dirtyharry
Bitte beantworten Sie folgende Fragen, in dem sie an das Ende der Zeile Ihre Antwort einfügen! Dies erleichtert den Usern und/oder Moderatoren ihre Frage(n) zu beantworten!
- Jana-Version: ...Jana Server 2.2.3
- Windows-Version: ...WIN2000 5.0
- Läuft Jana hinter einem Router: ...Netgear DG8343B
- Läuft eine Firewall (welche): ...nein
- Läuft ein Virenscanner (welcher): ...nein
- Wie bzw. wo wird der Virenscanner aufgerufen: ...
Was ist in den entsprechenden Logfiles vermerkt, bitte nur den betreffenden Ausschnitt posten bzw. ist das Logfile zugroß dieses als Anhang anfügen oder über Ihre HP verlinken?
X-Threads durchgelesen und keine Lösung gefunden ..
Meine alte JANA-Konfiguration über DFÜ (Einwahl über ADSL-Modem) hat funktioniert. Nun kommt die Umstellung: 2 PC´s gehen direkt über den Router ins I-Net .. funktioniert .. JANA soll weiterhin weiteren 3 PC´s den kontrollierten Zugang ermöglichen.
Aktionen bisher: DFÜ-Häkchen entfernt .. Router hat 192.168.0.30 .. 1. Netzwerkkarte auf dyn. IP eingestellt, als DNS + Gateway 192.168.0.30 (Router) eingestellt, in JANA als DNS-Server 192.168.0.30 eingestellt, DNS-Server bei Bindung aktiviert, im IE "keine Verbindung wählen" eingestellt ..
Ich verzweifel noch .. JANA kommt einfach nicht raus, Symbol wird auch nicht grün .. DerAbend ist wieder am PC gelaufen .. siehe Uhrzeit ..
Wer weiß Rat ? Also am liebsten würde ich gleich eine "Kapazität" von Euch Usern anrufen anrufen ;-)
Nun laß ich mich mal überraschen,
Gruß dirtyharry
katho80
| Zitat: |
Original von dirtyharry- Jana-Version: ...Jana Server 2.2.3
|
Schonmal über ein Update auf die aktuelle Version nachgedacht?
| Zitat: |
Netzwerkkarte auf dyn. IP eingestellt
|
Könnte sein, dass Jana ihre IP nicht schnell genug erhält. Schau mal nach ob du "Fehler beim Starten des Ports..."-Fehler in deiner Server.log hast. Falls ja, Jana entweder eine feste IP zuordnen und die im Router-DHCP für die Jana-MAC reservieren, oder Jana verzögert starten (Jana kann seine Dienste nur an bestehende IP's binden, dazu muss die vom DHCP natürlich schon erteilt sein.
| Zitat: |
...in JANA als DNS-Server 192.168.0.30 eingestellt
|
Wo denn das? Unter "DNS-Server des Providers"? Ist auf jeden Fall falsch! Der Router wird nur in den Netzwerkeinstellungen der Netzwerkkarte zum Router als DNS eingetragen, sonst nirgends. Sonst sucht Jana im Internet nach einem vorgelagerten DNS-Server mit der Router-IP, der natürlich nicht gefunden werden kann.
| Zitat: |
DNS-Server bei Bindung aktiviert, im IE "keine Verbindung wählen" eingestellt ..
|
An welche IP hast den DNS-Server von Jana gebunden? Der muss an die IP der zweiten Netzwerkkarte (die zu den drei weiteren Clients) in Jana gebunden werden. Jetzt noch in den Netzwerkeinstellungen der Clients als Gateway und als DNS die IP der zweiten Netzwerkkarte im Jana-Rechner angeben.
Achja, dein Jana-Symbol wird nie wieder grün werden...zumindest, solange du keine DFÜ-Verbindung mehr verwendest. Das Symbol wird nur grün, wenn Jana selbst eine DFÜ-Verbindung aufbaut.
Falls das alle nicht hilft, LOGFILES posten!!!
Gruß Thomas
dirtyharry
Sodele .. ich hoffe weiter auf eure Hilfe .. also habe nun folgende Konstellation zusammengesteckt (und nicht schimpfen weil ALLES am Switch hängt .. das wird - wenn alles funktioniert - umgesteckt. Ist jetzt nur für Testzwecke aus räumlichen Gründen so damit ich "pingen" kann):
JANA Update gemacht .. nun ver. 2.4.5.1
Router Netgear DG834B:
fest auf IP 192.168.0.30 eingestellt und wählt sich ins ADSL ein.
JANA Server:
Netzwerkkarte 1 fest auf 192.168.0.7 eingestellt - fürs "Heimnetz"
kein DNS-Eintrag, kein Gateway-Eintrag
Protokoll Client für MS aktiviert
Protokoll Datei + Druckerfr. für MS aktiviert
Protokoll TCP/IP
Netzwerkkarte 2 fest auf 192.168.0.2 eingestellt - zum "Router"
kein DNS-EIntrag, 192.168.0.30 als Gateway eingetragen
Protokoll Client für MS aktiviert
Protokoll Datei + Druckerfr. für MS aktiviert
Protokoll TCP/IP
Protokoll PPOE deaktiviert
JANA Einstellungen:
Kreuz bei DFÜ entfernt
Eintrag 127.0.0.1, 192.168.0.7 bei IP Adressen an die JANA gebunden ist
Kein DNS-Server-Eintrag, alles entfernt
IE Einstellung:
Keine Verbindung wählen
Man. PROXY mit den alten Einstellungen 192.168.0.7 / Port 3128
Fehlermeldung Server.log:
Netzwerkfehler 11001
Und ich hab x-adressen ausprobiert .. also kein Tippfehler in der URL!
Alle IP´s 192.168.0.30 + .. 0.1 + .. 0.2 + .. 0.7 .. lassen sich anpingen
Aber JANA kommt nicht ins I-NET
Mein PC (IP ..0.1 mit ..0.30 als Gateway kommt direkt ins I-Net .. Router tuts also. Ist wirklich nur die Frage wie bekomme ich JANA dazu den Router als Gateway ins I-Net zu akzeptieren .. Verzweifel ..
mikew
| Zitat: |
dirtyharry:
Netzwerkkarte 2 fest auf 192.168.0.2 eingestellt - zum "Router"
kein DNS-EIntrag, 192.168.0.30 als Gateway eingetragen
[...]
Netzwerkfehler 11001 |
Wie soll Jana also Namen auflösen? Du musst der Router-seitigen Karte einen DNS-Eintrag verpassen: Entweder den deines Providers oder den Router selbst, sofern dieser einen eigenen DNS-Proxy hat.
dirtyharry
so, habe nun 192.168.0.30 (den router) als DNS auf der 2. Netzwerkarte (die zum router eingetragen)
ES FUNKTIONIERT :-) - DANKE !
Hatte wohl einige Fehlconfigs drin.
Nun noch eine weitere Frage und hier kenne ich keinen Lösungsansatz :-(
Habe nun Alles so umgestöpselt wie ich es "wollte" ..
2 PC´s direkt am router,
3 PC´s über Switch an JANA-Server und über 2. Netzwerkkarte ins I-NET
Wie bekomme ich mit den 2 PC´s die direkt am Router hängen Zugriff auf das Netz der 3 PC´s die vor Jana hängen ? Das müßte ja dann über die 2. Netzwerkkarte im JANA-Server geschehen .. ist das überhaupt möglich ?
gruß dirtyharry
katho80
Mich wundert, dass es überhaupt funktioniert hat. Meine nämlich, ich hätte mal gelesen, dass Windows Probleme mit zwei Netzwerkkarten hat, die im selben Netzsegment liegen (korrigiert mich, wenn ich falsch liege).
Zu deiner Frage: AFAIK nein, da Jana ein Proxy und kein Router ist. Meine aber, hier schon mal einen Thread gesehen zu haben, in dem einer Jana und ICS parallel laufen lässt.
Ansonsten geht das nur mit einem Hardware-Router, indem du alle PC's direkt an den Router hängst, für die drei, die über Jana sollen, aber den Internet-Zugriff sperrst.
Gruß Thomas
S.K.
Hallo,
| Zitat: |
dirtyharry:
Wie bekomme ich mit den 2 PC´s die direkt am Router hängen Zugriff auf das Netz der 3 PC´s die vor Jana hängen ? Das müßte ja dann über die 2. Netzwerkkarte im JANA-Server geschehen .. ist das überhaupt möglich ? |
Na auf diese Frage warte ich schon seit der Eröffnung dieses Threads.
Grundsätzlich ist das sehr wohl möglich. Allerdings müsstest Du dann 2 verschiedene Subnetze konfigurieren und auf dem Rechner, auf dem Jana läuft, IP-Forwarding aktivieren. Dann allerdings kannst Du Dir den Janaproxy auch gleich sparen...
Vorschlag:
Überprüfe erst mal die Möglichkeiten Deines Routers! Vielleicht kannst Du künftig ohnehin auf Jana verzichten. Manche SOHO-Router haben nicht nur eine brauchbare Firewall, sondern auch einen transparenten HTTP-Proxy integriert, mit dem sich auch Black- und Whitelists verwalten lassen. Auch eine Userverwaltung und Zeitkontingente sollen bei einigen Geräten möglich sein. In jedem Fall aber kannst Du den Zugriff anhand der Client-IPs regeln.
Wenn der Router nicht das bietet, was Du mit Jana an Restriktionen implementieren willst, dann mach es doch so:
Der Rechner, auf dem Jana läuft, hat nur eine NIC mit einer festen IP. Er und alle Clients hängen direkt am Router und liegen im gleichen IP-Subnet. Nun regelst Du im Router anhand der IP-Adressen der Rechner (fest vergeben oder zuweisen), was welcher Rechner an Datenverkehr nach draußen darf. Grundsätzlich ist alles verboten. Nur der Janaproxy (und über ihn die Clients) darf surfen. Wenn dann noch ein einzelner Client einen direkten Zugriff über den Router nach draußen benötigt, dann machst Du das gezielt auf (so hat es auch katho80 vorgeschlagen).
| Zitat: |
katho80:
Mich wundert, dass es überhaupt funktioniert hat. Meine nämlich, ich hätte mal gelesen, dass Windows Probleme mit zwei Netzwerkkarten hat, die im selben Netzsegment liegen (korrigiert mich, wenn ich falsch liege). |
Grundsätzlich können die Netzwerkkarten schon im gleichen IP-Subnet liegen (sonst würde das Windoof auch nicht zulassen). Allerdings macht es nur Sinn, wenn die beiden NICs auch im gleichen physikalischen Netzwerksegment liegen. Dann kann man damit ganz nette Dinge machen, wie Lastverteilung und Ausfallsicherheit, wenn es die Treiber und die Anwendungen unterstützen.
Hier liegen die beiden Netzwerkkarten aber in verschiedenen physikalischen Netzwerksegmenten. Das macht nicht nur keinen Sinn, sondern u.U. auch Ärger und wird deshalb von M$ auch nicht empfohlen. Ich hatte hier irgendwo schon mal einen KB-Artikel dazu gepostet. Bin jetzt aber zu faul zum suchen...
Gruß
Steffen
dirtyharry
Zum Grundproblem:
Ich möchte auf den JANA-Server nicht verzichten da ich hiermit den I-Net-ZUgriff meinder Kids reglementiere .. Tage .. Zeiten .. URL´s ..
Die andere Frage wäre eben:
Wenn alle an einem Switch hängen, wie kann verhindert werden das man den JANA-Server umgeht ..
Der Router bietet leider keine "Einzel-User-Verwaltung" und Sohnemann Nr. 2 ist durchaus in der Lage seine IP zu wechslen ..
Gibts für das Problem eine wasserdichte Lösung ?
S.K.
| Zitat: |
dirtyharry:
Wenn alle an einem Switch hängen, wie kann verhindert werden das man den JANA-Server umgeht. Der Router bietet leider keine "Einzel-User-Verwaltung" und Sohnemann Nr. 2 ist durchaus in der Lage seine IP zu wechslen .. |
Solange nur die IP von Jana surfen darf und der Janarechner eingeschaltet ist, kann ein anderer Rechner nicht so einfach die IP-Adresse übernehmen. Das würde zu einem Konflikt führen. Zusätzlich könnte man dem Sohnemann die administrativen Rechte auf der Maschine nehmen (wenn das OS das bietet und für ihn die eingeschränkten Rechte ausreichen). Nahezu alle Router können zudem Zugriffe anhand der MAC-Adresse regeln. Das könnte eine weitere, recht hohe Hürde gegen Umgehungsversuche sein.
Wasserdicht ist das natürlich alles nicht (aber was ist das schon, außer Kabel durchschneiden?).
Zäumen wir das Pferd mal von der anderen Seite auf:
1) Warum müssen überhaupt Rechner direkt am Router hängen? Welchen besonderen Datenverkehr nach draußen benötigen denn die? Vielleicht kann man das ja über ein Extragateway über den Janarechner hinweg tunneln, diese Rechner also auch hinter den Janaserver bringen...
2) Wenn Punkt 1 nicht realisierbar: Welcher Datenverkehr zwischen den Rechnern, die direkt am Router hängen, und denen, die hinter Jana stehen, ist denn überhaupt zwingend erforderlich? Zentrale Fileservices z.B. könnte doch auch der Rechner anbieten, auf dem Jana läuft...
Gruß
Steffen
Matneu
| Zitat: |
Original von S.K.
Solange nur die IP von Jana surfen darf und der Janarechner eingeschaltet ist, kann ein anderer Rechner nicht so einfach die IP-Adresse übernehmen. Das würde zu einem Konflikt führen. |
Bei Windows wäre ich mit sowas immer sehr sehr vorsichtig. Seitdem ich auf der letzten CeBit live gesehen habe, wie ein Windows-Rechner dem anderen Rechner den ARP-Cache verändert hat (per LAN) und somit den gesamten Verkehr über das Umbiegen der Routen übernommen hat ist es auch kein Problem, IP-Adressen bzw. MAC-Adressen zu spoofen, zumindest unter Windoof. Hatte das doch auch einmal auf dem Jana-Mod-Treffen vorgeführt und Dieters MAC-Adresse übernommen
Was der Router (bzw. genau genommen der eingebaute Switch im Router) dann dazu sagt, dass die gleiche MAC-Adresse plötzlich zwei mal auftaucht weiss ich nicht, im besten Fall sperrt er beide Ports, im schlimmsten lässt er beide zu.
Eine wirklich 100%ig sichere Alternative gibt es da wohl nur per VPN, aber ein MAC-Filter sollte es schon sein. IP ist IMO viel zu unsicher. Und dass man den ARP-Cache eines Hardware-Routers ändern kann, davon habe ich bisher noch nichts gehört, das soll wohl AFAIK nur unter Windows gehen.
So far...
Matthias
videomartin
DirtyHarry,
| Zitat: |
| Meine alte JANA-Konfiguration über DFÜ (Einwahl über ADSL-Modem) hat funktioniert. Nun kommt die Umstellung: 2 PC´s gehen direkt über den Router ins I-Net .. funktioniert .. JANA soll weiterhin weiteren 3 PC´s den kontrollierten Zugang ermöglichen. |
Meine Frage wäre, warum Du 2 PC's den direkten Zugang erlauben willst.
Das zweite Thema ist natürlich, was auf den Clients der Kid's läuft.
Ich bin auf allen meinen Rechnern bemüht alles nur als "Benutzer" abzuwickeln, was zwar am Anfang etwas mühsam ist, aber es geht dann sehr gut (klappt mit den meisten Sachen, die die Kid's machen wollen, aber meist nicht so toll).
Wenn die also ihre IP-adressen ändern können, ist es entweder Win9x oder die arbeiten als Hauptbenutzer oder gar mit Admin-Rechten.
Wenn dem Router also verklickert wird, nur die IP von Jana im Intranet zu akzeptieren, wäre das doch die Lösung - jedenfalls solange der Janaserver läuft.
Und anhand der Benutzerrechte kannst Du verschiedenartige Rechte für jeden Benutzer bzw. die IP-Adressen in Jana vergeben.