 |
|
|
|
| Autor |
Nachricht |
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
 Verfasst am:
Di 07 Apr, 2009 10:26 |
  |
|
Moin,
also das mit den Objekten per GUI hab ich mir ja lange gewünscht, aber die Umsetzung verstehe ich noch nicht so ganz!
- AH, ESP und IPComp sind vorhanden, aber sollte dann nicht auch GRE vorhanden sein?
- AH, ESP und IPComp treten häufig gemeinsam auf, entsprechend legt Lanconfig dafür selbstständig ein neues Dienst-Objekt an, wenn diese Protokolle in einer Regel gemeinsam verwendet werden. Dann könnte man aber auch gleich ein enstprechendes Objekt vorgeben?
- PPTP ist vorhanden, aber L2TP fehlt...
- Es gibt Objekte für HTTP (TCP 80) und HTTPS (TCP 443), aber bei manueller Wahl über Benutzerdefiniert wird bei Webzugriff (HTTP/HTTPS) auch noch TCP 591, 8008 und 8080 dazugenommen! Wieso der Unterschied? Dann gibt es da auch noch das Objekt Web (80,443)...
Kommt mir alles irgendwie etwas gewürfelt vor, je nachdem wer was haben wollte. Mal sind Zusammenfasungen vorhanden, mal nicht, eine Logik dahinter erschliest sich mir momentan nicht - kann hier jemand etwas erhellendes dazu beitragen?
Will ich nun IPSec machen, müßte man laut: (http://www2.lancom.de/kb.nsf/a5ddf4817397fe77412569eb00329ec2/97d4ce3db186f4a5c1256e3d0039172c?OpenDocument) in einer Regel nicht nur das Objekt IPSec auswählen sondern auch noch das Objekt ESP und ggf. AH. Oder merkt das die Box wieder von selbst?
So oder so, die Benamung und Vorgabe der Dienst-Objekte erscheint mir im Moment arg willkürlich und unzureichend. Man möge mir bitte die Logik dahinter näher bringen - auch unter Berücksichtigung der Tatsache, daß Lanconfig auch von Anwendern benutzt wird, die noch weniger über diese Thematik wissen als ich...
Danke
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 07 Apr, 2009 14:57 |
|
|
Hi COMCARGRU
| Zitat:
|
|
- AH, ESP und IPComp sind vorhanden, aber sollte dann nicht auch GRE vorhanden sein?
|
weil GRE i.A. zusammen mit PPTP auftritt und das wird von der Firewall automatisch erkannt - zudem gibt es für PPTP ein eigenes Objekt
| Zitat:
|
|
- AH, ESP und IPComp treten häufig gemeinsam auf, entsprechend legt Lanconfig dafür selbstständig ein neues Dienst-Objekt an, wenn diese Protokolle in einer Regel gemeinsam verwendet werden. Dann könnte man aber auch gleich ein enstprechendes Objekt vorgeben?
|
ehrlich gesagt: IPComp tritt niemals (weil es immer in ESP verpackt ist), AH extrem selten und nur ESP recht häufig auf. Daher ist es eigentlich unsinnig, daß LANconfig diese drei Objekte in einer Regel zusammenfaßt. Der Einzige Grund dafür ist, daß der User nicht darüber nachdenken muß, welche Dienste er denn wirklich eintragen soll...
| Zitat:
|
|
PPTP ist vorhanden, aber L2TP fehlt...
|
L2TH tritt auch eher selten bis nie auf... Wenn Microsoft das nutzt, dann ist da immer noch ein IPSec-Transport-Mode davor, was mit ESP bedient ist
| Zitat:
|
|
- Es gibt Objekte für HTTP (TCP 80) und HTTPS (TCP 443), aber bei manueller Wahl über Benutzerdefiniert wird bei Webzugriff (HTTP/HTTPS) auch noch TCP 591, 8008 und 8080 dazugenommen! Wieso der Unterschied?
|
Bei HTTP und HTTPS gibt nunmal feststehende zuordnungen zwischen Protokoll und Port. Daß bei den benutzerdefinierten Diensten auch noch die anderen Ports aufgenommen werden hat - sagen wir mal - "historische Gründe"...
| Zitat:
|
|
Dann gibt es da auch noch das Objekt Web (80,443)...
|
Dieses Objekt soll den Webzugriff abdecken. Warum hier die üblichen Proxy-Ports nicht aufgenommen wurden, kann ich dir auch nicht sagen.
| Zitat:
|
|
Will ich nun IPSec machen, müßte man laut: (http://www2.lancom.de/kb.nsf/a5ddf4817397fe77412569eb00329ec2/97d4ce3db186f4a5c1256e3d0039172c?OpenDocument) in einer Regel nicht nur das Objekt IPSec auswählen sondern auch noch das Objekt ESP und ggf. AH. Oder merkt das die Box wieder von selbst?
|
Das ist korrekt - das ist ja auch das, was bei der Auswahl des Dienstes passiert, wenn du "Virtuelles privates Netzwerk (VPN/IPSec)" anklickst...
| Zitat:
|
|
So oder so, die Benamung und Vorgabe der Dienst-Objekte erscheint mir im Moment arg willkürlich und unzureichend. Man möge mir bitte die Logik dahinter näher bringen - auch unter Berücksichtigung der Tatsache, daß Lanconfig auch von Anwendern benutzt wird, die noch weniger über diese Thematik wissen als ich...
|
Die Voragbe, welche Dienste als vordefinierte Objekte angelegt werden, wurde vom Produktmanager erstellt - und dem ging es darum, möglichst die Standardszenarien abzudecken. Daher sind auch solche Dinge wie SAP-GUI und KAAZAA-MORPHEUS als Objekte vordefiniert
Gruß
Backslash |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Di 07 Apr, 2009 16:33 |
|
|
Hi,
Danke für die Antworten! Also für die Akten:
| Zitat:
|
|
weil GRE i.A. zusammen mit PPTP auftritt und das wird von der Firewall automatisch erkannt - zudem gibt es für PPTP ein eigenes Objekt
|
Sinngemäß könnte man es aufführen um logisch korrekt zu sein, aber die Box behandelt es korrekt und fertig!
| Zitat:
|
|
Daher ist es eigentlich unsinnig, daß LANconfig diese drei Objekte in einer Regel zusammenfaßt. Der Einzige Grund dafür ist, daß der User nicht darüber nachdenken muß,
|
Ok, aber für Leute die darüber nachdenken, wirft es dann Fragen auf! Muß man ja nur wissen...
| Zitat:
|
Das ist korrekt - das ist ja auch das, was bei der Auswahl des Dienstes passiert, wenn du "Virtuelles privates Netzwerk (VPN/IPSec)" anklickst...
|
Ja und weil das so ist, fragt man sich halt woher die Unterschiede kommen... - Ich wollte halt nur wissen, ob gewürfelt wurde oder nicht...
-----------
Neue Frage: Das Objekt LOCALNET ist das nur LAN oder auch DMZ? - Nur zur Sicherheit...
Vielen Dank
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 07 Apr, 2009 16:37 |
|
|
Hi COMCARGRU
| Zitat:
|
|
Das Objekt LOCALNET ist das nur LAN oder auch DMZ? - Nur zur Sicherheit...
|
LOCALNET enthält *alle* lokalen Netze - daher ist es auch nur als %L deklariert. Wenn du bestimmte Netze haben willst, dann mußt du ein Objekt anlegen, daß die Namen der Netze enthält, z.B. %LINTRANET %LDMZ etc...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
