---

Hej,

Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
Microsoft Windows 2000 VPN Server parallelt med en firewall.
Jeg har ledt på nettet, men ikke fundet nogen der omtaler det. Det er ikke
helt frivilligt at jeg ønsker at gøre det, men årsagen hertil behøver vi
ikke diskutere. Normalt ville man sætte den efter firewall'en, ikke? Jeg har
også set få eksempler på at den placeres foran.

Jeg har sat filtre op på VPN-maskinen så den kun tillader VPN trafik, men
jeg formoder at når ingen (eller få) omtaler den parallelle placering, så er
det fordi at hvor firewalls er afprøvede og dedikerede til at filtrere, så
er Microsoft's VPN Server ikke?

MS's VPN dokumentation:
http://www.microsoft.com/windows2000/docs/vpndeploy.doc (>500kb)
Side 42: VPN Server bag firewall
Side 44: VPN Server foran firewall


Hvad synes I? Er det for risikabelt?


mvh/JJ

---

On Sun, 14 Apr 2002 21:45:36 +0200, "JJ" <jesperhn@tdcadsl.dk>
wrote:

> Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
> Microsoft Windows 2000 VPN Server parallelt med en firewall.

Jeg kan generelt godt lide, at man tager VPN-trafikken ind på
yderside-benet og tillader det ud på et andet ben på firewall'en
til en VPN-concentrator. Når det er dekrypteret kan man så køre
det via et tredje ben mod indersiden.

Det giver et setup, hvor der er rige muligheder for logging og
access-control.

Om det er en god løsningsmodel for en W2K-server, skal jeg ikke
kunne sige, for min erfaring med W2K som VPN-server er begræn-
set. (Man kan få en dedikeret concentrator med bedre administra-
tion og bedre performance til ca. samme pris eller lavere end en
NT-server).

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:<0s0kbuc5jbn69295b3eb3gg4fc0q7qjeid@news.worldonline.dk>...

> On Sun, 14 Apr 2002 21:45:36 +0200, "JJ" <jesperhn@tdcadsl.dk>

> wrote:

>

> (Man kan få en dedikeret concentrator med bedre administra-

> tion og bedre performance til ca. samme pris eller lavere end en

> NT-server).



Mit problem er at vores PIX kun har DES kryptering, og desuden at jeg ikke
bryder mig sønderligt om de opsætnings-muligheder man har på klienterne,
hvis man benytter PIX'en som VPN-sluse. Bl.a. har jeg ikke fundet muligheden
for at opsætte default gateway, mhp. at tvinge Internet-trafik gennem VPN
tunnellen, og ikke lave en bagdør via brugerens internetlinie.

mvh/JJ

---

On Mon, 15 Apr 2002 12:32:45 +0200, "JJ" <jesperhn@tdcadsl.dk>
wrote:

>> Man kan få en dedikeret concentrator med bedre administration
>> og bedre performance til ca. samme pris eller lavere end en NT-
>> server.

> Mit problem er at vores PIX kun har DES kryptering,

Nu skrev jeg jo heller ikke, at du skulle køre det på PIX'en, men
netop, at man kan få en dedikeret koncentrator. De er kendetegnet
ved typisk at være nemme administrativt.

> Bl.a. har jeg ikke fundet muligheden for at opsætte default gateway,
> mhp. at tvinge Internet-trafik gennem VPN tunnellen, og ikke lave en
> bagdør via brugerens internetlinie.

Nej, i PIX OS 6.1 kan man vist ikke lukke for split-tunnel.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"JJ" <jesperhn@tdcadsl.dk> skrev i en meddelelse
news:3cb9dc61$0$12125$edfadb0f@dspool01.news.tele.dk...
> Hej,
>
> Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
> Microsoft Windows 2000 VPN Server parallelt med en firewall.

Det er den dårligste løsning at sætte den parallelt - hvad med default
gateway - firewall til vpn'en osv. ?
Hvis det er en god firewall, er det nok det klogeste i dit tilfælde, at
sætte den "bagved"

---

"BF" <benny@get2net.dk> wrote in message
news:3cba7d20$0$97321$edfadb0f@dspool01.news.tele.dk...
>
> "JJ" <jesperhn@tdcadsl.dk> skrev i en meddelelse
> news:3cb9dc61$0$12125$edfadb0f@dspool01.news.tele.dk...
> > Hej,
> >
> > Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
> > Microsoft Windows 2000 VPN Server parallelt med en firewall.
>
> Det er den dårligste løsning at sætte den parallelt - hvad med default
> gateway - firewall til vpn'en osv. ?
> Hvis det er en god firewall, er det nok det klogeste i dit tilfælde, at
> sætte den "bagved"


Tak for input.

Min firewall, en PIX515, har kun to ben (in+out). Mit problem er derfor
følgende:

A) VPN Server bag firewall: Da jeg bruger NAT (/PAT) kan jeg ikke gøre brug
af L2TP/IPSEC protokollen. Jeg har overvejet at bruge PPTP/MPPE, men PIX'en
kan ikke håndtere GRE-protokollen (47).

B) VPN Server foran firewall: Da VPN serveren filtrerer for alt andet end
VPN trafik, vil kun VPN-klienter kunne komme ind til firewall'en. Det
bevirker hos mig, at jeg ikke kan modtage mail.

Overser jeg noget?
Jeg er ved at anskaffe priser på et tredje ben, men indtil det er i hus, vil
jeg gerne kunne tilbyde en løsning, omend den stadig skal være sikker.


mvh/JJ

---

> A) VPN Server bag firewall: Da jeg bruger NAT (/PAT) kan jeg ikke gøre
brug
> af L2TP/IPSEC protokollen. Jeg har overvejet at bruge PPTP/MPPE, men
PIX'en
> kan ikke håndtere GRE-protokollen (47).

Jeg er ikke helt sikker på hvordan pixen kører - men -->.
Forslag: route alt udefra til vpn'en - (hvis du ikke gør dette, kan tunnel
kun startes indefra)
Åben for protocol 50 og UDP port 500
Dette virker hos andre.

> B) VPN Server foran firewall: Da VPN serveren filtrerer for alt andet end
> VPN trafik, vil kun VPN-klienter kunne komme ind til firewall'en. Det
> bevirker hos mig, at jeg ikke kan modtage mail.

Du har ret - dette er en dårlig løsning

---

On Mon, 15 Apr 2002 12:27:17 +0200, "JJ" <jesperhn@tdcadsl.dk>
wrote:

> Min firewall, en PIX515, har kun to ben (in+out).

Det kan der jo gøre noget ved.

> A) VPN Server bag firewall: Da jeg bruger NAT (/PAT) kan jeg ikke gøre
> brug af L2TP/IPSEC protokollen.

Hvad får dig til at mene det?

> Jeg har overvejet at bruge PPTP/MPPE, men PIX'en kan ikke håndtere GRE-
> protokollen (47).

Skulle man ikke kunne køre PPTP gennem PIX'en? Det mener jeg nu
ellers helt bestemt, at jeg har gjort engang. Slog du PPTP fra på
PIX'en, da du prøvede?

> Jeg er ved at anskaffe priser på et tredje ben,

Det koster 200$ (global list), og bør være lagervare.

Men jeg ville som sagt vælge to ben til VPN, og så kunne du pas-
sende købe et 4-ports kort og få flyttet offentlige servere (som
mail) ud på et DMZ ved samme lejlighed.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:ht7mbu06eu3csd4oi88hiijrvvkk2t42hd@news.worldonline.dk...
> On Mon, 15 Apr 2002 12:27:17 +0200, "JJ" <jesperhn@tdcadsl.dk>
> wrote:
>
> > Min firewall, en PIX515, har kun to ben (in+out).
>
> Det kan der jo gøre noget ved.


Jep, men inden jeg foretager investeringer, vil jeg se om det jeg har, kan
bruges :)



> > A) VPN Server bag firewall: Da jeg bruger NAT (/PAT) kan jeg ikke gøre
> > brug af L2TP/IPSEC protokollen.
>
> Hvad får dig til at mene det?

Med din erfaring herinde i gruppen taget i betragtning, fik du mig til at
læse på dette område igen. Omend visse typer af IPSEC ikke kan køre sammen
med NAT, så har du jo ret: Køres ESP kryptering, går det.
Kilde: http://www.networkcomputing.com/1123/1123ws2.html
Tak.


> > Jeg har overvejet at bruge PPTP/MPPE, men PIX'en kan ikke håndtere GRE-
> > protokollen (47).
>
> Skulle man ikke kunne køre PPTP gennem PIX'en? Det mener jeg nu
> ellers helt bestemt, at jeg har gjort engang. Slog du PPTP fra på
> PIX'en, da du prøvede?

Rigtigt, men jeg vil gerne route gre-trafikken igennem, den skal ikke
behandle dem, og det vil den ikke:

STATIC:
Maps a local IP address to a global IP address (NAT) and supports TCP and
UDP port redirection (static PAT). (Configuration mode.)

[no] static [(internal_if_name, external_if_name)] {tcp | udp} {global_ip |
interface} global_port local_ip local_port [netmask mask] [max_conns
[em_limit]] [norandomseq]

Den klarer kun tcp/udp, ikke gre. :(


> > Jeg er ved at anskaffe priser på et tredje ben,
>
> Det koster 200$ (global list), og bør være lagervare.
>
> Men jeg ville som sagt vælge to ben til VPN, og så kunne du pas-
> sende købe et 4-ports kort og få flyttet offentlige servere (som
> mail) ud på et DMZ ved samme lejlighed.

Det vil jeg seriøst overveje set i lyset af den respons jeg har fået af dig
og andre. :)


mvh/JJ

---

On Tue, 16 Apr 2002 20:30:30 +0200, "JJ" <jesperhn@tdcadsl.dk>
wrote:

> STATIC:
> [no] static [(internal_if_name, external_if_name)] {tcp | udp} {global_ip |
> interface} global_port local_ip local_port [netmask mask] [max_conns
> [em_limit]] [norandomseq]
>
> Den klarer kun tcp/udp, ikke gre. :(

Du læser manualen forkert. Protokolangivelserne bruges kun, hvis
man ønsker at mappe en port til en anden, eller kan den simpelt-
hen udelades, og så mapper man blot adresse til adresse:

static (inside, outside) <outside ip> <inside ip>

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
> Du læser manualen forkert. Protokolangivelserne bruges kun, hvis
> man ønsker at mappe en port til en anden, eller kan den simpelt-
> hen udelades, og så mapper man blot adresse til adresse:
>
> static (inside, outside) <outside ip> <inside ip>


Jo - men hvis jeg ikke sætter protokol begrænsning på, så løber alt trafik
jo bare igennem firewall'en på den IP? Så kan jeg jo ligeså godt sætte min
VPN maskine parallelt med firewall'en?

PS. Beklager den røg på email til dig i første omgang.


mvh/JJ

---

On Tue, 16 Apr 2002 23:49:28 +0200, "JJ" <jesperhn@tdcadsl.dk>
wrote:

>> static (inside, outside) <outside ip> <inside ip>

> Jo - men hvis jeg ikke sætter protokol begrænsning på, så løber alt
> trafik jo bare igennem firewall'en på den IP?

Nej da. Kun den trafik, du explicit tillader med conduits (den
gamle måde) eller access-lister (den nye måde).

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote:

> > Jo - men hvis jeg ikke sætter protokol begrænsning på, så løber alt
> > trafik jo bare igennem firewall'en på den IP?

> Nej da. Kun den trafik, du explicit tillader med conduits (den
> gamle måde) eller access-lister (den nye måde).

Præsis, det kræver at du dedikerer en ekstern IP adresse til formålet, og
PIX understøtter fint GRE på denne måde, jeg har selv brugt det til en
Windows 2000 VPN server bag en PIX515.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

"Ulrik Lunddahl" <nospam037@lunddahl.dk> wrote in message news:a9ia68>
Præsis, det kræver at du dedikerer en ekstern IP adresse til formålet, og
> PIX understøtter fint GRE på denne måde, jeg har selv brugt det til en
> Windows 2000 VPN server bag en PIX515.

Jubel!! Tak for hjælpen!

mvh/JJ

---

JJ wrote:

> Min firewall, en PIX515, har kun to ben (in+out). Mit problem er derfor
> følgende:


Køb en firewall der opfylder dit behov, eller køb nogle flere ben.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CBBEB63.8080206@example.net...
> JJ wrote:
>
> > Min firewall, en PIX515, har kun to ben (in+out). Mit problem er derfor
> > følgende:
>
>
> Køb en firewall der opfylder dit behov, eller køb nogle flere ben.



Hehe - Ja, det ville være dejligt med et ubegrænset budget
Som nævnt ovenfor, så afprøver jeg om det vi har kan udnyttes. Men det ender
vist med at jeg anskaffer mere HW.


mvh/JJ

---

JJ wrote:

>>Køb en firewall der opfylder dit behov, eller køb nogle flere ben.
> Hehe - Ja, det ville være dejligt med et ubegrænset budget
> Som nævnt ovenfor, så afprøver jeg om det vi har kan udnyttes. Men det ender
> vist med at jeg anskaffer mere HW.


Hvad med din Internet router, kan du ikke bruge den til noget?

---

JJ wrote:

> Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
> Microsoft Windows 2000 VPN Server parallelt med en firewall.


Hvis du sætter den parallelt, hvorfor har du så en firewall?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CBBEACF.4050408@example.net...
> JJ wrote:
>
> > Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
> > Microsoft Windows 2000 VPN Server parallelt med en firewall.
>
>
> Hvis du sætter den parallelt, hvorfor har du så en firewall?



Jeg ved ikke om jeg forstår dit spørgsmål. Mener du hermed at "man"
(=hackere) nemt kan omgå firewall'en?
Jeg er ikke nogen hacker, men da VPN serveren kun tillader VPN-pakker gennem
sig, må det være næsten umuligt at foretage noget hacking (på port 1723
udp+tcp og via gre-protokollen). Ellers ville alle VPN-systemer baseret på
dette (PPTP) være piv-åbne, eller?

mvh/JJ

---

JJ wrote:

>>>Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
>>>Microsoft Windows 2000 VPN Server parallelt med en firewall.
>>Hvis du sætter den parallelt, hvorfor har du så en firewall?


> Jeg ved ikke om jeg forstår dit spørgsmål. Mener du hermed at "man"


Det er blot omvendt psykologi, jeg ville blot have dig til at
argumentere for at det er en dårlig idée med en Windows2000 server
stående parallelt med din firewall.

> (=hackere) nemt kan omgå firewall'en?
> Jeg er ikke nogen hacker, men da VPN serveren kun tillader VPN-pakker gennem


VPN servere, du mener en Windows 2000 maskine du gør noget ved.

Windows NT har også muligheden for at bygge pakkefiltre, problemet var
blot at GUI'en ikke altid bliv realiseret, og man kunne således være
uheldig at trafikken blev tilladt igennem.


> sig, må det være næsten umuligt at foretage noget hacking (på port 1723
> udp+tcp og via gre-protokollen). Ellers ville alle VPN-systemer baseret på


Hvorfor er det umuligt, er det ikke denne der giver fuld adgang for dine
eksterne brugerer til dit lokalnet?


> dette (PPTP) være piv-åbne, eller?


Har du læst Bruce Schneier holdning til PPTP (han var manden i
sammenarbejde men en anden der fandt de to første fejl i designet):

http://www.google.com/search?q=bruce+schneier+pptp

Hvis jeg skal anbefalde noget som ikke skal vælte dit budget, ville jeg
sætte en FreeBSD eller OpenBSD op som firewall, udstyrer denne med 4
netkort, ISP, LAN, DMZ1, DMZ2. Og på en DMZ1 og DMZ2 smide en BSD
maskine med to interface og VPN slået til.

Derefter ville jeg finde nogle IPSec klienter til dine arbejdspladser.

Endvidere ville jeg smide nogle access lister på din Internet router.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CBC7A87.4010100@example.net...
> Windows NT har også muligheden for at bygge pakkefiltre, problemet var
> blot at GUI'en ikke altid bliv realiseret, og man kunne således være
> uheldig at trafikken blev tilladt igennem.

Jeg håber da det er anderledes med Windows 2000 Server. Jeg har da også
testet VPN serveren (=Windows 2000 Server m. routing for VPN aktiveret, alt
andet blokeret) med et par portscannere, og der har været lukket.


> > sig, må det være næsten umuligt at foretage noget hacking (på port 1723
> > udp+tcp og via gre-protokollen). Ellers ville alle VPN-systemer baseret
på
> Hvorfor er det umuligt, er det ikke denne der giver fuld adgang for dine
> eksterne brugerer til dit lokalnet?

Jo, men de validerer sig jo netop forinden. Hvis man ikke har brugernavn og
kodeord, så formoder jeg det er svært at gøre noget fornuftigt på de nævnte
protokoller og porte. Jeg mener, hvis det var tilfældet at man kunne omgå
det, så ville Microsoft vel informere om det? Her tænker jeg ikke på at MS'
implementering af PPTP i nogle kredse anses for mangelfuld.

> Har du læst Bruce Schneier holdning til PPTP (han var manden i
> sammenarbejde men en anden der fandt de to første fejl i designet):
>
> http://www.google.com/search?q=bruce+schneier+pptp

Nej, men det vil jeg gøre.


> Hvis jeg skal anbefalde noget som ikke skal vælte dit budget, ville jeg
> sætte en FreeBSD eller OpenBSD op som firewall, udstyrer denne med 4
> netkort, ISP, LAN, DMZ1, DMZ2. Og på en DMZ1 og DMZ2 smide en BSD
> maskine med to interface og VPN slået til.
> Derefter ville jeg finde nogle IPSec klienter til dine arbejdspladser.

Også en spændende løsning. Dog synes jeg de færdige kasse-løsninger (Cisco,
Eicon's SafePipe, ja selv Zitech har en kasse) overskygger markedet. Er den
mon pga. bedre support, opdatering, test?


> Endvidere ville jeg smide nogle access lister på din Internet router.

Kan jeg ikke, da routeren ikke kan indstilles. Men jeg forstår hvad du
mener. :)


mvh/JJ

---

JJ wrote:

> Jeg håber da det er anderledes med Windows 2000 Server. Jeg har da også
> testet VPN serveren (=Windows 2000 Server m. routing for VPN aktiveret, alt
> andet blokeret) med et par portscannere, og der har været lukket.


Omkring sikkerhed skal man ikke håbe :)

Et par portscanninger er ikke nok, hvis det var det ville der ingen
huller være i IIS.

Typisk vil en portscanner kun teste for TCP og ikke UDP, ICMP, IPSec,
ectetera.

>>Hvorfor er det umuligt, er det ikke denne der giver fuld adgang for dine
>>eksterne brugerer til dit lokalnet?
> Jo, men de validerer sig jo netop forinden. Hvis man ikke har brugernavn og
> kodeord, så formoder jeg det er svært at gøre noget fornuftigt på de nævnte
> protokoller og porte. Jeg mener, hvis det var tilfældet at man kunne omgå
> det, så ville Microsoft vel informere om det? Her tænker jeg ikke på at MS'
> implementering af PPTP i nogle kredse anses for mangelfuld.


Hvad så med deres implementering af TCP/IP?

>>http://www.google.com/search?q=bruce+schneier+pptp
> Nej, men det vil jeg gøre.


Godt.

>>Hvis jeg skal anbefalde noget som ikke skal vælte dit budget, ville jeg
>>sætte en FreeBSD eller OpenBSD op som firewall, udstyrer denne med 4
>>netkort, ISP, LAN, DMZ1, DMZ2. Og på en DMZ1 og DMZ2 smide en BSD
>>maskine med to interface og VPN slået til.
>>Derefter ville jeg finde nogle IPSec klienter til dine arbejdspladser.
> Også en spændende løsning. Dog synes jeg de færdige kasse-løsninger (Cisco,
> Eicon's SafePipe, ja selv Zitech har en kasse) overskygger markedet. Er den
> mon pga. bedre support, opdatering, test?


Det tager 5min at installere en OpenBSD og 2 min at sætte VPN op. Kan
man ikke kalde det en færdig løsning?

Kik evt. på http://www.allard.nu/openbsd/

>>Endvidere ville jeg smide nogle access lister på din Internet router.


> Kan jeg ikke, da routeren ikke kan indstilles. Men jeg forstår hvad du
> mener. :)

Hvorfor kan du ikke pille i den?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CBC9E82.3050900@example.net...
> Hvad så med deres implementering af TCP/IP?

Jeg skal ikke klage over MS's - sålænge de fortsat retter deres fejl.

> Det tager 5min at installere en OpenBSD og 2 min at sætte VPN op. Kan
> man ikke kalde det en færdig løsning?

Jo, det er da hurtigt!

> Hvorfor kan du ikke pille i den (klip: routeren)?

Det er fordi det er en Cisco 677 (CBOS), og efter vi har fået et helt
IP-range, så skal NAT være disabled.


mvh/JJ

---

JJ wrote:

>>Hvad så med deres implementering af TCP/IP?
> Jeg skal ikke klage over MS's - sålænge de fortsat retter deres fejl.


Hvad med spoofing af IP pakker?

>>Det tager 5min at installere en OpenBSD og 2 min at sætte VPN op. Kan
>>man ikke kalde det en færdig løsning?
> Jo, det er da hurtigt!


Typisk, tager det længere tid at finde en floppy og kopiere bootdisken
over på denne, end at kører installationen der downloader OpenBSD fra
nettet.

>>Hvorfor kan du ikke pille i den (klip: routeren)?
> Det er fordi det er en Cisco 677 (CBOS), og efter vi har fået et helt
> IP-range, så skal NAT være disabled.


Hvorfor forhindre det dig i at lave access-lister, NAT kan stadigvæk
godt være disablet?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CBCA793.4050803@example.net...
> > Det er fordi det er en Cisco 677 (CBOS)
> Hvorfor forhindre det dig i at lave access-lister, NAT kan stadigvæk
> godt være disablet?

ACL'er i CBOS? Det har jeg ikke set. Den har filtre og nat, og ikke meget
mere.

mvh/JJ

---

JJ wrote:

> ACL'er i CBOS? Det har jeg ikke set. Den har filtre og nat, og ikke meget
> mere.


Ok, hvad så med at bruge dens filtre?

---

JJ wrote:
>>>Jeg vil gerne høre Jeres mening om hvorvidt det er uklogt at placere en
>>>Microsoft Windows 2000 VPN Server parallelt med en firewall.
>>Hvis du sætter den parallelt, hvorfor har du så en firewall?
> Jeg ved ikke om jeg forstår dit spørgsmål. Mener du hermed at "man"

Det er blot omvendt psykologi, jeg ville blot have dig til at
argumentere for at det er en dårlig idée med en Windows2000 server
stående parallelt med din firewall.

> (=hackere) nemt kan omgå firewall'en?
> Jeg er ikke nogen hacker, men da VPN serveren kun tillader VPN-pakker
gennem


VPN servere, du mener en Windows 2000 maskine du gør noget ved.

Windows NT har også muligheden for at bygge pakkefiltre, problemet var
blot at GUI'en ikke altid bliv realiseret, og man kunne således være
uheldig at trafikken blev tilladt igennem.


> sig, må det være næsten umuligt at foretage noget hacking (på port 1723
> udp+tcp og via gre-protokollen). Ellers ville alle VPN-systemer
baseret på


Hvorfor er det umuligt, er det ikke denne der giver fuld adgang for dine
eksterne brugerer til dit lokalnet?


> dette (PPTP) være piv-åbne, eller?


Har du læst Bruce Schneier holdning til PPTP (han var manden i
sammenarbejde men en anden der fandt de to første fejl i designet):

http://www.google.com/search?q=bruce+schneier+pptp

Hvis jeg skal anbefalde noget som ikke skal vælte dit budget, ville jeg
sætte en FreeBSD eller OpenBSD op som firewall, udstyrer denne med 4
netkort, ISP, LAN, DMZ1, DMZ2. Og på en DMZ1 og DMZ2 smide en BSD
maskine med to interface og VPN slået til.

Derefter ville jeg finde nogle IPSec klienter til dine arbejdspladser.

Endvidere ville jeg smide nogle access lister på din Internet router.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Hvis jeg skal anbefalde noget som ikke skal vælte dit budget, ville
> jeg sætte en FreeBSD eller OpenBSD op som firewall, udstyrer denne med
> 4 netkort, ISP, LAN, DMZ1, DMZ2. Og på en DMZ1 og DMZ2 smide en BSD
> maskine med to interface og VPN slået til.

Det lyder ikke som en særlig klog løsning, hvis man ikke i forvejen
har erfaring med disse systemer.

Det er IMHO ikke en god idé at sætte noget på nettet, som man ikke
føler at man kender rimelig godt. Hvis man kender Windows 2000 godt,
er sådan en klart at foretrække frem for en OpenBSD man ikke kender,
hvis du spørger mig.

--
Jacob - www.bunk.cc
Make it right before you make it faster.

---

Jacob Bunk Nielsen wrote:

> Det lyder ikke som en særlig klog løsning, hvis man ikke i forvejen
> har erfaring med disse systemer.


Det er nemmer at få information om disse systemer.


> Det er IMHO ikke en god idé at sætte noget på nettet, som man ikke
> føler at man kender rimelig godt. Hvis man kender Windows 2000 godt,


Hvem kender Windows 2000 godt?

> er sådan en klart at foretrække frem for en OpenBSD man ikke kender,
> hvis du spørger mig.


Folk viden om Windows 2000 er typisk en illustion, jeg kender ialt 10
folk der har ekspert viden omkring Windows 2000, de andre kan finde ud
af at prøve sig frem i gui'en.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CBCA6E4.1050206@example.net...
> jeg kender ialt 10
> folk der har ekspert viden omkring Windows 2000, de andre kan finde ud
> af at prøve sig frem i gui'en.

Uden at skulle starte en religionskrig her, så tror jeg der er større
sandsynlighed for at få noget til at virke i Win2000 end med Linux, hvis man
kun har teoretisk erfaring. :)

mvh/JJ

---

JJ wrote:

> Uden at skulle starte en religionskrig her, så tror jeg der er større
> sandsynlighed for at få noget til at virke i Win2000 end med Linux, hvis man
> kun har teoretisk erfaring. :)


Ok, sig mig så hvorfor en domain master ikke kan have en socket på hver
sin IP adresse (en server med virtuelle ip adresser), der servicere hver
sit nt-domain?

Eller hvordan ligger du din browse-master på port 144?


Eller hvordan router du en IP pakke ud af det interface, det kom ind via?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CBCACAD.3000902@example.net...
> Ok, sig mig så hvorfor en domain master ikke kan have en socket på hver
> sin IP adresse (en server med virtuelle ip adresser), der servicere hver
> sit nt-domain?
> Eller hvordan ligger du din browse-master på port 144?
> Eller hvordan router du en IP pakke ud af det interface, det kom ind via?

Aha - mere omvendt psykologi. Altså: Hvis jeg ikke lige kan finde de svar
hos MS, så er mit foretrukne valg, sværere at sætte op end i Linux/FreeBSD
mv.? Det er da kun tilfældet hvis det ikke virker efter hensigten. Eksempel:
Opsætning af en maskine til VPN server i Windows 2000 Server, kræver opstart
af en Wizard og fire, måske frem museklik på en Next knap. Alle der kan
bruge en mus kan finde ud af det (uagtet at de ikke ved hvad de laver), og
bl.a. det er mit argument for at det er nemmere at sætte ting op i Windows.
Det skal siges, at jeg også har en del Linux erfaring, men jeg får næsten
altid problemer, når jeg eksperimenterer. Typisk skal man lige rekompilere
sin kernel, eller build'e et program før det kan køres osv. Det lyder mere
som om dit valg er mere konfigurerbart end det er enklere.

mvh/JJ

---

JJ wrote:

>>Ok, sig mig så hvorfor en domain master ikke kan have en socket på hver
>>sin IP adresse (en server med virtuelle ip adresser), der servicere hver
>>sit nt-domain?
>>Eller hvordan ligger du din browse-master på port 144?
>>Eller hvordan router du en IP pakke ud af det interface, det kom ind via?


> Aha - mere omvendt psykologi. Altså: Hvis jeg ikke lige kan finde de svar


Nej, det blot nogle spørgsmål for at finde nogle begrænsninger i Windows.

> hos MS, så er mit foretrukne valg, sværere at sætte op end i Linux/FreeBSD
> mv.? Det er da kun tilfældet hvis det ikke virker efter hensigten. Eksempel:


Spørgsmål 1 og 3 kan faktisk ikke lade sig gøre, spørgsmål 2 ved jeg
ikke om er muligt eller ej. Dog er det trivielt på fx Samba at løse 1 og
2. 3 har aldrig været et program på fx Linux.

> Opsætning af en maskine til VPN server i Windows 2000 Server, kræver opstart
> af en Wizard og fire, måske frem museklik på en Next knap. Alle der kan

> bruge en mus kan finde ud af det (uagtet at de ikke ved hvad de laver), og
> bl.a. det er mit argument for at det er nemmere at sætte ting op i Windows.


Jeg fortrækker en man-side i OpenBSD, der fortæller mig hvad det er, og
hvordan det kan sættes op.

> Det skal siges, at jeg også har en del Linux erfaring, men jeg får næsten
> altid problemer, når jeg eksperimenterer. Typisk skal man lige rekompilere


Linux og FreeSwan kan være et helved.


> sin kernel, eller build'e et program før det kan køres osv. Det lyder mere
> som om dit valg er mere konfigurerbart end det er enklere.

Men det er da dejligt at man kan.

---

---

Jacob Bunk Nielsen wrote:

> Hmmm, jeg synes det er gået ganske let på de tre maskiner jeg har
> installeret FreeS/WAN på indtil nu.


Opsætningen er let, kompileringen en anden historie.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>> Det lyder ikke som en særlig klog løsning, hvis man ikke i forvejen
>> har erfaring med disse systemer.
>
> Det er nemmer at få information om disse systemer.

Det er også min erfaring, men jeg har dog aldrig prøvet at søge
voldsomt meget om information om Windows. Det var vel ikke så udbredt
som det er, hvis der ikke var tilstrækkelig dokumentation til
rådighed.

Men lad os ikke starte en religionskrig. Jeg mener blot at det er dumt
at vælge Linux, *BSD eller noget andet bare fordi det lyder smart,
hvis man ikke ved hvordan man bruger det, og det skal bruges seriøst.

>> Det er IMHO ikke en god idé at sætte noget på nettet, som man ikke
>> føler at man kender rimelig godt. Hvis man kender Windows 2000 godt,
>
> Hvem kender Windows 2000 godt?

Jeg gør ikke, men det er der forhåbentlig andre der arbejder med det
der gør.

Personligt ville jeg klart vælge Linux frem for eksempelvis FreeBSD,
hvis jeg skal sætte en maskine på nettet. Det bunder i at jeg kender
Linux godt efterhånden, men ikke ved ret meget om FreeBSD, og jeg vil
derfor kunne sikre en Linux-maskine bedre end en FreeBSD-maskine.

Dermed ikke sagt at FreeBSD ikke er godt, det er det utvivlsomt, og
jeg vil også gerne se nærmere på det en dag, men jeg ville aldrig
bruge det i et produktions-setup, da jeg ikke kender det godt nok.

> Folk viden om Windows 2000 er typisk en illustion

Det er da lidt af en påstand. Den håber jeg at der med rette er
nogle Windows 2000 brugere der føler sig stødt over.

> jeg kender ialt 10 folk der har ekspert viden omkring Windows 2000,
> de andre kan finde ud af at prøve sig frem i gui'en.

Hvem er de andre? 7 14-årige drenge der har fået computer for til
deres konfirmation? De er vel ikke folk der kalder sig selv eksperter
og bliver taget seriøst.

--
Jacob - www.bunk.cc
Don't ever slam a door; you might want to go back.

---

Jacob Bunk Nielsen wrote:

> Men lad os ikke starte en religionskrig. Jeg mener blot at det er dumt


Jeg gider heller at starte en krig, dem er der rigligt af.

Men prøv at kikke på, http://www.openbsd.org/cgi-bin/man.cgi?query=vpn

Jeg synes det er nogle smukke manualler, der nemt gennemgå fx VPN og
IPSec med gode eksempler.

Prøv endvidere at læse
http://download.2600.dk/tekster/2001/win2000/win2000.txt

>>Hvem kender Windows 2000 godt?
> Jeg gør ikke, men det er der forhåbentlig andre der arbejder med det
> der gør.


Meget af min Windows viden kommer fra fx Linux, ved at læse HOWTO's til
fx Samba. Eller sidde med en tcpdump og kikke på hvad der forgår.

>>Folks viden om Windows 2000 er typisk en illustion
> Det er da lidt af en påstand. Den håber jeg at der med rette er
> nogle Windows 2000 brugere der føler sig stødt over.


Jeg har fx løst Exchange problemer som Microsoft Support, ikke har kunne
løse, deres løsning var reinstallere.

Og i min tid som konsulent i tidligere jobs, har jeg løst mange windows
problemer, som kundens windows konsulent ikke har kunne løse.

>>jeg kender ialt 10 folk der har ekspert viden omkring Windows 2000,
>>de andre kan finde ud af at prøve sig frem i gui'en.
> Hvem er de andre? 7 14-årige drenge der har fået computer for til
> deres konfirmation? De er vel ikke folk der kalder sig selv eksperter
> og bliver taget seriøst.


Ekspert viden, er en dybdegående viden, dvs. folk der kan sige problemet
ligger der, vha. pakkesniffer, ping, arp, netstat, nslookup, nbtstat og
telnet... istedet for blot at gå ind i andre computere for at teste om
det virker.


Hvis du spørger en windows konsulent, hvordan din windows 2000 resolver,
er der mange der ikke ved det!

---

---

Jacob Bunk Nielsen wrote:

>>http://download.2600.dk/tekster/2001/win2000/win2000.txt
> Den er da meget sjov ... men helt ærlig, den er nok mest lavet for
> bare at være fjollet.


Er den?

Den er nok oversat af en der ikke er over 20.

>>Jeg har fx løst Exchange problemer som Microsoft Support, ikke har
>>kunne løse, deres løsning var reinstallere.
> Det har jeg indtryk af ofte er noget af det første man prøver når de
> mest basale ting er prøvet - sikkert fordi det ofte løser problemerne
> på en relativt hurtig måde.


Det var en Exchange database på 1GB, med mails, møder, ectetera. Deres
forslag var at formatere disken og starte helt forfra med datatab som følge.

>>Hvis du spørger en windows konsulent, hvordan din windows 2000
>>resolver, er der mange der ikke ved det!
> Det ved jeg heller ikke helt. Med Samba kan man bruge nmblookup til at
> resolve NetBIOS-navne. Hvad gør man på en Windows-maskine, så man kan
> se at der rent faktisk også sker noget, altså ikke bare så der er en
> eller anden animeret dims der kører rundt.

Mener du at man ikke kan se hvordan det forgår på windows?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> Det var en Exchange database på 1GB, med mails, møder, ectetera. Deres
> forslag var at formatere disken og starte helt forfra med datatab som
følge.

Det er vel ikke værre end at man indlæser den seneste backup, kan man ikke
finde ud af det kan man følge sin Disaster Recovery Plan som Microsoft
utallige steder opfordrer til at man udarbejder.

Rent faktisk syntes jeg MS skal have ros for at dokumentere backup og
recovery på exchange så godt som de gør.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Ulrik Lunddahl wrote:

>>Det var en Exchange database på 1GB, med mails, møder, ectetera. Deres
>>forslag var at formatere disken og starte helt forfra med datatab som
>> følge.
> Det er vel ikke værre end at man indlæser den seneste backup, kan man ikke
> finde ud af det kan man følge sin Disaster Recovery Plan som Microsoft
> utallige steder opfordrer til at man udarbejder.


Det var selvfølgelig en kunde hvis backupstreamer ikke virkede.

Problemet var blot at databasen var til stede på en anden disk, exchange
havde fået løst til at egen fri vilje at flytte den fra en disk til en
anden, dog havde den "glemt" at ændre sin konfiguration således at den
pejede på den nye placering.

Dette var en situation som deres support afdeling ikke tænkte på, derfor
betragtede de dataerne på den første disk som tabte, og anbefalde en
formatering og reinstallation.

> Rent faktisk syntes jeg MS skal have ros for at dokumentere backup og
> recovery på exchange så godt som de gør.

Men jeg kan ikke rose dem for at dokumentere deres database format.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> Det var selvfølgelig en kunde hvis backupstreamer ikke virkede.

Så brug din serviceaftale, eller køb en ny, begefter indlæser du din backup,
virker den ikke tager du den fra dagen før.

> Problemet var blot at databasen var til stede på en anden disk, exchange
> havde fået løst til at egen fri vilje at flytte den fra en disk til en
> anden, dog havde den "glemt" at ændre sin konfiguration således at den
> pejede på den nye placering.

Hvis du siger til MS support at din installation "af egen fri vilje" har
gjort det, bør de IMHO råde dig til at geninstallere hele serveren, mener du
stadig at netop den exchange installation lever sit eget liv ?

Sandheden er nok at en knytnake har kørt server optimizer, og ikke fattet
noget af hvad det gik ud på.

Samme knytnakke har så ikke nosser nok til at sige det til MS support,
hvorefter de naturligvis ikke kan supportere installationen mere, altså
eneste rigtige råd er at installationen er død, lav en ny, så kan vi yde
support.

> Dette var en situation som deres support afdeling ikke tænkte på, derfor
> betragtede de dataerne på den første disk som tabte, og anbefalde en
> formatering og reinstallation.

Plader, så snart du begynder at tale om "egen fri vilje" bør de IMHO trække
sig, at fortsætte giver ingen mening.

> > Rent faktisk syntes jeg MS skal have ros for at dokumentere backup og
> > recovery på exchange så godt som de gør.
>
> Men jeg kan ikke rose dem for at dokumentere deres database format.

Nej, har de forsøgt på det da ?


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Ulrik Lunddahl wrote:

>>Det var selvfølgelig en kunde hvis backupstreamer ikke virkede.
> Så brug din serviceaftale, eller køb en ny, begefter indlæser du din backup,
> virker den ikke tager du den fra dagen før.


Ingen bånd indeholdt data.

Dog var databasen til stede på c-drevet, og størrelse passede fint, dog
ville exchange ikke starte med denne, og util'en til at redde denne fejlede.

> Hvis du siger til MS support at din installation "af egen fri vilje" har
> gjort det, bør de IMHO råde dig til at geninstallere hele serveren, mener du
> stadig at netop den exchange installation lever sit eget liv ?
>
> Sandheden er nok at en knytnake har kørt server optimizer, og ikke fattet
> noget af hvad det gik ud på.


Exchange serveren havde selv i event loggeren logget en besked om mangel
på diskplads, og derefter flyttet databasen over på en anden disk, kl ca
1 en søndag nat.


> Samme knytnakke har så ikke nosser nok til at sige det til MS support,
> hvorefter de naturligvis ikke kan supportere installationen mere, altså


Lad os antage du har ret, hvorfor kan microsoft ikke supporter deres
eget optimizer værktøj?


> eneste rigtige råd er at installationen er død, lav en ny, så kan vi yde
> support.


Det var ikke nogle fra firmaet der havde fucket det op. Den eneste fejl
jeg efterfølgende har kunne finder er microsoft der ikke engang gad at
spørger om logfilerne.

Microsoft påstod de havde 7 ligende cases i verden og de kunne ikke
redde installationerne.

> Plader, så snart du begynder at tale om "egen fri vilje" bør de IMHO trække
> sig, at fortsætte giver ingen mening.


Jeg har ikke fortalt dem om "egen fri vilje", det var første efter et
par timer med microsoft support, at det gik op for mig de ikke duede til
noget, at jeg selv begynde at rode systemet og logfiler igennem.

>>>Rent faktisk syntes jeg MS skal have ros for at dokumentere backup og
>>>recovery på exchange så godt som de gør.
>>Men jeg kan ikke rose dem for at dokumentere deres database format.
> Nej, har de forsøgt på det da ?


De fortalte at hvis jeg havde brug for daterne i databasen som måske var
defekt kunne de sende en mand, hans timeløn startede med et 5 cifret tal.

---

---

Lars Kim Lund wrote:

>>Og i min tid som konsulent i tidligere jobs, har jeg løst mange windows
>>problemer, som kundens windows konsulent ikke har kunne løse.
> Uvidenhed finder man overalt. Risikoen for at møde den er variabel og
> stærkt afhængig af hvilke kredse man bevæger i.


Ja.

>>Ekspert viden, er en dybdegående viden, dvs. folk der kan sige problemet
>>ligger der, vha. pakkesniffer, ping, arp, netstat, nslookup, nbtstat og
>>telnet... istedet for blot at gå ind i andre computere for at teste om
>>det virker.
> Mener du det er ekspert-viden at have basal IP og DNS kendskab? Mener


Jeg skrev at det er folk der kan sige hvor fejlen ligger, vha. at nogle
værktøjer, i ovenstående er det netværksfejlsøgning, men det kan også
være fejlsøgning i en applikations kildetekst.

Er det en software fejl har min i et opensource miljø, muligheden for
selv at rette kilde teksten når fejlen er fundet. I et lukket miljø har
man muligheden for at dokumentere situtationen og fejlen, herefter kan
man kun vente på leverandøren retter fejlen.

> du virkelig det, eller skal jeg opfatte det som et forsøg på
> overdrivelse for at fremme forståelsen?


Mange Windows administratore og konsulenter, ved kun hvad der forgår i
GUI'en, ikke hvad der forgår på netværket eller inden i maskinen. Og kan
derved ikke finde fejlen.

>>Hvis du spørger en windows konsulent, hvordan din windows 2000 resolver,
>>er der mange der ikke ved det!
> Mon dog.


Prøv. :)

---

Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>

>>>Hvis du spørger en windows konsulent, hvordan din windows 2000 resolver,
>>>er der mange der ikke ved det!
>> Mon dog.
>
>Prøv. :)

Jeg kender rækkefølgen. Tro det eller lad være.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:

>>>>Hvis du spørger en windows konsulent, hvordan din windows 2000 resolver,
>>>>er der mange der ikke ved det!
>>>Mon dog.
>>Prøv. :)
> Jeg kender rækkefølgen. Tro det eller lad være.


Også i de forskellige versioner af windows?

---

Hej "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>

>>>>>Hvis du spørger en windows konsulent, hvordan din windows 2000 resolver,
>>>>>er der mange der ikke ved det!
>>>>Mon dog.
>>>Prøv. :)
>> Jeg kender rækkefølgen. Tro det eller lad være.
>
>Også i de forskellige versioner af windows?

Nu spurgte du specifikt til Windows 2000. Jeg kender baggrunden for
navneopløsning på de versioner jeg arbejder med i en grad det er
relevant for at jeg kan udføre mit arbejde. Hvis jeg har skrevet noget
der giver dig grund til at tro andet, så vil jeg gerne høre hvad og
hvor.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:

> relevant for at jeg kan udføre mit arbejde. Hvis jeg har skrevet noget
> der giver dig grund til at tro andet, så vil jeg gerne høre hvad og
> hvor.


Nej, jeg tror ikke andet, det er blot sjælent jeg møder folk der har
styr på fx deres navneopslag i windows.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> Er det en software fejl har min i et opensource miljø, muligheden for
> selv at rette kilde teksten når fejlen er fundet. I et lukket miljø har
> man muligheden for at dokumentere situtationen og fejlen, herefter kan
> man kun vente på leverandøren retter fejlen.

At have ret er bestemt ikke det samme som at have mulighed, der kan være
tekniske, økonomiske og politiske forhindringer i vejen, tit er de så store
at de ikke umidelbart kan tilsidesættes.

> Mange Windows administratore og konsulenter, ved kun hvad der forgår i
> GUI'en, ikke hvad der forgår på netværket eller inden i maskinen. Og kan
> derved ikke finde fejlen.

Det er en gammel 1990'er holdning, som salgschef i en hardware virksomhed er
det bestemt mit indtryk, at de hådre windows administratorer er der ganske
mange af efterhånden, Antallet af administratorer på *nix installationer,
der ikke aner hvad de laver, hvis de ikke lige har haft en HOWTO gennem
printeren syntes jeg bestemt også er ganske stort efterhånden.

> Prøv. :)

Det er ikke så simpelt, og afhænger af hvordan den enkelte Windows maskine
er sat op, I dag anvendes på Windows 2000 ofte DNS og/eller lokale host
filer, herefter afhængigt af node typen (b-node, p-node, m-node eller
h-node) bruges WINS og/eller broadcasts.

Tænk sig, jeg er hardwaremand uden slips, men med lommeregner, og så ved jeg
mere om Windows end at jeg kan trykke med en mus på start menuen.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Ulrik Lunddahl wrote:

>>Er det en software fejl har min i et opensource miljø, muligheden for
>>selv at rette kilde teksten når fejlen er fundet. I et lukket miljø har
>>man muligheden for at dokumentere situtationen og fejlen, herefter kan
>>man kun vente på leverandøren retter fejlen.
> At have ret er bestemt ikke det samme som at have mulighed, der kan være
> tekniske, økonomiske og politiske forhindringer i vejen, tit er de så store
> at de ikke umidelbart kan tilsidesættes.


Snakker du om åben eller lukket source?

>>Mange Windows administratore og konsulenter, ved kun hvad der forgår i
>>GUI'en, ikke hvad der forgår på netværket eller inden i maskinen. Og kan
>>derved ikke finde fejlen.
> Det er en gammel 1990'er holdning, som salgschef i en hardware virksomhed er


Det er en situation jeg ser dagligt.


> det bestemt mit indtryk, at de hådre windows administratorer er der ganske
> mange af efterhånden, Antallet af administratorer på *nix installationer,


Kan du ikke definere en "hård windows administrator"?


> der ikke aner hvad de laver, hvis de ikke lige har haft en HOWTO gennem
> printeren syntes jeg bestemt også er ganske stort efterhånden.


De UNIX administrator jeg kender (nogle har jeg selv inspireret), har
kunne tilegne sig meget stor viden indenfor mange områder ved at læse
HOWTO's til fx Linux.

Jeg oplever dog også UNIX administrator der ikke ved hvordan tingene
hænger sammen.

Men generelt oplever jeg at folk der arbejder med UNIX skal sætte sig
ind i deres værktøjer for at kunne bruge disse, hvor folk der arbejder
med Windows har det lettere og ikke behøver at fordybe sig i hverdagen.

Jeg plejer at sige at windows er brugervenligt, og UNIX er administrator
venligt :)


> Det er ikke så simpelt, og afhænger af hvordan den enkelte Windows maskine


Jeg har ikke sagt der er simpelt, derfor er det også derfor jeg tager
det frem som et eksempel.

> er sat op, I dag anvendes på Windows 2000 ofte DNS og/eller lokale host
> filer, herefter afhængigt af node typen (b-node, p-node, m-node eller

> h-node) bruges WINS og/eller broadcasts.


Resolvning på windows2000 er mere komplekst, men i hovedtræk har du ret.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> >>Er det en software fejl har min i et opensource miljø, muligheden for
> >>selv at rette kilde teksten når fejlen er fundet. I et lukket miljø har
> >>man muligheden for at dokumentere situtationen og fejlen, herefter kan
> >>man kun vente på leverandøren retter fejlen.
> > At have ret er bestemt ikke det samme som at have mulighed, der kan være
> > tekniske, økonomiske og politiske forhindringer i vejen, tit er de så
store
> > at de ikke umidelbart kan tilsidesættes.
>
> Snakker du om åben eller lukket source?

Læser du hvad jeg skriver, i content er det ligemeget om man må rette fejlen
eller ej, hvis det i praksis ikke er muligt.

> > Det er en gammel 1990'er holdning, som salgschef i en hardware
virksomhed er
>
> Det er en situation jeg ser dagligt.

Så brurde du vælge din omgangskreds noget bedre, IMHO.

> > det bestemt mit indtryk, at de hådre windows administratorer er der
ganske
> > mange af efterhånden, Antallet af administratorer på *nix
installationer,
>
> Kan du ikke definere en "hård windows administrator"?

Det er ligemeget hvordan du definerer, deler vi administratorer i dygtige og
ikke dygtige efter hvilke som helst kriterier, er min påstand, at hvis du
overfører de samme kriterier til mellem *nix og windows er fordelingen ikke
specielt meget bedre på *nix paltformen.

> De UNIX administrator jeg kender (nogle har jeg selv inspireret), har
> kunne tilegne sig meget stor viden indenfor mange områder ved at læse
> HOWTO's til fx Linux.

Ja, men hvad har det med sagen at gøre, der findes efterhånden lige så mange
howto's til Windows og alt muligt andet, at dokumenterne de ikke heder
Exchange howto, men f.eks. Exchange Disaster Recovery Guide gør dem imho
ikke ringere.

Igen en dygtig administrator har bred systemforståelse, og et indgående
kendskab til hvor han skal søge oplysninger i den tilgængelige videnbase.

Til sidst vil jeg ligefrem påstå, at det at læse en howto, som hovedregel
ikke giver "meget stor viden" om et givent emne.

> Men generelt oplever jeg at folk der arbejder med UNIX skal sætte sig
> ind i deres værktøjer for at kunne bruge disse, hvor folk der arbejder
> med Windows har det lettere og ikke behøver at fordybe sig i hverdagen.

At indlæringskurven er stejl er ikke et udtryk for at dem der beskæftiget
sig med emnet alle er dygtige.

> Jeg plejer at sige at windows er brugervenligt, og UNIX er administrator
> venligt :)

Det er igen noget 1990'er plader.

> > Det er ikke så simpelt, og afhænger af hvordan den enkelte Windows
maskine
> > er sat op, I dag anvendes på Windows 2000 ofte DNS og/eller lokale host
> > filer, herefter afhængigt af node typen (b-node, p-node, m-node eller
>
> > h-node) bruges WINS og/eller broadcasts.
>
> Resolvning på windows2000 er mere komplekst, men i hovedtræk har du ret.

Ovenstående er 100% korrekt, at det kan implementeres på andre måder gør det
ikke mindre korrekt, derimod gør det det mindre vigtigt at den enkelte
konsulent kan huske hvordan det plejer at fungere i hovedet, han bør hvis
der er problemer undersøge hvordan der resolves og fikse det.

Er der ikke problemer bør han ikke "fordybe sig i hverdagen" over emnet, men
arbejde med relevante opgaver.

Abstraktion er en god ting, især for økonomien...

---

Ulrik Lunddahl wrote:

>>>At have ret er bestemt ikke det samme som at have mulighed, der kan være
>>>tekniske, økonomiske og politiske forhindringer i vejen, tit er de så store
>>>at de ikke umidelbart kan tilsidesættes.
>>Snakker du om åben eller lukket source?
> Læser du hvad jeg skriver, i content er det ligemeget om man må rette fejlen
> eller ej, hvis det i praksis ikke er muligt.


Hvilke politiske, økonomiske, tekniske hindringer kan der være i vejen
for at finde en fejl i et stykke software og rette denne, hvis man har
kilden?

Er der nogle hindringer der fortrækker at kører med software med fejl?

Jeg har arbejdet mange stede hvor man giver kunden en specielt strippet
rekompilet version af applikationen, indeholdene de dele der er brug for.

Eller en statisk linket version af en applikation, således denne kan
chroot'es.

>>>Det er en gammel 1990'er holdning, som salgschef i en hardware
>>>virksomhed er
>>Det er en situation jeg ser dagligt.
> Så brurde du vælge din omgangskreds noget bedre, IMHO.


Hvor tit kompilere du din IIS server fordi du ikke har brug for Unicode
håndteringen?

> Det er ligemeget hvordan du definerer, deler vi administratorer i dygtige og
> ikke dygtige efter hvilke som helst kriterier, er min påstand, at hvis du
> overfører de samme kriterier til mellem *nix og windows er fordelingen ikke
> specielt meget bedre på *nix paltformen.


Aner det ikke, er blot ikke de jeg ser i min hverdag som konsulent.

>>De UNIX administrator jeg kender (nogle har jeg selv inspireret), har
>>kunne tilegne sig meget stor viden indenfor mange områder ved at læse
>>HOWTO's til fx Linux.


> Ja, men hvad har det med sagen at gøre, der findes efterhånden lige så mange
> howto's til Windows og alt muligt andet, at dokumenterne de ikke heder
> Exchange howto, men f.eks. Exchange Disaster Recovery Guide gør dem imho
> ikke ringere.


Giver Exchange Disaster Recovery guide, dem indblik i hvilken
datastruktur exchange's database er bygget op omkring?


> Igen en dygtig administrator har bred systemforståelse, og et indgående
> kendskab til hvor han skal søge oplysninger i den tilgængelige videnbase.
>
> Til sidst vil jeg ligefrem påstå, at det at læse en howto, som hovedregel
> ikke giver "meget stor viden" om et givent emne.


Jeg har oplever howto's om fx samba give meget størrer viden end man har
kunne finde hos fx microsoft, da den giver erfaringer fra udviklerne af
samba, der har reverse engineeret smb-protokollen.

>>Men generelt oplever jeg at folk der arbejder med UNIX skal sætte sig
>>ind i deres værktøjer for at kunne bruge disse, hvor folk der arbejder
>>med Windows har det lettere og ikke behøver at fordybe sig i hverdagen.
> At indlæringskurven er stejl er ikke et udtryk for at dem der beskæftiget
> sig med emnet alle er dygtige.


Det er ikke det jeg snakker om, jeg snakker om at der skal noget
grundliggende viden til at få det til at virke, i forhold til at blot at
kører et install-shield, og trykke på nogle knapper i en gui.

>>Jeg plejer at sige at windows er brugervenligt, og UNIX er administrator
>>venligt :)
> Det er igen noget 1990'er plader.


Er det da omvendt? :)

> Ovenstående er 100% korrekt, at det kan implementeres på andre måder gør det
> ikke mindre korrekt, derimod gør det det mindre vigtigt at den enkelte


Fx er der IPX protokollen og ligende protokoller. En maskine kan have
flere interfaces, microsoft proxy klienten kan ændre på det hele, ectetera.

> konsulent kan huske hvordan det plejer at fungere i hovedet, han bør hvis
> der er problemer undersøge hvordan der resolves og fikse det.


Hvordan det plejer, kan man ikke bruge til noget.


> Er der ikke problemer bør han ikke "fordybe sig i hverdagen" over emnet, men
> arbejde med relevante opgaver.
>
> Abstraktion er en god ting, især for økonomien...


I det kort løb, men ikke i det lange løb.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>> Det er fordi det er en Cisco 677 (CBOS), og efter vi har fået et helt
>> IP-range, så skal NAT være disabled.
>
> Hvorfor forhindre det dig i at lave access-lister, NAT kan stadigvæk
> godt være disablet?

Man kan ikke lave mere end 20 filter-regler. Det er altså ikke noget
man kan bygge ret meget sikkerhed på. Man kan lige filtrere det værste
fra, men det er også det hele.

--
Jacob - www.bunk.cc
One planet is all you get.

---

Jacob Bunk Nielsen wrote:

> Man kan ikke lave mere end 20 filter-regler. Det er altså ikke noget
> man kan bygge ret meget sikkerhed på. Man kan lige filtrere det værste
> fra, men det er også det hele.


Jeg plejer at siger mere end 20 regler er for meget, så det passer jo
fint :)

---

"JJ" <jesperhn@tdcadsl.dk> writes:

> Uden at skulle starte en religionskrig her, så tror jeg der er større
> sandsynlighed for at få noget til at virke i Win2000 end med Linux, hvis man
> kun har teoretisk erfaring. :)

Det er jeg ikke enig med dig i som generel betragtning.

Jeg er overbevist om at det afhænger meget af den opgave man prøver at
løse.

Personligt synes jeg der er mange ting der er lettere i Linux end i
Windows, da jeg til daglig bruger Linux væsentlig mere end Windows, og
jeg derfor nok kender Linux bedre end Windows.

--
Jacob - www.bunk.cc
The best way to keep your friends is not to give them away.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> wrote in message
news:spamdrop+m3vgarckdu.fsf@paven.bunk.cc...
> "JJ" <jesperhn@tdcadsl.dk> writes:
>
> > Uden at skulle starte en religionskrig her, så tror jeg der er større
> > sandsynlighed for at få noget til at virke i Win2000 end med Linux, hvis
man
> > kun har teoretisk erfaring. :)
>
> Det er jeg ikke enig med dig i som generel betragtning.
>
> Jeg er overbevist om at det afhænger meget af den opgave man prøver at
> løse.
>
> Personligt synes jeg der er mange ting der er lettere i Linux end i
> Windows, da jeg til daglig bruger Linux væsentlig mere end Windows, og
> jeg derfor nok kender Linux bedre end Windows.


Hehe - da jeg skrev indægget, sad jeg faktisk og overvejede om jeg skulle
skrive: "Uden at skulle starte en religionskrig her, så tror jeg der er
større sandsynlighed for at få noget til at virke i Win2000 end med Linux,
hvis man kun har teoretisk erfaring, og er vant til at arbejde med Microsoft
programmer"

Så vi er vist enige om at vores dagligsdags foretrukne system, forbliver det
foretrukne hvis man afprøver nye funktionaliteter.

I skal alle have tak for Jeres input til placeringen af mit VPN-system. I
dag fik jeg placeret min VPN løsning bag firewall'en, og indtil jeg får fat
i nogle flere ben til PIX'en, forbliver den der.

mvh/JJ

---

"JJ" <jesperhn@tdcadsl.dk> writes:

> Hehe - da jeg skrev indægget, sad jeg faktisk og overvejede om jeg skulle
> skrive: "Uden at skulle starte en religionskrig her, så tror jeg der er
> større sandsynlighed for at få noget til at virke i Win2000 end med Linux,
> hvis man kun har teoretisk erfaring, og er vant til at arbejde med Microsoft
> programmer"

Jeg mener bare du glemte den sidste forudsætning, nemlig at man er
vant til at arbejde med Microsoft programmer.

Af en eller anden grund oplever alt for mange mennesker det der Linux
som værende vildt besværligt at gå til, og glemmer helt at de også
engang har brugt ganske meget tid på at lære det system de bruger nu
at kende.

Måske er det bare fordi de bliver skuffede over at der ikke er
voldsomt meget af deres viden om Windows de kan bruge på et
*nix-system.

FUT til news:dk.edb.sysadmin, da det ikke har så meget med netværk at
gøre længere.

--
Jacob - www.bunk.cc
In space, no one can hear you fart.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>> [ FreeS/WAN ]
>
> Opsætningen er let, kompileringen en anden historie.

Så har vi da godt nok forskellig opfattelse af tingene. Jeg plejer at
bruge:

make menumod
< vælg 'M' ud for alle tingene der har med IPsec at gøre i
kernekonfigurationen svarende til 'make menuconfig' i /usr/src/linux >
make minstall

Så er man kørende. Desværre står den fremgangsmåde først et godt stykke
nede af siden med installationsvejledningen, sikkert fordi den metode
er relativt ny. Det kræver dog at du i forvejen har en
/usr/src/linux/.config liggende, men det har jeg som regel alligevel
altid.

--
Jacob - www.bunk.cc
Tact is the art of making a point without making an enemy.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

>>>http://download.2600.dk/tekster/2001/win2000/win2000.txt
>> Den er da meget sjov ... men helt ærlig, den er nok mest lavet for
>> bare at være fjollet.
>
> Er den?

Ja, det var mit indtryk. Se fx også den kommentar der står nederst.

Man kan jo åbenlyst ikke sammenligne Windows 2000 og FreeBSD på den
1-1 måde der gøres. Man vælger vel det man synes bedst om. Jeg er fx
glad for at jeg på min RedHat kan køre 'up2date -u' fra en
kommandolinie og få opdateret alle pakker på en gang. Windows-brugere
kan vel bedre li' at klikke sig frem til det samme, og finder oftest
kommandolinieprogrammer gammeldags og besværlige.

>>> [ Forslag om reinstallation af Exchange-dims ]
>> Det har jeg indtryk af ofte er noget af det første man prøver når de
>> mest basale ting er prøvet - sikkert fordi det ofte løser problemerne
>> på en relativt hurtig måde.
>
> Det var en Exchange database på 1GB, med mails, møder, ectetera. Deres
> forslag var at formatere disken og starte helt forfra med datatab som
> følge.

OK, det virker måske ikke så dygtigt. De har vel været træt af
kunderne den dag

>>> [ Navneopløsning af NetBIOS-navne under Windows ]
>> Det ved jeg heller ikke helt. Med Samba kan man bruge nmblookup til at
>> resolve NetBIOS-navne. Hvad gør man på en Windows-maskine, så man kan
>> se at der rent faktisk også sker noget, altså ikke bare så der er en
>> eller anden animeret dims der kører rundt.
>
> Mener du at man ikke kan se hvordan det forgår på windows?

Det ved jeg ikke. Det er derfor jeg spørger. Jeg er alt andet end
ekspert hvad Windows angår.

--
Jacob - www.bunk.cc
All men have the right to wait in line.

---

Jacob Bunk Nielsen wrote:

>>>Den er da meget sjov ... men helt ærlig, den er nok mest lavet for
>>>bare at være fjollet.
>>Er den?
> Ja, det var mit indtryk. Se fx også den kommentar der står nederst.


Jeg kan godt lide budskabet om at en operativ system er et værktøj!


> Man kan jo åbenlyst ikke sammenligne Windows 2000 og FreeBSD på den
> 1-1 måde der gøres. Man vælger vel det man synes bedst om. Jeg er fx
> glad for at jeg på min RedHat kan køre 'up2date -u' fra en
> kommandolinie og få opdateret alle pakker på en gang. Windows-brugere
> kan vel bedre li' at klikke sig frem til det samme, og finder oftest
> kommandolinieprogrammer gammeldags og besværlige.


Windows brugere kan også installere programmer fra en kommando prompt,
og med nogle install script-filer, dårlig sammenligning :)

> OK, det virker måske ikke så dygtigt. De har vel været træt af
> kunderne den dag


De startede med at give options til defragmentering af Jet-basen til
exchange 4.0 selvom kunden ikke kørte 4.0.

En gammel bekendt til mig arbejde som sysadm hos CyberNet, hans kontakt
med support gik generelt på at hans setup (fx flere ip adresse til et
interface på windows NT3.51, som havde kørt i 2 år) ikke kunne lade sig
gøre, og at de generelt ikke kunne løse hans problemer.

>>>>[ Navneopløsning af NetBIOS-navne under Windows ]
>>Mener du at man ikke kan se hvordan det forgår på windows?
> Det ved jeg ikke. Det er derfor jeg spørger. Jeg er alt andet end
> ekspert hvad Windows angår.


Du kan ikke gå ind i GUI'en og se hvordan navneopslag forgår, istedet
kan du læse om de deres vidensdatabase, manualen fortæller det ikke.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> En gammel bekendt til mig arbejde som sysadm hos CyberNet, hans kontakt
> med support gik generelt på at hans setup (fx flere ip adresse til et
> interface på windows NT3.51, som havde kørt i 2 år) ikke kunne lade sig
> gøre, og at de generelt ikke kunne løse hans problemer.

Det er usuporteret i nogen tilfælde, ganske som mange andre ting der godt
kan lade sig gøre....

Samtidigt er det heller igen nogen hemmelighed at det er sådan.

> Du kan ikke gå ind i GUI'en og se hvordan navneopslag forgår, istedet
> kan du læse om de deres vidensdatabase, manualen fortæller det ikke.

Skandaløst, det står i den forkerte bog...


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Jeg kan godt lide budskabet om at en operativ system er et værktøj!

Netop! Man skal vælge det stykke værktøj der passer en bedst. Med
hensyn til operativsystemer er det ofte sammenfaldende med det man
kender bedst.

--
Jacob - www.bunk.cc
He who is content with his lot probably has a lot.