Hallo,
ich setze den 1711 aus verschiedenen gründen in meinem Privaten umfeld ein.
Damit alle Benutzer "sicher" voneinander getrennt (Einige verwenden etwas "unsichere" PC-Konfigurationen, einer hat sich auch schonmal einen Wurm eingefangen) sind vom Lancom 3 voneinander getrennte Netze aufgebaut und durch entsprechende Firewall regeln voneinander getrennt. Konfigurationszugriff auf den Lancom e.t.c. habe zurzeit nur ich, geschützt durch das Administratorkennwort.
Verwendet wird "ganz normales" T-DSL mit T-Online. (Jetzt T-Home?)
Nun möchte einer der Benutzer gerne ab und an die DSL-Verbindung von Hand neustarten um eine neue dynamische IP zugewiesen zu bekommen.
(Ich weiß nicht genau warum, für irgendwelche PC-Spiele oder so?)
Natürlich soll der Benutzer nach möglichkeit keine weiteren Konfigurationsmöglichkeiten bekommen, damit dieser nicht ausversehen Firewallregeln ändert o.ä.
Wie er diesen Neustart auslöst ist dem Benutzer dabei relativ egal - am bequemsten wäre natürlich per LANmonitor, aber auch SSH oder Telnet wären okay, die entsprechenden Befehle kann ich sicherlich raussuchen.
Mit freundlichen Grüßen
CommanderZed
1711 - Benutzer erlauben die pppoe-verbindung neuzustarten
Moderator: Lancom-Systems Moderatoren
-
CommanderZed
- Beiträge: 4
- Registriert: 17 Mai 2009, 15:23
Hi,
nun man könnte eine zweiten Internetzugang einrichten mit den gleichen Ameldedaten und dann könnte man einen Benutzer einrichten und für den den Internetassistenten im WEB freischalten (Management->Admin->Weitere Administratoren -> Hinzufügen -> Zugriffsrechte "Keine" -> Funktions-Rechte für HTTP(s) alles aus bis auf "Internet-Assistent" . Ist zwar von hinten durch die Brust ins Auge, dürfte aber klappen
Dir sollte aber klar sein, das damit allen anderen die im Netz über den Zugang surfen in diesem Fall die Sessions abreissen (Downloads, Streams usw.) Ich würde den Guten erst mal Fragen wieso er das überhaupt will. Für Spiele ist das sicherlich nicht hilfreich.
Gruß
TiWi
nun man könnte eine zweiten Internetzugang einrichten mit den gleichen Ameldedaten und dann könnte man einen Benutzer einrichten und für den den Internetassistenten im WEB freischalten (Management->Admin->Weitere Administratoren -> Hinzufügen -> Zugriffsrechte "Keine" -> Funktions-Rechte für HTTP(s) alles aus bis auf "Internet-Assistent" . Ist zwar von hinten durch die Brust ins Auge, dürfte aber klappen
Dir sollte aber klar sein, das damit allen anderen die im Netz über den Zugang surfen in diesem Fall die Sessions abreissen (Downloads, Streams usw.) Ich würde den Guten erst mal Fragen wieso er das überhaupt will. Für Spiele ist das sicherlich nicht hilfreich.
Gruß
TiWi
Moin,
je nachdem wie unbequem es sein darf - man kann auch den
Ethernet-Stecker der WAN-Verbindung ziehen und dann
wird die Verbindung wegen Layer1-Fehler auch getrennt -
dafür bedarf es gar keiner Rechte
Gruß Alfred
je nachdem wie unbequem es sein darf - man kann auch den
Ethernet-Stecker der WAN-Verbindung ziehen und dann
wird die Verbindung wegen Layer1-Fehler auch getrennt -
dafür bedarf es gar keiner Rechte
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Erstelle ihm eine Batchdatei mit der Befehlszeile:
tftp -i <router-ip> get <root-pw>do/o/m/d <Verbindungsnamen>
Dann erstelle einfach eine Verknüpfung hierfür auf dem Desktop.
Du kannst dafür auch einen zusätzlichen Benutzer einrichten.
Der Anwender benötigt dann keine zusätzlichen Tools.
Trotzdem kann er dann natürlich das root-pw bzw das Passwort des neuen Users auslesen.
Gruß
Jürgens
tftp -i <router-ip> get <root-pw>do/o/m/d <Verbindungsnamen>
Dann erstelle einfach eine Verknüpfung hierfür auf dem Desktop.
Du kannst dafür auch einen zusätzlichen Benutzer einrichten.
Der Anwender benötigt dann keine zusätzlichen Tools.
Trotzdem kann er dann natürlich das root-pw bzw das Passwort des neuen Users auslesen.
Gruß
Jürgens
Hi juergens
Alle Ideen, bei denen der User Schreibrechte braucht - und die braucht er um Aktionen auszuführen - sind hier gänzlich ungeeignet. Daher bleibt hier nur TheCloud's Idee
Gruß
Backslash
dann kann er dem User das Root-Paßwort auch gleich nennen, aber genau das will CommanderZed ja nicht:Erstelle ihm eine Batchdatei mit der Befehlszeile:
tftp -i <router-ip> get <root-pw>do/o/m/d <Verbindungsnamen>
Mit mit root-Paßwort kann der User aber alles konfigurieren - insbesondere auch die Firweall.Natürlich soll der Benutzer nach möglichkeit keine weiteren Konfigurationsmöglichkeiten bekommen, damit dieser nicht ausversehen Firewallregeln ändert o.ä.
Alle Ideen, bei denen der User Schreibrechte braucht - und die braucht er um Aktionen auszuführen - sind hier gänzlich ungeeignet. Daher bleibt hier nur TheCloud's Idee
Gruß
Backslash
Falsch:
Für den Internetwizard braucht er keine Schreibrechte. Das ist damals extra so rein gekommen für die Deutsche Bank Home Office Leute, wenn ich mich recht erinnere. Wenn das natürlich zwischenzeitlich geändert wurde, dann klappt das nicht mehr.
Und der Tipp vom Alfred würde auch funktionieren
EDIT:
Das Ding heisst aber Provider Auswahl, nicht Internetwizard... die Funktioniert aber genau so wie ich erwartet habe ohne Schreibrechte.
Für den Internetwizard braucht er keine Schreibrechte. Das ist damals extra so rein gekommen für die Deutsche Bank Home Office Leute, wenn ich mich recht erinnere. Wenn das natürlich zwischenzeitlich geändert wurde, dann klappt das nicht mehr.
Und der Tipp vom Alfred würde auch funktionieren
EDIT:
Das Ding heisst aber Provider Auswahl, nicht Internetwizard... die Funktioniert aber genau so wie ich erwartet habe ohne Schreibrechte.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
CommanderZed
- Beiträge: 4
- Registriert: 17 Mai 2009, 15:23
Hi CommanderZed,
ich würde das mit dem Trennen der Verbindung noch mal genauer klären.
Ich kenne nur einen Grund, eine neue dynamische Ip zu benötigen... Dienste wie Rapidshare.
Ich hoffe für Dich Du bist nicht der Eigentümer der Kennung....
Außerdem werden bei jeder Trennung die User der anderen Netze tangiert.
Wieso benutzt Du die kompliziertere Firewalllösung, statt einfach die LAN- Ports in den private Mode zu schalten ?
Gruß
Genom
ich würde das mit dem Trennen der Verbindung noch mal genauer klären.
Ich kenne nur einen Grund, eine neue dynamische Ip zu benötigen... Dienste wie Rapidshare.
Ich hoffe für Dich Du bist nicht der Eigentümer der Kennung....
Außerdem werden bei jeder Trennung die User der anderen Netze tangiert.
Wieso benutzt Du die kompliziertere Firewalllösung, statt einfach die LAN- Ports in den private Mode zu schalten ?
Gruß
Genom
-
CommanderZed
- Beiträge: 4
- Registriert: 17 Mai 2009, 15:23
Hi,
Ich bin allerdings nicht der inhaber, somit müssen die beiden das untereinander regeln
Ich habs aber so verstanden, das wenn der Lancom dann auf Layer3, IP, ein Paket an "ihn" als router bekommt, er das paket sehr wohl weiter zum anderen Netzwerk ganz normal auf layer3 routet, sofern er nicht durch die Firewall daran gehindert wird.
k.A. - Rapidshare klingt schon recht logisch, hab ich garnicht dran gedacht.Genom hat geschrieben:Hi CommanderZed,
ich würde das mit dem Trennen der Verbindung noch mal genauer klären.
Ich kenne nur einen Grund, eine neue dynamische Ip zu benötigen... Dienste wie Rapidshare.
Ich hoffe für Dich Du bist nicht der Eigentümer der Kennung....
Ich bin allerdings nicht der inhaber, somit müssen die beiden das untereinander regeln
Ja, das stimmt natürlich, derjenige soll darauf achten das er das dann macht wenn es niemanden stört - ansonsten wird die funktion wieder deaktiviert, deshalb ist es mir auch wichtig das derjenige kein Administratorzugang bekommtGenom hat geschrieben: Außerdem werden bei jeder Trennung die User der anderen Netze tangiert.
Ich habs im Handbuch leider nirgendwo gefunden, ich habe bislang diese diese Option so interpretiert, das damit verhindert wird das zwischen den einzelnen "Switchports" keine Ethernet-Pakete mehr wie bei einem Switch übertragen werden, sonder "nur" noch zum lancom selbst, die Ports also Physikalisch auf Layer2 separiert werden.Genom hat geschrieben: Wieso benutzt Du die kompliziertere Firewalllösung, statt einfach die LAN- Ports in den private Mode zu schalten ?
Ich habs aber so verstanden, das wenn der Lancom dann auf Layer3, IP, ein Paket an "ihn" als router bekommt, er das paket sehr wohl weiter zum anderen Netzwerk ganz normal auf layer3 routet, sofern er nicht durch die Firewall daran gehindert wird.
Hi CommanderZed
das ist korrekt.
Gruß
Backslash
Ich habs im Handbuch leider nirgendwo gefunden, ich habe bislang diese diese Option so interpretiert, das damit verhindert wird das zwischen den einzelnen "Switchports" keine Ethernet-Pakete mehr wie bei einem Switch übertragen werden, sonder "nur" noch zum lancom selbst, die Ports also Physikalisch auf Layer2 separiert werden.
das ist korrekt.
und das ist ebenfalls korrekt - ein Lob an dich, daß du das bedacht hast...Ich habs aber so verstanden, das wenn der Lancom dann auf Layer3, IP, ein Paket an "ihn" als router bekommt, er das paket sehr wohl weiter zum anderen Netzwerk ganz normal auf layer3 routet, sofern er nicht durch die Firewall daran gehindert wird.
Gruß
Backslash
Hallo nochmal,
D.H. "Ping Client" in Netz2 funktioniert? Uuups
Gruß
Habe ich das richtig verstanden ? Sobald 2 unterschiedliche Netze auf verschiedenen Switchports vorhanden sind, nützt die Separierung nichts mehr, da das Routingmodul die beiden Ports "verbindet"?und das ist ebenfalls korrekt - ein Lob an dich, daß du das bedacht hast...
D.H. "Ping Client" in Netz2 funktioniert? Uuups
Gruß
Hi Genom
Gruß
Backslash
korrekt... Um hier wieder separieren zu können, gibt es die Intarface-Tags...Habe ich das richtig verstanden ? Sobald 2 unterschiedliche Netze auf verschiedenen Switchports vorhanden sind, nützt die Separierung nichts mehr, da das Routingmodul die beiden Ports "verbindet"?
D.H. "Ping Client" in Netz2 funktioniert? Uuups
Gruß
Backslash