Discussion:
Retro-Netzwerken?
(zu alt für eine Antwort)
Kay Martinen
2021-09-03 21:37:17 UTC
Permalink
Hallo

Hat hier noch jemand mehrere Altgeräte und betreibt diese mit
ebensolchen AltOS, vernetzt? Wie gruppiert ihr die? Getrennt nach OS
(DOS, Win, OS/2, andere), nach Netzwerk-Modus (Netbeui, TCPBEUI, IPX)
oder alles wild durcheinander nebenher... oder schlichtweg nach
Client-Server erfordernissen (wer mit wem reden soll) was ja aber auch
ein einschluß- statt eines Ausschluß-kriteriums sein kann.

Auch gemischt, BareMetal und Virtuelles? Über verschiedene VLANs
getrennt? Mit bridges oder Gateways dazwischen?

Kay
--
Posted via leafnode
Marcel Mueller
2021-09-04 09:49:00 UTC
Permalink
Post by Kay Martinen
Hat hier noch jemand mehrere Altgeräte und betreibt diese mit
ebensolchen AltOS, vernetzt? Wie gruppiert ihr die? Getrennt nach OS
(DOS, Win, OS/2, andere), nach Netzwerk-Modus (Netbeui, TCPBEUI, IPX)
oder alles wild durcheinander nebenher... oder schlichtweg nach
Client-Server erfordernissen (wer mit wem reden soll) was ja aber auch
ein einschluß- statt eines Ausschluß-kriteriums sein kann.
Was hast Du vor? Wie viele Maschinen, willst Du denn ans Netz bringen?
Solange das nicht ausufert, würde ich alle in ein logisches Segment
hängen. Der parallelbetrieb verschiedener Protokolle gibt normalerweise
keine Probleme. Nur wenn du auf demselben Protokoll verschiedene
Dialekte sprechen willst, also beispielsweise OS/2 WarpServer versus
WindowsNT Server, dann musst du das separieren. Aber auch dafür braucht
es nicht unbedingt VLAN. Wenn du kein NETBEUI verwendest sondern
TCPBEUI, was man selbst DOS beibringen kann, dann genügen
unterschiedliche IP-Ranges auf demselben Segment. DOS kann das nicht,
aber das wird auch nicht auf zwei Hochzeiten tanzen wollen. OS/2 und
Windows können aber AFAIR mehrere logische Netzwerkadapter auf einer
physikalischen Karte.
Post by Kay Martinen
Auch gemischt, BareMetal und Virtuelles?
Klar, warum nicht? Ich habe hier auch noch eine OS/2 VM, die einfach
bridged mit ihrer IP im LAN hängt, zusammen mit aktuellen Linux-VMs und
auch echter Hardware.
Sich mit dem Routing herumzuschlagen ist doch nur Aufwand und
funktioniert sowieso nur bei TCP/IP basierten Protokollen.
Post by Kay Martinen
Über verschiedene VLANs
getrennt? Mit bridges oder Gateways dazwischen?
Das wäre mir zu viel Aufwand. Aber ich betreibe auch nicht Dutzende von
den Burschen.


Marcel
Fritz
2021-09-04 10:26:46 UTC
Permalink
Post by Marcel Mueller
Klar, warum nicht? Ich habe hier auch noch eine OS/2 VM, die einfach
bridged mit ihrer IP im LAN hängt, zusammen mit aktuellen Linux-VMs und
auch echter Hardware.
Ich auch allerdings OS/2 ECS 2.1.
Arca Noae OS habe ich, aber nicht im Einsatz da mir meine ECS 2.1 Installation reicht.
Nur die Datenrate im Netz von OS/2 könnte etwas besser sein.
--
-- Fritz
Marcel Mueller
2021-09-04 13:55:19 UTC
Permalink
Post by Fritz
Post by Marcel Mueller
Klar, warum nicht? Ich habe hier auch noch eine OS/2 VM, die einfach
bridged mit ihrer IP im LAN hängt, zusammen mit aktuellen Linux-VMs und
auch echter Hardware.
Ich auch allerdings OS/2 ECS 2.1.
Äh, ja, ist hier auch ein eCS 1.0.irgendwas.
Post by Fritz
Arca Noae OS habe ich, aber nicht im Einsatz da mir meine ECS 2.1 Installation reicht.
Dito. Da hat sich ja seit dem (eigentlich seit Warp 4.5.2 alias MCP)
nichts mehr groß getan.
Post by Fritz
Nur die Datenrate im Netz von OS/2 könnte etwas besser sein.
Welchen Treiber nutzt Du?
Nimm wenn irgend möglich Intel E1000. Damit geht schon ganz gut was
durch. Ein echtes Highlight wird der Netzwerkstack davon zwar auch
nicht, im besonderen nicht IBM Peer, aber für den Hausgebrauch reicht
selbst das. So ca. 40MB/s geht selbst mit dem alten Zeug. Begrenzend ist
da aber schon das lokale Dateisystem (HPFS386). Ohne sind es eher 50 MB/s.

Mit Samba sollte auch mehr gehen. Aber der kostet in meiner Version
Geld, weil nur für NetDrive verfügbar, und das ist in der Testversion
schon dauernd abgestürzt.


Marcel
Kay Martinen
2021-09-04 21:35:01 UTC
Permalink
Post by Marcel Mueller
Post by Kay Martinen
Hat hier noch jemand mehrere Altgeräte und betreibt diese mit
ebensolchen AltOS, vernetzt? Wie gruppiert ihr die? Getrennt nach OS
(DOS, Win, OS/2, andere), nach Netzwerk-Modus (Netbeui, TCPBEUI, IPX)
oder alles wild durcheinander nebenher... oder schlichtweg nach
Client-Server erfordernissen (wer mit wem reden soll) was ja aber auch
ein einschluß- statt eines Ausschluß-kriteriums sein kann.
Was hast Du vor? Wie viele Maschinen, willst Du denn ans Netz bringen?
Weiß ich noch nicht. Das könnten 1-3 werden, oder ein Dutzend. :-)

Ich fragte ja nach Erfahrungen anderer weil ich evtl. noch Ideen oder
Anregungen brauche/suche. Mit Netz meine ich auch nur LAN. Die will ich;
von expliziten Ausnahmen (update das nur so ginge?) nicht in's internet
lassen. Heißt: alles was geht per DHCP um flexibel zu bleiben.
Post by Marcel Mueller
Solange das nicht ausufert, würde ich alle in ein logisches Segment
hängen. Der parallelbetrieb verschiedener Protokolle gibt normalerweise
keine Probleme.
Naja, das hab ich anders in erinnerung aber das ist ne weile her und da
war NETBIOS neben IPX noch vor TCP/IP und es gab mit Ethernet_DIX und II
zumindest in Teilbereichen auch frame-unterschiede.
Post by Marcel Mueller
Nur wenn du auf demselben Protokoll verschiedene
Dialekte sprechen willst, also beispielsweise OS/2 WarpServer versus
WindowsNT Server, dann musst du das separieren.
Wo siehst du da einen Dialektunterschied. OS/2-NETBIOS? Das muß man doch
nicht benutzen. Beide sollten NETBEUI und TCPBEUI können - und mehr.

Ich meine wir reden hier ja nicht von SMB v3 das weder WINS noch
LM-Funktionen mehr nutzen will.
Post by Marcel Mueller
Aber auch dafür braucht
es nicht unbedingt VLAN. Wenn du kein NETBEUI verwendest sondern
TCPBEUI, was man selbst DOS beibringen kann, dann genügen
unterschiedliche IP-Ranges auf demselben Segment. DOS kann das nicht,
Iiiks. Mehrere IP-Ranges auf einem Segment finde ich eklig. Da bin ich
purist. Ein Segment = Eine IP-Range! In dem Bereich ist v6 total
überflüssig weil v4 ausreicht.
Post by Marcel Mueller
aber das wird auch nicht auf zwei Hochzeiten tanzen wollen. OS/2 und
Windows können aber AFAIR mehrere logische Netzwerkadapter auf einer
physikalischen Karte.
Wie sich ein|zwei Logische Adapter auf einer Physischen Karte auswirken
ist mir momentan entfallen oder unklar. Ich weiß aber noch das die
Zuordnung logische Adapternummer zu Physischer Karte mir mal echte
Probleme bereitete. Die wurde auf einem Dual-Homed Host von LAPS nicht
richtig in die IBMLAN.INI übertragen. Ergebnis war DoS und lange sucherei.
Post by Marcel Mueller
Post by Kay Martinen
Auch gemischt, BareMetal und Virtuelles?
Klar, warum nicht? Ich habe hier auch noch eine OS/2 VM, die einfach
bridged mit ihrer IP im LAN hängt, zusammen mit aktuellen Linux-VMs und
auch echter Hardware.
Und wie hältst du die vom Internet fern? Default-route verbogen oder
kein TCP/IP?
Post by Marcel Mueller
Sich mit dem Routing herumzuschlagen ist doch nur Aufwand und
funktioniert sowieso nur bei TCP/IP basierten Protokollen.
Natürlich kann man nur TCP/IP und IPX (AFAIR) routen. Wie würdest du das
eigentlich machen bei deinem Vorschlag mit mehreren IP-Ranges auf einem
Segment? Da müsste ein Host den router machen und in jeder Range eine
Feste IP haben. Und dann routet der von IP_1-Phy1 zu... IP_2-Phy1? Bin
mir nicht sicher ob das nicht ein Problem gibt (Quell- und
Ziel-interface ident!).

Und mit DHCP dürfte sich das auch nicht wirklich gut vertragen oder? Du
hast ja nur eine Broadcast-domäne in der alle IP-Ranges liegen. Da kann
man eigentlich nur über die MAC fest zuordnen aber keiner Range einen
Pool zuordnen. Jedenfalls wüste ich nicht wie man die sonst separieren
wollte wenn alle im gleichen Segment stecken.
Post by Marcel Mueller
Post by Kay Martinen
Über verschiedene VLANs
getrennt? Mit bridges oder Gateways dazwischen?
Das wäre mir zu viel Aufwand. Aber ich betreibe auch nicht Dutzende von
den Burschen.
Ich auch noch nicht aber ich grübele darüber wie ich das am Besten
umsetze. Statt einfach mal los zu legen und schrittweise um zu bauen
(oder komplett um zu reißen). Vielleicht ein Fehler...

Mein erster Gedanke bei so was ist immer das nach den Hauptprotokollen
zu trennen auch wenn man die auf einem Segment mischen kann, und dann
nach dem Zweck (wer mit wem reden soll). Aber wenn alle Switches managed
sind und eh schon VLANs eingerichtet hat liegt das auch nahe NETBIOS
z.b. von TCPBEUI zu trennen. Ich denke das würde es auch einfacher
machen bei der Fehlersuche weil man nur einen Protokolltyp im Segment hat.

Leider ist das ganze eine lang gehegte Idee der Früher immer ein "wie
will ich's machen?" entgegen stand. Und aktuell bin ich nach der Arbeit
einfach nur noch Fertig und mir fehlt die Kraft die HW und SW ein zu
richten wie ich das will. Bisher existieren nur zwei Windows 2000 Server
VMs von denen die eine das Management-Netz (Switches, ILO's) antreibt
und die andere Infrastruktur-Dienste für ein RetroNetz liefert, liefern
soll.

Ich muß die vorgesehene Ecke auch erst frei räumen und ggf. noch ein
paar Verbindungen einrichten (Steckdosen, KVM's, Monitore, Tastaturen)
um dann die einzelnen Geräte drauf zu verteilen. Da hoffe ich darauf das
die Arbeit jetzt bald weniger wird und ich das in Angriff nehme(n kann).

In jedem Fall will ich mehrere alte Windows-Versionen (W9x bis XP) auf
echter HW wieder beleben, teils mit spezieller Externer HW dazu
(Scanner, SAT-Karte u.a.) aber auch DOS und OS/2 sollen auf Echter HW
laufen.

Kay
--
Posted via leafnode
Diedrich Ehlerding
2021-09-05 08:02:57 UTC
Permalink
Post by Kay Martinen
Mit Netz meine ich auch nur LAN. Die will ich;
von expliziten Ausnahmen (update das nur so ginge?) nicht in's
internet lassen. Heißt: alles was geht per DHCP um flexibel zu
bleiben.
Es kommt darauf an, wieviel Aufwand du treiben willst. Bequemlichkeit
(etwa DHCP) und wenig Aufwand kollidieren evtl mit
Sicherheitsbedürfnissen.

Wenns nur um ein LAN-Segment geht, in dem die Rechner miteinander
reden sollen, wo dann aber von denen nur wenige ins Internet dürfen,
wäre die einfachste Version: du definierst in deiner Fritzbox ein
Zugangsprofil "darf nicht ins Internet" und steckst alle betroffenen
Rechner da rein. Und nur die, die ins Internet dürfen, kriegen ein
anderes Zugangsprofil. Dann können alle per DSHCP miteinander reden,
aber nur die, die du explizit zulässt. kommen raus.

Oder du packst die alle in das /24-Netz deiner
Fritzbox und gibts ihnen aber statische Adressen außerhalb des DHCP-
Bereichs, ohne einen Router zu definieren. Und wenn einer doch mal ins
Internet muss, dann gibst du ihm eine Defaultroute über die Fritzbox und
nimmst sie ihm ggf. später wieder weg.

Wenn dir das zu unsicher ist (weil du zB der Fritzbox misstraust), wirst
du weitere Router zwischen dieses Retro-Netz und dein normales Netz
bauen müssen, wie Ralf Kiefer es vorschlägt. Dann kannst du die Regeln,
wer wohin darf, in diesem Router definieren.
--
gpg-Key (DSA 1024) D36AD663E6DB91A4
fingerprint = 2983 4D54 E00B 8483 B5B8 C7D1 D36A D663 E6DB 91A4
HTML-Mail wird ungeleſen entſorgt.
Andreas Kohlbach
2021-09-05 16:53:13 UTC
Permalink
Post by Kay Martinen
Post by Marcel Mueller
Post by Kay Martinen
Hat hier noch jemand mehrere Altgeräte und betreibt diese mit
ebensolchen AltOS, vernetzt? Wie gruppiert ihr die? Getrennt nach OS
(DOS, Win, OS/2, andere), nach Netzwerk-Modus (Netbeui, TCPBEUI, IPX)
oder alles wild durcheinander nebenher... oder schlichtweg nach
Client-Server erfordernissen (wer mit wem reden soll) was ja aber auch
ein einschluß- statt eines Ausschluß-kriteriums sein kann.
Was hast Du vor? Wie viele Maschinen, willst Du denn ans Netz bringen?
Weiß ich noch nicht. Das könnten 1-3 werden, oder ein Dutzend. :-)
Ich fragte ja nach Erfahrungen anderer weil ich evtl. noch Ideen oder
Anregungen brauche/suche. Mit Netz meine ich auch nur LAN. Die will ich;
von expliziten Ausnahmen (update das nur so ginge?) nicht in's internet
lassen. Heißt: alles was geht per DHCP um flexibel zu bleiben.
[...]
Post by Kay Martinen
Ich meine wir reden hier ja nicht von SMB v3 das weder WINS noch
LM-Funktionen mehr nutzen will.
In SMB kann man bestimmten IPs den Zugang erlauben. Oder es gar an ein
oder mehrere Interfaces binden. Hier erlaube ich es nur dem
"WIFI-Interface". Ein Portscan zeigt entsprechende Ports offen. Vom
Internet gescannt sind diese "closed".

Aber vielleicht verstehe ich das grundlegende Problem nicht...
--
Andreas
Andreas Bockelmann
2021-09-05 17:32:44 UTC
Permalink
Post by Kay Martinen
Post by Marcel Mueller
Solange das nicht ausufert, würde ich alle in ein logisches Segment
hängen. Der parallelbetrieb verschiedener Protokolle gibt normalerweise
keine Probleme.
Naja, das hab ich anders in erinnerung aber das ist ne weile her und da
war NETBIOS neben IPX noch vor TCP/IP und es gab mit Ethernet_DIX und II
zumindest in Teilbereichen auch frame-unterschiede.
Das hatten wir früher in der Uni ewig lang (DOS, Windows, OS/2 und Netware
3.11/3.12). Also NETBEUI, TCPBEUI, IPX und TCP/IP für's Internet alles im
selben Segment.
Das lief einwandfrei, sobald wir die Drecks-TAE-Dosen für die BNC
Verkabelung raus geschmissen haben.
Tatsächlich waren das (SC)EAD.
<https://de.wikipedia.org/wiki/Ethernet-Anschlussdose> Aber sie waren den
TAE-Dosen sehr ähnlich. Sowohl bei einem ehemaligen Arbeitgeber als auch bei
manchen Kunden in den 1990er Jahren war dieses Stecksystem immer wieder ein
Quell der Freude :-)
--
Mit freundlichen Grüßen
Andreas Bockelmann
Kay Martinen
2021-09-05 19:07:04 UTC
Permalink
Post by Andreas Bockelmann
Das lief einwandfrei, sobald wir die Drecks-TAE-Dosen für die BNC
Verkabelung raus geschmissen haben.
Tatsächlich waren das (SC)EAD.
<https://de.wikipedia.org/wiki/Ethernet-Anschlussdose> Aber sie waren
den TAE-Dosen sehr ähnlich. Sowohl bei einem ehemaligen Arbeitgeber als
auch bei manchen Kunden in den 1990er Jahren war dieses Stecksystem
immer wieder ein Quell der Freude :-)
Ein Weiterer Faktor den man dabei erwähnen sollte ist die Reduzierung
der Leitungslänge Pro Dose. Es ist ja immer noch ein Bus-System und die
SCEAD Kabel (mit BNC an einem Ende und einem TAE-ähnlichen am anderen)
sind im Grunde Koaxiale - aber doppelt! Bei einem 3 Meter Kabel um einen
PC an zu schließen gehen da schon 6 Meter leitungslänge bei drauf. Das
dürfte zumindest bei Großen Installationen schon ein Faktor sein.

Bei maximal 30 Stationen im Segment mit je 3 Meter langen SCEAD Kabeln
sind 180 Meter (30*3*2) allen für die PC Anschlüsse futsch. Blieben noch
5 Meter für den eigentlichen "bus" wenn man Standard-konform bleiben will.


Kay
--
Posted via leafnode
Marcel Mueller
2021-09-05 20:32:56 UTC
Permalink
Post by Kay Martinen
Ein Weiterer Faktor den man dabei erwähnen sollte ist die Reduzierung
der Leitungslänge Pro Dose. Es ist ja immer noch ein Bus-System und die
SCEAD Kabel (mit BNC an einem Ende und einem TAE-ähnlichen am anderen)
sind im Grunde Koaxiale - aber doppelt! Bei einem 3 Meter Kabel um einen
PC an zu schließen gehen da schon 6 Meter leitungslänge bei drauf. Das
dürfte zumindest bei Großen Installationen schon ein Faktor sein.
Das war m.E. seltenst das Problem. Nachdem wir auf "hemdsärmlige"
Verkabelung umgestellt hatten, war die Gesamtlänge mutmaßlich eher
länger, weil wir vom 5. Stock bis in den Keller mussten und dabei noch
an einer Hand voll verteilter Büros und Labors vorbei. Vorher waren
AFAIR aktive Komponenten vom RZ mit im Spiel und die physischen Segmente
Kürzer.
Diese Lösung mit BNC-Kabel, T-Stucken und zwei Abschlusswiderständen hat
nie wieder Probleme gemacht. Das Problem waren wirklich die Dosen. Das
war alles Sondermüll mit Preisschild. Obwohl man doch eigentlich den
"Beinahe Nie Contact"-Steckern nachsagt, dass sie unzuverlässig wären.
Post by Kay Martinen
Bei maximal 30 Stationen im Segment mit je 3 Meter langen SCEAD Kabeln
sind 180 Meter (30*3*2) allen für die PC Anschlüsse futsch. Blieben noch
5 Meter für den eigentlichen "bus" wenn man Standard-konform bleiben will.
Wir hatten keine 30 PCs. Eher die Hälfte.


Marcel
Ralf Kiefer
2021-09-05 21:43:30 UTC
Permalink
Mich wundert auch das die Funktionierten. Ich hab das mal in einer
Heizungsbaufirma gesehen, montiert. Die Steckkontakte sahen wirklich TAE
zum verwechseln ähnlich.
In der erwähnten Software-Entwicklungsabteilung war bei einem
Fehlerfall, den ich suchen mußte, genau das das Problem: da hatte einer
den Stecker von einem Modem reingewürgt. Etwas schwergängig, aber es war
ein junger, dynamischer Mann ;-)

Das Fluke-Meßgerät meinte dazu trocken: "Anomaly in 45m distance" oder
so.

Gruß, Ralf
Andreas Bockelmann
2021-09-06 10:02:45 UTC
Permalink
? Du meinst das Cheapwire lose in die gegend geworfen? War das nicht
eher der "normal"fall?
Klar, das kenne ich noch aus meiner Großhandelszeit. Drei Netzwerkkarten im
Server, drei wilde strippen in die Büros. Und wenn ein neuer PC dazukam,
dann per T-Stück und Stichleitung mit ans Kabel. Also Bus unterbrochen,
T-Stück in den Bus und von dort 2 Meter RG58 per BNC direkt an den neuen PC.
Und? es hat sogar funktioniert.
--
Mit freundlichen Grüßen
Andreas Bockelmann
Ralf Kiefer
2021-09-05 00:05:30 UTC
Permalink
Post by Kay Martinen
Hat hier noch jemand mehrere Altgeräte und betreibt diese mit
ebensolchen AltOS, vernetzt?
Klar doch. Auch Netzprotokolle müssen museal bewahrt werden :-)
Selbstverständlich IP, daneben AppleTalk und OS-9/Net. Vielleicht kommt
in mittlerer Zukunft noch SMB v1 dazu.
Post by Kay Martinen
Wie gruppiert ihr die?
Es gibt ein paar einfache Regeln für ein Hausnetz:
- eine Fritzbox ist nicht sicher vor übergriffigen Providern, daher muß
ein zweiter Router dahinter,
- in der DMZ direkt an Fritzbox/Router sind nur wenige, ausgesuchte
Rechner,
- die historischen Rechner sind alle hinter einem tauglichen Router,
denn so einer kann filtern oder sonstwas machen :-)

Dazu meine speziellen Regeln:
- keine VLANs,
- kein DHCP,
- aber selbstverständlich eigene DNS- und NTP-Server [2].

Der DNS-Server ist in diesem Fall natürlich ein Pihole. Daneben gibt's
im vorderen Netz (sozusagen DMZ) noch das Freifunkgeraffel. Das ist zwar
sicher und kann nicht aus seinem Käfig ausbrechen (sagt "man"), kommt
mir aber trotzdem nicht ins Allerheiligste :-)

Da ich in den vergangenen paar Wochen vieles umgebaut habe und noch
nicht ganz fertig bin, folgen nur ein paar Details.

Als Router empfehle ich derzeit Mikrotik wg. des sehr guten
Preis-Leistungs-Verhältnis. Seit Jahren läuft hier ein hEX Lite. Der
kann nach "draußen" NATten und hat nach innen 4 Anschlüsse, die man als
Bridge gruppieren kann oder einzeln routen kann (oder gemischt). Der ist
sehr preisgünstig und kann auf allen Ports 100baseTX. Der braucht nicht
mal 1,0W Strom.

Als größerer Bruder kam vor 2 Jahren ein hEX S dazu: fast dasselbe mit
1000BaseTX, mehr RAM und erheblich mehr Rechenleistung. Der ist ideal
für VPNs wg. Verschlüsselung. Der braucht knapp 2,0W (beim Idlen).

Vor ein paar Monaten lief mir ein Mikrotik RB2011 zu. Der hat etwas
weniger RAM und CPU als der hEX S, reicht aber trotzdem sehr weit. Der
Vorteil: 19", 4 interne 1000BaseTX und 5 interne 100BaseTX. Und 2,4W
beim Idlen, wenn nur ein Port aktiv ist.

Die Funktionsumfänge vom RouterOS von Mikrotik sind enorm. Seit ein paar
Tagen lasse ich einen als Caching DNS-Server und als NTP-Server laufen.
File-Server mit SMB und vieles weitere können die auch. Massenspeicher
hängt man an einen USB-Anschluß. Für geringe Anforderungen reicht das
vermutlich (, mir nicht :-) ).

Da Mikrotik nur IP routen kann, bleibt AppleTalk und OS-9/Net (sowieso
nicht routing-fähig) im inneren Netz und kommt nicht bis zur Fritzbox.
Da alle meine AppleTalk- und OS-9/Net-sprechenden Rechner auch IP
sprechen, sind die im inneren Netz, denn diverse IP-basierten Protokolle
sollen funktionieren. Wenn ich mal ein weiteres internes Subnetz
brauchen sollte (geplant fürs Tunneln von AppleTalk nach "weitweg"),
dann wird's ein weiteres internes Subnetz geben. Die Mikrotik-Router
können zu diesem Zeck port-basiert routen, aber auch VLANs oder
Multihoming [1]. D.h. IP-Subnetze kann ich regelbasiert separieren, die
anderen Protokolle trennen.

Als besonderes Gimmick lief mir vor einigen Monaten ein HP ProCurve zu,
d.h. Switch mit 24* 1000BaseTX und 2* SFP. Der ist management-fähig,
kann VLANs und ein paar weitere "Nettigkeiten", braucht aber im
Dauerbetrieb zu viel Strom (12W!). Den werde ich fürs Spiegeln von Ports
nehmen, wenn ich mit dem Drahthai lauschen möchte. Ansonsten ist der für
die Geräte, die nicht so häufig laufen. Für die Museumsecken gibt's
daneben noch kleine 10BaseT-Hubs mit 10Base2 für die Museumsgeräte, die
ich mit Cheapernet betreibe. Der gemütliche Teil meiner AppleTalk-Welt
wird mit einer Bridge von 10BaseT nach LocalTalk versorgt, denn ich habe
Drucker, die als Netzschnittstelle nur LocalTalk haben.

Noch was zu den Mikrotik-Routern: die können selbstverständlich
eigenständig DHCP-Server sein, die können aber auch DHCP Relay (oder
DHCP Client) sein. Was die Einstellungen angeht: Cisco ist kompliziert
und manchmal logisch schwer verständlich. Mikrotik hat dagegen einen
nahezu identischen Umfang fürs Konfigurieren für Mausschubser wie auch
über eine Konsole. D.h. die Einstellung kann man textuell erzeugen und
einspielen, man kann sie genauso textuell rausholen, um sie einem
anderen Gerät vorzusetzen. Wer will schon dutzende Routen oder lokale,
statische IP-Adressen für den DNS-Server in einem Web-Interface
eintragen wollen?

Genug der Mikrotik-Werbung: ich verdiene nichts daran. Aber nach über
zwei Jahrzehnten mit Routern diverser Hersteller sind mir die am
Liebsten. Zudem tauchen sie bei den regelmäßigen Namensnennungen von
Router-Herstellern bei Golem.de oder Heise sehr selten auf.

Gruß, Ralf


[1] Gimmick am Rand: wenn ich mich um eine Fritzbox kümmern muß (mache
ich manchmal für andere ...), dann bekommt die ein Rücksetzen auf
Werkseinstellung, hat daraufhin die Adresse 192.168.178.1 und erfordert
eigentlich, daß ich einen PC in dasselbe Subnetz umziehe, wenn auch nur
für ein paar Minuten. Nicht nötig hinter dem Mikrotik-Router: der hat
auf einzelnen Ports einfach mehrere IP-Subnetze (Multihoming). Ein Klick
im Web-Interface genügt fürs Ein- oder Ausschalten des zusätzlichen
Subnetzes.

[2] Einen internen NTP-Server halte ich ebenso für eine
Pflichtveranstaltung, wenn man außenstehenden Netzteilnehmern beim
Provider nicht kund tun möchte, welche Arten von Rechnern man in seinen
internen Netzen betreibt.
Marcel Mueller
2021-09-05 10:44:25 UTC
Permalink
Post by Ralf Kiefer
Klar doch. Auch Netzprotokolle müssen museal bewahrt werden :-)
Selbstverständlich IP, daneben AppleTalk und OS-9/Net. Vielleicht kommt
in mittlerer Zukunft noch SMB v1 dazu.
Wenn dann aber bitte auch LANMAN1. ;-) (SMBv1 hatte ja viele Levels.)
Post by Ralf Kiefer
- eine Fritzbox ist nicht sicher vor übergriffigen Providern, daher muß
ein zweiter Router dahinter,
Oder eine eigene Fritzbox nehmen. Das macht erheblich weniger Probleme
bei IPV4, wenn von hinten doch mal einer raus muss, der einen Callback
braucht. (FTP, diverse Realtime-Protokolle)
Post by Ralf Kiefer
- die historischen Rechner sind alle hinter einem tauglichen Router,
denn so einer kann filtern oder sonstwas machen :-)
Die Filter der Fritten sind für den Zweck in jeder Weise ausreichend.
Man lässt einfach nur ausgewählte MACs raus.
=> Default-Profil geblockt. Und wen man nicht umstellt, der guckt ins
Dunkle, fertig.
Post by Ralf Kiefer
Der DNS-Server ist in diesem Fall natürlich ein Pihole.
Das geht auch zusammen mit Fitzbox /und/ deren DHCP. BTDT. Man trägt
einfach PiHole dort als Upstream DNS ein. Damit hat man auch gleich
PiHole im Gastnetz, was einen erheblichen Mehrwert darstellen kann, vor
allem für IoT-Ungeziefer.
Post by Ralf Kiefer
Daneben gibt's
im vorderen Netz (sozusagen DMZ) noch das Freifunkgeraffel. Das ist zwar
sicher und kann nicht aus seinem Käfig ausbrechen (sagt "man"), kommt
mir aber trotzdem nicht ins Allerheiligste :-)
Das Mistzeug wie Androiden habe ich ins Gastnetz verbannt. Das ist auch
das einzige, was PiHole wirklich in Wallungen bringt. Das will ständig
zu irgendwelchen Ad-Servern telefonieren.
Post by Ralf Kiefer
[2] Einen internen NTP-Server halte ich ebenso für eine
Pflichtveranstaltung, wenn man außenstehenden Netzteilnehmern beim
Provider nicht kund tun möchte, welche Arten von Rechnern man in seinen
internen Netzen betreibt.
Und wenn man will, dass auch wirklich alle dieselbe Zeit haben und nicht
sich der eine von hier und der andere von da versorgt und es beim
dritten einfach gar nicht klappt. Das mach eine PiHole Kiste aber auch
nebenbei mit.


Marcel
Marcel Mueller
2021-09-05 16:49:08 UTC
Permalink
Post by Marcel Mueller
Post by Ralf Kiefer
- eine Fritzbox ist nicht sicher vor übergriffigen Providern, daher muß
ein zweiter Router dahinter,
Oder eine eigene Fritzbox nehmen.
Das nutzt nichts. Du kannst eine von AVM jungfräulich gekaufte Fritzbox
nehmen, und die wird beim ersten Kontakt mit einem Provider über TR-069
von diesem "übernommen".
Was erzählst Du denn? Ich musste alles selber einrichten und auch die
Updates steuere ich bzw. kann das maximal AVM überlassen.
Man kann das auf jeden Fall immer noch abschalten - zumindest bei meiner
6490. Und wenn man paranoid ist, macht man das /bevor/ man das Kabel
rein steckt. Alternativ kann man natürlich auch die automatische
Erstkonfiguration erlauben.
Daten der Provider aus meiner Fritzbox trotzdem rausholen kann. MAC- und
IP-Adressen der direkt mit der Fritzbox kommunizierenden Rechner auf
jeden Fall. Unter 192.168.178.1/support.lua kann man sich Daten lokal
... wenn ich das Passwort kenne!
ausgeben lassen, die vermutlich genauso von außen abgerufen werden
können.
AFAIK muss man das Remote-Management erst aktivieren. Aber irgendwie
finde ich die Option nicht mehr.
Auf eine Anfrage auf der öffentlichen IP antwortet sie allerdings (mit
dem Login-Screen). Aber die kam jetzt trotzdem aus dem Intranet. Ich
habe auf die Schnelle keine Möglichkeit, das von außen zu testen.
Post by Marcel Mueller
Das macht erheblich weniger Probleme
bei IPV4, wenn von hinten doch mal einer raus muss, der einen Callback
braucht. (FTP, diverse Realtime-Protokolle)
Ich habe keine Probleme mit FTP auf meinen Server "draußen" zu kommen.
Und das geht mehrfach durch NAT durch.
Ein Bekannter hatte massive Probleme mit SIP-Geräten im Intranet. Und
einige Videokonferenzsysteme strauchelten wohl auch.
Post by Marcel Mueller
Die Filter der Fritten sind für den Zweck in jeder Weise ausreichend.
Man lässt einfach nur ausgewählte MACs raus.
=> Default-Profil geblockt. Und wen man nicht umstellt, der guckt ins
Dunkle, fertig.
Das, was meine Fritzbox in diesem Bereich eigenständig macht, ist
anzuprangern. Die sortiert jeden unbekannten Rechner erstmal in den
"Familienfilter" rein.
Dann ändere den halt.
Hier heißt das Profil für neue Geräte (unveränderlich) "Standard".
Und erschwerend kommt dazu, daß sie ab und zu
IP-Adressen von draußen einfach mal eigenständig(!) in ihre Blacklist
aufnimmt.
???
Eine Fritzbox ist kein freier Router,
Nein, natürlich nicht.
Ich fürchte, daß
es bei jüngeren übler ist mit "Schutz vor schädlichen Netzinhalten".
?
Nachteilig an den Fritzboxen ist die fehlende Möglichkeit die
Konfiguration mit einem Texteditor außerhalb vorzunehmen und diese
Konfiguration zu sichern.
??? - Download als XML. Und das kann man auch bearbeiten.
Es gibt zwar eine textuelle Sicherung, aber
das Format ist nicht dokumentiert, AFAIK.
Nein, das nicht. Aber in guten Teilen selbsterklärend ist es schon. Ich
habe aber schon länger nicht mehr rein gesehen. Aber ich fand es nett,
dass man (kompatible) Einstellungen sogar von anderen Modellen
übernehmen kann.
Post by Marcel Mueller
Das geht auch zusammen mit Fitzbox /und/ deren DHCP. BTDT.
Von welchem externen DNS-Server holt sich die Fritzbox ihre Daten zum
Cachen?
Von PiHole.
Kannst Du diese DNS-Server frei konfigurieren? Gibt's DNS nach
draußen verschlüsselt?
Fritz-OS kann AFAIK nur DoT.
Aber das ist beim Zugriff auf den lokalen PiHole natürlich in keinster
Weise notwendig oder auch nur hilfreich. Das muss ja dann nur PiHole
können (und der verwendete Upstream-DNS).
Der Normalfall mit Pihole ist der, daß man den unter Pihole laufenden
Dnsmasq aus mehreren Quellen füttert. Dabei entscheidet man sich für
freie, unzensierte DNS-Server draußen oder die rekursive Variante
(Unbound), je nach Geschmack. Die Verschlüsselung der DNS-Anfragen dient
dazu den DSL-Provider zu hindern ein Profil von Deinem DSL-Anschluß
aufzubauen.
Ja, und?
Die ganz üble Masche praktiziert(e) die Telekom, indem sie nicht
auflösbare DNS-Anfragen mit der IP-Adresse ihres eigenen Werbe-Servers
beantwortet(e). Die spinnen und zeigen einem ansatzweise kundigen
Nutzer, wie sie fälschend in den Netzverkehr eingreifen.
Ja, kenne ich. Da war ich auch mal. Bis auf diesen Punkt war der
Anschluss aber sehr gut.
Und den Punkt bekommt man mit PiHole mühelos desinfiziert. Einfach die
beiden Telekom-Adressen in die Blacklist eintragen.
Und irgendeine andere Einstellung habe ich damals noch geändert, damit
bei geblockten Adressen NXDomain kommt und nicht irgendeine unsinnige
IP-Adresse, was wohl Standard ist.
Post by Marcel Mueller
Das Mistzeug wie Androiden habe ich ins Gastnetz verbannt. Das ist auch
das einzige, was PiHole wirklich in Wallungen bringt. Das will ständig
zu irgendwelchen Ad-Servern telefonieren.
Jeder Chromium(!), nicht nur Chrome, und jeder Firefox macht das auch,
z.B. "detectportal.firefox.com", "getpocket.cdn.mozilla.net",
"push.services.mozilla.com".
Hmm, hier nicht (diverse Firefüchse). Oder wenn dann nur so selten, dass
es mir im Query-Log nicht auffällt. Überhaupt habe ich von den festen
PCs gerade mal ~40 geblockte Zugriffe in 24 Stunden, wo mindestens einer
auch durch lief. Einzig die Zocker-Maschine vom Junior genehmigt sich
mehr, aber immer noch viel weniger als Android.


Marcel
Kay Martinen
2021-09-05 19:32:42 UTC
Permalink
Post by Marcel Mueller
Post by Marcel Mueller
Post by Ralf Kiefer
- eine Fritzbox ist nicht sicher vor übergriffigen Providern, daher muß
ein zweiter Router dahinter,
Oder eine eigene Fritzbox nehmen.
"Ische 'abe keine Fritzbox" :-)
Post by Marcel Mueller
Das nutzt nichts. Du kannst eine von AVM jungfräulich gekaufte Fritzbox
nehmen, und die wird beim ersten Kontakt mit einem Provider über TR-069
von diesem "übernommen".
Kommt wohl auf den Vertrag an. Oft ist Support inklusive und Fernkonfig
ONU-Kompatibel (einstecken, warten, los legen) gelöst und das
entsprechende Feature darum aktiviert.

Ich hab keine Fritte und muß stattdessen einen Speedport Hybrid nutzen.
Dort ist der "Easy Support" auch von haus aus aktiv. Aber ich kann ihn
abschalten und bisher hat keiner gemeckert. Was natürlich nicht heißt
das er nichts mehr übermittelt aber wie soll ich das bitte raus finden?
Auf der DSL-leitung oder dem LTE-Teil des Hybrid-Bonds?

Der SPH hat von Haus aus sowieso quasi "keinerlei" features. Die
"Firewall" kennt nur eine Funktion "ist aktiviert!" und bestenfalls kann
man Portforwards u.a. anlegen. Weitere Steuerung ist nur noch Traffic
nach port oder domain (oder "diffserv") auf DSL zwingen oder eben nicht.
Post by Marcel Mueller
Die ganz üble Masche praktiziert(e) die Telekom, indem sie nicht
auflösbare DNS-Anfragen mit der IP-Adresse ihres eigenen Werbe-Servers
beantwortet(e). Die spinnen und zeigen einem ansatzweise kundigen
Nutzer, wie sie fälschend in den Netzverkehr eingreifen.
Du meinst die "Navigations-Hilfe"?
Post by Marcel Mueller
Ja, kenne ich. Da war ich auch mal. Bis auf diesen Punkt war der
Anschluss aber sehr gut.
Und den Punkt bekommt man mit PiHole mühelos desinfiziert. Einfach die
beiden Telekom-Adressen in die Blacklist eintragen.
Diese "Hilfe" konnte man aber im Kundencenter deaktivieren und m.W. ist
das "Feature" inzwischen eingestellt. AFAIR weil sich zu viele Leute
beschwert haben.
Post by Marcel Mueller
Und irgendeine andere Einstellung habe ich damals noch geändert, damit
bei geblockten Adressen NXDomain kommt und nicht irgendeine unsinnige
IP-Adresse, was wohl Standard ist.
In der Fritte oder wo sonst?

N.B. Ich hab aus obigen Gründen auch am SPH nur 2 Geräte. Den ISDN TA
und einen Zweiten Router, ein OPNsense. Und an dessen LAN-Seite beginnt
mein Privates Netz. Die WAN-Seite ist direkt-verkabelt mit dem SPH (also
nicht wie früher über VLAN und einen Switch geleitet). Das sollte eine
100%ige Trennung von Innen und Außen sein.

Kay
--
Posted via leafnode
Marcel Mueller
2021-09-05 20:41:39 UTC
Permalink
Post by Kay Martinen
Post by Marcel Mueller
Die ganz üble Masche praktiziert(e) die Telekom, indem sie nicht
auflösbare DNS-Anfragen mit der IP-Adresse ihres eigenen Werbe-Servers
beantwortet(e). Die spinnen und zeigen einem ansatzweise kundigen
Nutzer, wie sie fälschend in den Netzverkehr eingreifen.
Du meinst die "Navigations-Hilfe"?
Bei uns heißt sowas "Werbung".
Post by Kay Martinen
Post by Marcel Mueller
Ja, kenne ich. Da war ich auch mal. Bis auf diesen Punkt war der
Anschluss aber sehr gut.
Und den Punkt bekommt man mit PiHole mühelos desinfiziert. Einfach die
beiden Telekom-Adressen in die Blacklist eintragen.
Diese "Hilfe" konnte man aber im Kundencenter deaktivieren und m.W. ist
das "Feature" inzwischen eingestellt.
Vor zwei Jahren war es noch da.
Post by Kay Martinen
AFAIR weil sich zu viele Leute beschwert haben.
Wen wundert's bei der Müll-Seite.
Außerdem hat es ein paar Programme durcheinander gebracht, die auf die
Existenz von Domänen geprüft haben.
Post by Kay Martinen
Post by Marcel Mueller
Und irgendeine andere Einstellung habe ich damals noch geändert, damit
bei geblockten Adressen NXDomain kommt und nicht irgendeine unsinnige
IP-Adresse, was wohl Standard ist.
In der Fritte oder wo sonst?
Nein, die kann nichts dafür, in PiHole. Das liefert in der
Standard-Konfig 0.0.0.0, für eine gesperrte Domain. Ich bevorzuge aber
NXDOMAIN.
Es gibt sicher Gründe für beides. Aber ich hatte zumindest noch keine
Probleme mit meiner Einstellung.
Post by Kay Martinen
N.B. Ich hab aus obigen Gründen auch am SPH nur 2 Geräte. Den ISDN TA
ISDN habe ich auch noch hier. Warum soll man auch 30 Jahre alte Telefone
wegschmeißen? ;-) Aber das können die Fritten auch.
Post by Kay Martinen
und einen Zweiten Router, ein OPNsense. Und an dessen LAN-Seite beginnt
mein Privates Netz. Die WAN-Seite ist direkt-verkabelt mit dem SPH (also
nicht wie früher über VLAN und einen Switch geleitet). Das sollte eine
100%ige Trennung von Innen und Außen sein.
100% gibt es nie, vor allem bei UPnP-Geraffel. Aber es ist mutmaßlich
hinreichend.


Marcel
Ralf Kiefer
2021-09-05 21:36:44 UTC
Permalink
Post by Kay Martinen
Ich hab keine Fritte und muß stattdessen einen Speedport Hybrid nutzen.
Das Gerät ist vermutlich keinen Deut besser als die üblichen Fritzboxen,
was die Privatsphäre angeht.
Post by Kay Martinen
Die ganz üble Masche praktiziert(e) die Telekom, indem sie nicht
auflösbare DNS-Anfragen mit der IP-Adresse ihres eigenen Werbe-Servers
beantwortet(e). Die spinnen und zeigen einem ansatzweise kundigen
Nutzer, wie sie fälschend in den Netzverkehr eingreifen.
Du meinst die "Navigations-Hilfe"?
Ich hatte schon über 15Jahre keinen Telekom-Vertrag mehr und habe das
Verhalten nur bei anderen Leuten beobachtet. Daher weiß ich nicht, ob
das der Name des Täuschungsmanövers war.
Post by Kay Martinen
Diese "Hilfe" konnte man aber im Kundencenter deaktivieren und m.W. ist
das "Feature" inzwischen eingestellt. AFAIR weil sich zu viele Leute
beschwert haben.
Die Default-Einstellung war falsch. Man hätte das den Interessierten
anbieten können, nur nicht jedem ab Werk aufzwingen dürfen.
Post by Kay Martinen
N.B. Ich hab aus obigen Gründen auch am SPH nur 2 Geräte. Den ISDN TA
und einen Zweiten Router, ein OPNsense.
Na also :-) Du hast schon Dein von Dir administriertes Gerät dahinter.
Dann könntest Du bereits so was einrichten, was ich gestern beschrieben
hatte.

Gruß, Ralf
Ralf Kiefer
2021-09-05 21:36:43 UTC
Permalink
Post by Marcel Mueller
Das nutzt nichts. Du kannst eine von AVM jungfräulich gekaufte Fritzbox
nehmen, und die wird beim ersten Kontakt mit einem Provider über TR-069
von diesem "übernommen".
Was erzählst Du denn? Ich musste alles selber einrichten und auch die
Updates steuere ich bzw. kann das maximal AVM überlassen.
Das FritzOS hat zwei Ebenen: die WAN-Seite und die LAN-Seite. Die
WAN-Seite kann ich nicht konfigurieren. BTW ich erwähnte TR-069.
Post by Marcel Mueller
Alternativ kann man natürlich auch die automatische
Erstkonfiguration erlauben.
Die meine ich nicht.

Nimm eine jungfräuliche Fritzbox (von mir unter den späten FritzOS 6
geprüft), schalte sie ein, konfiguriere den NTP-Server auf Deinen
eigenen und schaue immer wieder in die Logs oder wo sonst Datum und
Uhrzeit auftauchen. Du wirst weder in Deinem NTP-Server eine Anfrage
sehen noch korrekte Zeitstempel in der Fritzbox. Dann verbinde diese
Fritzbox mit DSL! Kurz drauf hast Du überall Zeitstempel, die sich an
den Zeitangaben vom Provider-NTP-Server orientieren.

Ich habe das und noch ein paar weitere Tests mit Verträgen von 1&1 sowie
Null-Zwo gemacht. Wer letztendlich der Verantwortliche für die Geräte in
der "Vermittlungsstelle" war und ist, weiß ich nicht. Früher mal mit
einem Vertrag bei Easybell wußte ich, daß die Geräte in der
Vermittlungsstelle von Telefonica waren und eben nicht von der Telekom.
Post by Marcel Mueller
Daten der Provider aus meiner Fritzbox trotzdem rausholen kann. MAC- und
IP-Adressen der direkt mit der Fritzbox kommunizierenden Rechner auf
jeden Fall. Unter 192.168.178.1/support.lua kann man sich Daten lokal
... wenn ich das Passwort kenne!
TR-069 interessiert sich nicht für Paßworte.
Post by Marcel Mueller
ausgeben lassen, die vermutlich genauso von außen abgerufen werden
können.
AFAIK muss man das Remote-Management erst aktivieren.
Nein, TR-069! Je nach Provider kommen die auf einem dieser Ports per TCP
und/oder UDP: 5555, 7547, 8089, 46000, 1000. Diese Ports habe ich
umgeleitet auf eine IP-Adresse ohne Gerät dahinter. Irgendwann setze ich
ein geeignetes Gerät hin und lausche :-)
Post by Marcel Mueller
Dann ändere den halt.
Hier heißt das Profil für neue Geräte (unveränderlich) "Standard".
Das ist der Familienfilter. Ungefiltert heißt "Unbeschränkt". Wann das
geändert wurde, weiß ich nicht. Ich habe diesen untergeschobenen Filter
erst vor Kurzem entdeckt, weil ich genauso dachte, daß Standard einem
"ungefiltert" entsprechen würde. Tut es aber nicht. Es gibt wohl
FritzOSse, bei denen man die Default-Einstellung auswählen kann. Bei
meinem FritzOS 6.86 nicht.
Post by Marcel Mueller
Und erschwerend kommt dazu, daß sie ab und zu
IP-Adressen von draußen einfach mal eigenständig(!) in ihre Blacklist
aufnimmt.
???
Ich fand in der Blacklist IP-Adressen, die garantiert nicht von mir
eingetragen wurden.
Post by Marcel Mueller
Nachteilig an den Fritzboxen ist die fehlende Möglichkeit die
Konfiguration mit einem Texteditor außerhalb vorzunehmen und diese
Konfiguration zu sichern.
??? - Download als XML. Und das kann man auch bearbeiten.
Hast Du verstanden, wie man dieses XML-Dokument versteht und bearbeitet?
Ich nicht. Ich interpretiere, d.h. rate, ein paar Sachen. Mehr nicht.
Post by Marcel Mueller
Von welchem externen DNS-Server holt sich die Fritzbox ihre Daten zum
Cachen?
Von PiHole.
Mit FritzOS 6.x oder 7.x?
Post by Marcel Mueller
Aber das ist beim Zugriff auf den lokalen PiHole natürlich in keinster
Weise notwendig oder auch nur hilfreich. Das muss ja dann nur PiHole
können (und der verwendete Upstream-DNS).
Wer selbst einen lokalen DNS-Server/-Resolver betreibt, wird die
Fritzbox von dieser Aufgabe entbinden. Die ist dann völlig unnötig.

Ich meinte meine Fritzbox dabei beobachtet zu haben, wie sie
DNS-Auflösungen über die Konfiguration vom WAN-Interface, also über den
Provider-DNS, machte, nachdem mein Pihole ein Weilchen nicht
funktionierte.

Vor vielen Jahren bei Tesion und vor ein paar Jahren bei 1&1 war für ein
Weilchen die Durchleitung von Port 53 (DNS) aus dem Provider-Netz
gesperrt. Was meinst Du, wie "freundlich" ich mit dem "Kundendienst"
gesprochen habe? Bei Tesion seinerzeit verstand der Kundendienst meine
Frage nach dem Filtern von Port 53 gar nicht ("Ziehen sie den Stecker
von ihrem Router!"), bei 1&1 hielt der Zustand dagegen ungefähr 30min
an, bis er repariert war.
Post by Marcel Mueller
Die ganz üble Masche praktiziert(e) die Telekom, indem sie nicht
auflösbare DNS-Anfragen mit der IP-Adresse ihres eigenen Werbe-Servers
beantwortet(e). Die spinnen und zeigen einem ansatzweise kundigen
Nutzer, wie sie fälschend in den Netzverkehr eingreifen.
Ja, kenne ich. Da war ich auch mal. Bis auf diesen Punkt war der
Anschluss aber sehr gut.
Mir geht's nicht um das Umgehen der Telekom-Aktion, sondern um deren
Frechheit dem Kunde gefälschte Daten unterzuschieben. DNS (und NTP) sind
die beiden empfindlichsten Dienste im Netz. Da ist eine solche Aktion
ein massiver Vertrauensverlust.
Post by Marcel Mueller
Überhaupt habe ich von den festen
PCs gerade mal ~40 geblockte Zugriffe in 24 Stunden, wo mindestens einer
auch durch lief.
Ich habe eigene Blacklists ergänzt. Schon immer u.a. wg. Facebook,
Google u.ä. Schnüfflern. Und zu diesen Schnüfflern gehören seit ein paar
Jahren auch die Web-Browser-Hersteller, teils auch die
Add-On-Hersteller.

Gruß, Ralf
Ignatios Souvatzis
2021-09-06 19:44:25 UTC
Permalink
Post by Kay Martinen
Auch gemischt, BareMetal und Virtuelles? Über verschiedene VLANs
getrennt? Mit bridges oder Gateways dazwischen?
Nunja.

Appletalk over Localtalk zwischen einem PowerMac 6100 und einem HP
Deskwrite 500C. Ansonsten isoliert.

Appletalk over Ethernet, gebridged ueber eine Ethertalk-Localtalk-Bridge
(tatsaechlich nach meiner Beobachtung ein Ethertalk-Localtalk-Router!)
zwischen einer NetBSD/Arm-Maschine und dem anderen Deskwriter 500C
aus der Kiste, die ich seinerzeit per Ebay erworben hatte. Das Ethernet
war gleichzeitig mein normales Heimnetz; eine Zeitlang hat ein G4-iMac
zwei stockwerke hoeher auch mit dem Drucker gespielt, aber mangels Tempo
fuer die Reallife-Anforderungen wurde dort irgendwann ein 20 Jahre(?)
jüngerer und entsprechend schnellerer Drucker angeschafft.

Ich hab mich darauf verlassen, dass mein (NetBSD-aber-ein-anderer-)Router
kein Appletalk routet.

-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor
Dennis Grevenstein
2021-09-08 22:56:53 UTC
Permalink
Post by Kay Martinen
Hat hier noch jemand mehrere Altgeräte und betreibt diese mit
ebensolchen AltOS, vernetzt? Wie gruppiert ihr die? Getrennt nach OS
(DOS, Win, OS/2, andere), nach Netzwerk-Modus (Netbeui, TCPBEUI, IPX)
oder alles wild durcheinander nebenher... oder schlichtweg nach
Client-Server erfordernissen (wer mit wem reden soll) was ja aber auch
ein einschluß- statt eines Ausschluß-kriteriums sein kann.
Auch gemischt, BareMetal und Virtuelles? Über verschiedene VLANs
getrennt? Mit bridges oder Gateways dazwischen?
Das kommt wohl auch sehr darauf an, ob Du alles 24/7 laufen
lassen willst oder bei Bedarf anschalten willst, wenn Du gerade
Spass dran hast. Ich selbst habe mit solchen bridges und
unterschiedlichen Medien keine so gute Erfahrung gemacht, einfach
weil man da soviel hardware auf einmal auffahren muss und ich
doch lieber nur an einer box zu einer gegebenen Zeit rumspiele.
Wenn man mehr als Ethernet machen will, dann wird das irgendwie
anstrengend. Dasselbe gilt auch für Sachen wie Glasfaser. Natürlich
könnte man das problemlos bridgen, aber dann braucht man wieder
einen richtigen router mit dickem Lüfter und schon fängt man an
noch mehr hardware aufzubauen. Wenn es einem Spass macht, bitte.
Aber mir ist das halt zu anstrengend.
Protokolle und sowas mische ich allerdings wie notwendig wild
durcheinander und vertraue auf eine firewall.

gruss,
Dennis
--
"I've seen things you people wouldn't believe. Attack ships on fire off the
shoulder of Orion. I watched C-beams glitter in the dark near the Tannhäuser
gate. All those moments will be lost in time, like tears in rain."
Chr. Maercker
2021-09-09 10:58:12 UTC
Permalink
Post by Kay Martinen
Hat hier noch jemand mehrere Altgeräte und betreibt diese mit
ebensolchen AltOS, vernetzt? Wie gruppiert ihr die? Getrennt nach OS
(DOS, Win, OS/2, andere), nach Netzwerk-Modus (Netbeui, TCPBEUI, IPX)
oder alles wild durcheinander nebenher... oder schlichtweg nach
Client-Server erfordernissen (wer mit wem reden soll) was ja aber auch
ein einschluß- statt eines Ausschluß-kriteriums sein kann.
Auch gemischt, BareMetal und Virtuelles? Über verschiedene VLANs
getrennt? Mit bridges oder Gateways dazwischen?
Dereinst hatten wir Cheapernet mit IPX und TCPIP im Einsatz.
Angeschlossen waren NetWare-Server, DOS/W3.x-PCx, einzelne Classic Macs
(via IPX), und ein paar Unix-Hosts. Dein Dutzend Geräte sollten im LAN
ohne Router auskommen, allenfalls für den Übergang ins Internet
braucht's einen. Die PCs hatten Dual-Stacks für IPX und IP, ebenso die
NetWare-Server, die vor NW5 aber nur FTP, SNMP etc. konnten. Die
Unix-Boxen konnten nur IP.
--
CU Chr. Maercker.
Lesen Sie weiter auf narkive:
Loading...