr man hat, desto mehr muß upgedatet werden oder kann kaputtgehen.

Peter D. schrieb:
> Kommt drauf an, welche Tätigkeiten man im Homeoffice ausführen soll. Ich
> möchte jedenfalls nicht noch ein Notebook samt Kabelgewirr, Netzteil
> usw. auf dem Tisch liegen haben und damit in Altium arbeiten müssen.

VPN-Laptops für Homeoffice haben bei uns exakt ein Kabel, per USB zum 
Dock. Über das läuft Strom, Bildschirme, separate Tastatur etc. Der Rest 
ist fest am Dock installiert.

> Zur IT muß mein PC nicht. Es gibt eine Anleitung für die Installation
> des Citrix Client und meine Zugangsdaten, das wars.

Citrix ist eine völlig andere Baustelle, weil in keiner Weise von einem 
Firmengerät zu Hause abhängig. Um Citrix dürfte es hier aber nicht 
gehen:

Mirko schrieb:
> Hinzukommen würde noch ein Notebook, dass als Homeofficegerät fungiert
> und sich über einen Tunnel ins Firmennetzwerk einwählt.

Das sich über VPN ins Firmengerät verbindende Notebook darf also wohl 
als gesetzt gelten.

Citrix benötigt auch keine davon unabhängige VPN.

(prx) A. K. schrieb:
> Citrix ist eine völlig andere Baustelle, weil in keiner Weise von einem
> Firmengerät zu Hause abhängig.

Ja, Citrix ist sehr komfortabel. Auf dem Remote-PC müssen keine 
Anwendungen nochmal installiert und konfiguriert werden, es gibt keinen 
Hassle mit Lizenzservern, Zugriffsrechten usw. Citrix ist quasi nur ein 
Terminalprogramm.

Es gibt natürlich Außendienstmitarbeiter mit Firmen-Notebook. Mit denen 
würde ich aber nicht tauschen wollen, überall klemmt es. Auch benötigen 
die Anwendungen dessen CPU und RAM, da jault der kleine Lüfter öfters 
mal auf und man kriegt heiße Knie.
Citrix mit einem virtuellen Firmen-PC auf dem Server wäre eine Option. 
Aber dazu braucht man immer eine stabile Verbindung, was im Zug, Flieger 
oder Ausland problematisch sein kann.

Viele Unis verwenden Citrix, z.B.
https://www.hilfe.uni-passau.de/digital-workspace/citrix

Peter D. schrieb:
> Citrix mit einem virtuellen Firmen-PC auf dem Server wäre eine Option.

Hauptsächlich braucht man dafür eine IT, die es anbietet. Wegen einem 
einzelnen Mitarbeiter wird sie das aber nicht neu einführen. Wir hatten 
anno Corona bereits beide Verfahren im Einsatz und verwenden sie je nach 
Rolle und Arbeitsweise des Mitarbeiters.

> Aber dazu braucht man immer eine stabile Verbindung, was im Zug, Flieger
> oder Ausland problematisch sein kann.

Bei mobilen Anwendern kommt Citrix nicht in Betracht.

(prx) A. K. schrieb:
> Hauptsächlich braucht man dafür eine IT, die es anbietet.

... und die bereit ist, die nicht unerheblichen Lizenzgeführen dafür 
abzuführen. Die nämlich kommen zu den ebenfalls nicht unerheblichen 
Lizenzgebühren des nötigen Windows-Servers nebst TSCALs noch dazu, und 
wenn mit dem MS Orifice-Paket gearbeitet werden soll, kommen dessen 
Lizenzgebühren (für jeden Nutzer zwingend eine Vollversion) auch noch 
drauf.

Wenn man eine Gelddruckmaschine im Keller stehen hat, ist das alles kein 
Problem ...

Harald K. schrieb:
> ... und die bereit ist, die nicht unerheblichen Lizenzgeführen dafür
> abzuführen.

Ich denke mal, wenn auch Unis sich das leisten können, wird das ja 
übermäßig nicht sein.

Harald K. schrieb:
> Wenn man eine Gelddruckmaschine im Keller stehen hat, ist das alles kein
> Problem ...

Spart aber wiederum, ein Notebook zu stellen, zu supporten und instand 
zu halten und mir den Platz für das Geraffel. Die werden das schon 
durchkalkuliert haben, womit der Aufwand für das Homeoffice günstiger 
ist.
Man spart ja auch für die Anwendungen nicht unerheblich an Lizenzkosten, 
wenn sich die PCs aus einem Pool bedienen und nicht jeder eine Lizenz 
exklusiv für sich benötigt.

Peter D. schrieb:
> Ich denke mal, wenn auch Unis sich das leisten können, wird das ja
> übermäßig nicht sein.

Die bekommen spezielle Ausbildungslizenzen, um den Markt "anzufixen". 
Das ist also kein realistisches Vergleichskriterium.

Peter D. schrieb:
> Man spart ja auch für die Anwendungen nicht unerheblich an Lizenzkosten,
> wenn sich die PCs aus einem Pool bedienen und nicht jeder eine Lizenz
> exklusiv für sich benötigt.

Sieh Dir mal genau die Lizenzbedingungen von Microsoft für den Einsatz 
auf Terminalservern an (was der Unterbau von Citrix ist) - Du wirst 
überrascht sein, was Deine Idee mit dem "Pool" betrifft.

Da lizenziert man für jeden möglichen Benutzer, nicht für alle 
gleichzeitig aktiven Benutzer.

Ist ja auch klar, denn das bringt mehr Geld.

Mirko schrieb:
> die Idee eine Routerkaskade umzusetzen.

Warum sollte man das geil finden ?

Jedes dieser Teile frisst Strom, und das nicht zu knapp.

Je weniger man unbedingt braucht, je besser, und alles was per Kabel 
erreichbar ist, sollte man per Kabel verbinden.

Motopick schrieb:

> Ueblicherweise unterbinden kommerzielle VPN-Clients jeden weiteren
> Zugriff auf andere Netze, ausser dem Zielnetz des VPNs.

Nein, das ist völlig unmöglich. Sie müssen mindestens für den 
Transportkanal (also die Hülle des VPN-Tunnels) weitere Ausnahmen 
machen.

Warum? Weil es ansonsten völlig unmöglich wäre, das VPN aufzubauen und 
am Leben zu erhalten.

Klar soweit?

Und es ist sogar relativ viel, was alles in dem Netz laufen muß, aus dem 
heraus das VPN aufgebaut wird. Davon kann dann zwar etliches nach Aufbau 
des VPN eingeschränkt werden, aber vieles davon muss auch weiterhin 
laufen.

Peter D. schrieb:
> Fürs Homeoffice brauche ich soviel Bildfläche wie möglich, um effektiv
> arbeiten zu können. Also kommt nur der PC mit 1 besser 2 großen
> Bildschirmen in Frage

Dockingstations gibt es fast so lange wie Notebooks und seit einigen 
Jahren auch einfach über USB-C. Einen PC braucht im Jahr 2024 kaum 
jemand.

Ob S. schrieb:
> Motopick schrieb:
>
>> Ueblicherweise unterbinden kommerzielle VPN-Clients jeden weiteren
>> Zugriff auf andere Netze, ausser dem Zielnetz des VPNs.
>
> Nein, das ist völlig unmöglich. Sie müssen mindestens für den
> Transportkanal (also die Hülle des VPN-Tunnels) weitere Ausnahmen
> machen.
>
> Warum? Weil es ansonsten völlig unmöglich wäre, das VPN aufzubauen und
> am Leben zu erhalten.
>
> Klar soweit?
>
> Und es ist sogar relativ viel, was alles in dem Netz laufen muß, aus dem
> heraus das VPN aufgebaut wird. Davon kann dann zwar etliches nach Aufbau
> des VPN eingeschränkt werden, aber vieles davon muss auch weiterhin
> laufen.

Du bist so kluk.

Initial mag so ein Tunnel noch Hilfsinformaionen wie DNS brauchen.
Wenn der Tunnel dann aber tunnelt, braucht er vom "Heimnetz" des
Tunnelnden genau nichts mehr.
Die (IP-)Gatewayadresse einmal ausgenommen.

Klar soweit?

Motopick schrieb:

> Initial mag so ein Tunnel noch Hilfsinformaionen wie DNS brauchen.
> Wenn der Tunnel dann aber tunnelt, braucht er vom "Heimnetz" des
> Tunnelnden genau nichts mehr.

Ach so? Und wo schickt er dann seine kunstvoll verschlüsselten 
VPN-Pakete hin? Die müssen ja irgendwie den Peer erreichen.

Und nein: durch den Tunnel kannst du sie nicht schicken. Da ergäbe sich 
dann nämlich ein kleines unendlich-rekursives Problem...

Ob S. schrieb:

> Und es ist sogar relativ viel, was alles in dem Netz laufen muß, aus dem
> heraus das VPN aufgebaut wird. Davon kann dann zwar etliches nach Aufbau
> des VPN eingeschränkt werden, aber vieles davon muss auch weiterhin
> laufen.

Wenn das so "viel" ist, "was alles in dem Netz laufen muss",
sollte es dir ja leicht fallen, es einmal auzuzaehlen.

Praktisch benutzt so ein VPN-Tunnel nur die Leistungen des ISP.
(ISP := Internetserviceprovider)
Die Infrastruktur dafuer, koennte seine Firma aber auch bereitstellen.
Das wird dann nur etwas langsam werden, so mit einem Modem sich auf
einen PPP/Slip-Router einzuwaehlen.

In einem Hotelzimmer mit einem richtigen Ethernetanschluss fuer das
Internet, wuerde so Notebook mit einem VPN-Tunnel ja auch funktionieren.
Und es haette kein Heimweh nach seinem Heimnetz.
WLAN ginge u.U. auch, wenn man die AGB per Captiveportal akzeptiert.
Aber da wird dann mitunter gefiltert...

Harald K. schrieb:
> Sieh Dir mal genau die Lizenzbedingungen von Microsoft für den Einsatz
> auf Terminalservern an (was der Unterbau von Citrix ist) - Du wirst
> überrascht sein, was Deine Idee mit dem "Pool" betrifft.

Terminalserver muss nicht sein, das war der Ursprung der Citrix-Sache. 
Citrix geht seit langem mit normalen virtuellen PCs auf beispielsweise 
VMware. Natürlich fallen Lizenzen für Citrix an, und für das jeweilige 
Windows. Dazu kommen der VM-Host und VMs für Gateway und Verwaltung.

Ob S. schrieb:
> Ach so? Und wo schickt er dann seine kunstvoll verschlüsselten
> VPN-Pakete hin? Die müssen ja irgendwie den Peer erreichen.

Ihr investiert beachtlichen Aufwand darin, aneinander vorbei zu reden.

Motopick schrieb:

> Wenn das so "viel" ist, "was alles in dem Netz laufen muss",
> sollte es dir ja leicht fallen, es einmal auzuzaehlen.

Also: es braucht natürlich ARP und ICMP im Netz der Quelle, sonst geht 
garnix, zumindest nicht sehr lange.

Und zusätzlich braucht's das, was halt nötig ist, um den Payload über 
des IP-Netz der Quelle zu befördern. Was das genau ist, hängt natürlich 
vom verwendeten VPN-Protokoll ab. Nehmen wie mal einen einfachen Fall, 
der UDP-Pakete mit Zielport 500 als Hülle verwendet verwendet werden. 
Dann muss zumindest noch sicher gestellt sein, dass diese Pakete an das 
DefGW des Quellnetzes gesendet werden können (in der Hoffnung, dass der 
das dann schon richtig weiterleitet). Zusätzlich muss aber dieses GW 
auch willens sein, die Anwortpakete des Peer wiederum zum VPN-GW zurück 
zu liefern. Dazu muss es sich merken, dass dieser Traffic "related" ist.
Diese beiden Sachen gelten übrigens nicht nur für das LAN der Quelle, 
sondern sogar für alle Router auf dem Hin- und Rückweg der Pakete der 
Tunnelhülle. Nur wird auf den Teilstrecken die Portnummer der des Ziels 
der Antwortpakete oft verschieden sein.

Wie auch immer: um Fehler beim Transport der Hüllen-Pakete erkennen und 
sinnvoll behandeln zu können, ist halt ICMP im LAN der Quelle nötig.

Und gegen die Vergeßlichkeit der Netzwerk-Infrastruktur im LAN der 
Quelle ist halt ARP nötig.

Du hast die Steckdose unterschlagen. Wenn der im Notebookakku
gespeicherte Firmenstrom naemlich alle ist.

(Auf die enthaltenen sachlichen Fehler, gehe ich erst gar cnith ein.)

Motopick schrieb:
> Du hast die Steckdose unterschlagen. Wenn der im Notebookakku
> gespeicherte Firmenstrom naemlich alle ist.
>
> (Auf die enthaltenen sachlichen Fehler, gehe ich erst gar cnith ein.)

Das solltest du aber. Sonst könnte man ja auf die Idee kommen, dass es 
überhaupt keine gab, dir nur die Argumente ausgegangen sind, um deine 
falsche Meinung weiterhin vertreten zu können ohne dich vollends 
lächerlich zu machen...

Ob S. schrieb:

>> (Auf die enthaltenen sachlichen Fehler, gehe ich erst gar cnith ein.)

Fehler wohl nicht. Aber eine nicht ganz unwesentliche offene Flanke 
hatte ich nicht explizit erwähnt:

Es genügt natürlich nicht, dass das DefGW des Quellnetzes die 
Antwortpakete entgegen nimmt und korrekt an das VPN-GW weiter leitet.

Nein, das VPN-GW muß natürlich auch willens und in der Lage sein, diese 
entgegen zu nehmen. Sonst wäre es witzlos.

Haben wie also vier offene Flanken im Quell-LAN:

Tunnel-Traffic (ausgehend)
Tunnel-Traffic (eingehend)
ARP
ICMP

Auf jede davon ist zumindest ein DOS aus dem LAN jederzeit und für jeden 
Angreifer dort ziemlich problemlos möglich.

Das ist natürlich weit davon entfernt, ein VPN tatsächlich zu 
kompromittieren, zeigt aber überdeutlich, dass deine Aussage 
(wortgetreues Zitat)

> Wenn der Tunnel dann aber tunnelt, braucht er vom "Heimnetz" des
> Tunnelnden genau nichts mehr.

reiner Bullshit ist. Hingerotzt ohne jeden Sinn und Verstand.

Immer noch nicht müde, diese komplett sinnlose Diskussion ohne Sinn und 
Verstand weiter zu führen? Ihr wisst alle beide genau Bescheid und 
spaltet nur Haare.

Was ich sollte, und was ich muss, weiss ich selbst (am besten).

ICMP ist fuer den Tunnelaufbau voellig entbehrlich.

Falls der Tunnel durch Congestion, oder durch das Zuweisen einer
frischen :) IP durch den ISP down gehen sollte, ist es kein
Problem den Tunnel einfach neu zu initialisieren.
Die Tunnelinterface muessen bei einem kurzen Timeout deswegen
kein Link-Down signalisieren. Applikationen bekommen davon nicht
einmal etwas mit.
Und die normalerweise benutzte dynamische Variante von ARP, kann
ein VPN-Tunnel auch leicht durch statische Eintraege ersetzen.

Und ein DOS auf den Tunnel? Das Tunnelinterface redet mit seinem
Gegenueber. Das Tunnelinterface sitzt hinter dem physischen
Netzwerkinterface. Zeig doch mal, wie du dem aus einem "Heimnetz"
heraus Pakete in den Tunnel schicken willst. Eine taugliche
VPN-Software wird auch die mittlerweile verbreiten Systemfirewalls
fuer sich arbeiten lassen, und Pakete die nicht zum Tunnel beitragen
einfach droppen.
Und ein DOS ist fuer Funktion des Tunnels natuerlich erst recht
entbehrlich.

Im uebrigen ist die Portadresse fuer IPSEC/NAT nicht 500 sondern 4500.
500 waere klassisches IPSEC mit zwei anderen Protokollen (IPSEC/AH).
Das kann aber keine NAT-Traversal.


Deine bis jetzt demonstrierten Kenntnisse sind
> reiner Bullshit

> spaltet nur Haare.
Baumstaemme!

Motopick schrieb:

> Falls der Tunnel durch Congestion, oder durch das Zuweisen einer
> frischen :) IP durch den ISP down gehen sollte, ist es kein
> Problem den Tunnel einfach neu zu initialisieren.

Erstmal muss er mitbekommen, dass er down ist. Das kann er nicht auf der 
Ebene des Tunnels, jedenfalls nicht zuverlässig ohne endlos lange 
Timeouts.

> Applikationen bekommen davon nicht
> einmal etwas mit.

Im besten Fall kann das klappen. Und dieser beste Fall tritt genau dann 
ein, wenn die Tunnelhülle das Problem zeitnah erkennen kann (ICMP!) und 
deswegen in der Lage ist, fix die Verbindung wieder aufzubauen, bevor 
irgendwas innerhalb des Tunnels in Timeouts reingelaufen ist.

> Und die normalerweise benutzte dynamische Variante von ARP, kann
> ein VPN-Tunnel auch leicht durch statische Eintraege ersetzen.

In jedem beliebigen Quellnetz eines VPN-Peers? Träum' weiter. Aber sowas 
von...

> Und ein DOS auf den Tunnel? Das Tunnelinterface redet mit seinem
> Gegenueber. Das Tunnelinterface sitzt hinter dem physischen
> Netzwerkinterface. Zeig doch mal, wie du dem aus einem "Heimnetz"
> heraus Pakete in den Tunnel schicken willst.

Das brauche ich doch garnicht. Es genügt, wenn ich die Kommunikation auf 
der Ebene der Tunnelhülle abwürgen kann. Aller Traffic durch den Tunnel 
stirbt dann ganz automatisch. Wo kein Tunnel mehr ist, kannst du auch 
keinen Zug mehr durch durch den Tunnel fahren lassen.

> Wenn das so "viel" ist, "was alles in dem Netz laufen muss",
> sollte es dir ja leicht fallen, es einmal auzuzaehlen.

Wie waere es einmal diese Frage zu beantworten ohne herumzueiern.
ICMP und ARP zaehlen da nicht "extra". Die gehoeren zu IP
mehr oder weniger dazu. Und das macht schon die Box vom und zum
ISP sowieso. Da bleibt von dem "viel" des uebrigen Netzes
nicht viel uebrig.

> Das brauche ich doch garnicht. Es genügt, wenn ich die Kommunikation auf
> der Ebene der Tunnelhülle abwürgen kann.

Einfacher waere es das Kabel herauszuziehen.
Das bekommst sogar du hin.
Versprochen!

Das Kabel ziehe ich hier jetzt auch.

Motopick schrieb:

>> Wenn das so "viel" ist, "was alles in dem Netz laufen muss",
>> sollte es dir ja leicht fallen, es einmal auzuzaehlen.
>
> Wie waere es einmal diese Frage zu beantworten ohne herumzueiern.

Das habe ich hier getan:

Beitrag "Re: Routerkaskade sinnvoll?"

Du hast das auch zur Kenntnis genommen, wie sich aus dem weiteren 
Verlauf des Threads ergibt. Wieso versuchst du jetzt so zu tun, als 
hätte es darauf keine Erwiderung gegeben?

Dein Argumentationsstil ist really "Trump-like"...

> ICMP und ARP zaehlen da nicht "extra". Die gehoeren zu IP
> mehr oder weniger dazu.

Ach tatsächlich... Und deswegen gibt es sie nicht und deswegen sind sie 
nicht angreifbar? Auch diese Logik: echt "Trump-like".

Aber ich bin mal gnädig und trage etwas zu deiner Aufschlauung bei: Der 
Witz bei VPN ist, das es das alles doppelt gibt. Einmal auf der Ebene 
der Tunnelhülle und einmal innerhalb des Tunnels. Damit der Tunnel 
funktioniert, muss es auf beiden Ebenen laufen. Bezüglich der Hülle kann 
man das einschränken (machen die kommerziellen Anbieter von VPNs auch 
oft  so), aber man kann es eben nicht vollständig unterbinden, weil 
sonst das VPN nicht mehr funktionieren würde. Es bleiben also 
unweigerlich offene Flanken, ganz sicher für ein DOS.

> Einfacher waere es das Kabel herauszuziehen.

Klar. Aber das kann ich nicht über's Netz machen. Die VPNs von Leuten, 
die nichtmal wissen, wie so ein VPN funktioniert, könnte ich hingegen 
u.U. auch über's (W)LAN abwürgen. Ohne meinen Arsch physisch bewegen zu 
müssen.

Mache ich natürlich nicht, höchstens in Testumgebungen. Alles andere 
wäre ja illegal. Und weil's verboten ist, macht's auch sonst niemand. 
Ich schwör...

Michael B. schrieb:
>> die Idee eine Routerkaskade umzusetzen.
> Warum sollte man das geil finden ?

Router mit NAT und DHCP hinter dem Router ist lustig. Der Netzwerk-Admin 
ist da allerdings abweichender Ansicht, weil man damit Geräte ins Netz 
bekommt, die er nicht sehen kann.

Harald K. schrieb:
> Sieh Dir mal genau die Lizenzbedingungen von Microsoft für den Einsatz
> auf Terminalservern an (was der Unterbau von Citrix ist) - Du wirst
> überrascht sein, was Deine Idee mit dem "Pool" betrifft.

Also wir haben viele Anwendungen mit floating Lizenz, z.B. IAR, Altium.
Damit nicht einfach mehrere nacheinander compilieren, hat der IAR eine 
Zeitsperre von 30min.

Das hält jeder Anbieter wie er Lust hat. Ändert es auch mitunter, 
streicht beispielsweise überkommene Concurrent User und lässt nur noch 
Named User.

Peter D. schrieb:
> Also wir haben viele Anwendungen mit floating Lizenz, z.B. IAR, Altium.
> Damit nicht einfach mehrere nacheinander compilieren, hat der IAR eine
> Zeitsperre von 30min.

Sicher, so etwas gibt es. Aber sieh Dir mal die Lizenzbedingungen von 
Microsoft an. Die wollen so etwas nicht kennen. Und MS Office ist nun 
mal von Microsoft.

Ich liebe LibreOffice.