18
Netzwerk ausschließlich über VPN
Hallo zusammen.
Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 380035
Url: https://administrator.de/contentid/380035
Printed on: April 19, 2024 at 16:04 o'clock
18 Comments
Latest comment
Moin,
denke über dein Vorhaben noch einmal ganz langsam und gründlich nach.
Gruß
denke über dein Vorhaben noch einmal ganz langsam und gründlich nach.
Gruß
Da liegt entweder Know-How technisch ganz fies was im argen oder es sind schlicht die falschen Begriffe genutzt worden ;)
Der Sinn der Aktion ist, dass das Firmenlaptop nur auf Firmenserver und über Firmen Router ins Internet kommt. Ich hatte das mal bei einem Laptop (bei dem ich kein Admin war) einer anderen Firma. Da war es mit Cisco AnyConnect (ggf. noch mehr?) gelöst.
Zitat von @Garibaldi69:
Der Sinn der Aktion ist, dass das Firmenlaptop nur auf Firmenserver und über Firmen Router ins Internet kommt. Ich hatte das mal bei einem Laptop (bei dem ich kein Admin war) einer anderen Firma. Da war es mit Cisco AnyConnect (ggf. noch mehr?) gelöst.
Gratuliere. Du hast deine Lösung grad gefunden.Der Sinn der Aktion ist, dass das Firmenlaptop nur auf Firmenserver und über Firmen Router ins Internet kommt. Ich hatte das mal bei einem Laptop (bei dem ich kein Admin war) einer anderen Firma. Da war es mit Cisco AnyConnect (ggf. noch mehr?) gelöst.
Eine minimal Grundintelligenz dürft ihr mir zutrauen. Wenn diese Lösung möglich wäre, hätte ich sie gewählt. Das ganze muss mit einem Budget von 0EUR realisiert werden.
Zitat von @Garibaldi69:
Eine minimal Grundintelligenz dürft ihr mir zutrauen. Wenn diese Lösung möglich wäre, hätte ich sie gewählt. Das ganze muss mit einem Budget von 0EUR realisiert werden.
Das geht genauso über OpenVPN, nur mit entsprechendem Mehraufwand bei der Konfiguration.Eine minimal Grundintelligenz dürft ihr mir zutrauen. Wenn diese Lösung möglich wäre, hätte ich sie gewählt. Das ganze muss mit einem Budget von 0EUR realisiert werden.
Und für genau diesen Mehraufwand suche ich Hilfe. Ich bin nicht zu faul mir im Internet Informationen zu googeln, nur fehlt mir im Moment der Ansatz dazu, wonach ich suchen muss.
Zitat von @Garibaldi69:
Und für genau diesen Mehraufwand suche ich Hilfe. Ich bin nicht zu faul mir im Internet Informationen zu googeln, nur fehlt mir im Moment der Ansatz dazu, wonach ich suchen muss.
Das kommt drauf an, wie du das Projekt realisieren willst. Eigener Vpn Server auf Windows oder Ubuntu möglich?Und für genau diesen Mehraufwand suche ich Hilfe. Ich bin nicht zu faul mir im Internet Informationen zu googeln, nur fehlt mir im Moment der Ansatz dazu, wonach ich suchen muss.
Gruß, V
Bei vielen VPN Clients ist das ein Standard und nennt sich "Gateway Redirect" !
Abgesehen davon ist es in jedem VPN Server mit einem simplen Mausklick oder Kommandozeile konfigurierbar.
Dadurch wird dann kein VPN Split Tunneling gemacht sondern bei aktiviertem VPN Client wird dessen default Gateway auf die Tunnel IP "umgebogen" und so samtlicher Traffic in den Tunnel geleitet.
Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
Hier mal ein Beispiel wie es mit dem populären SSL VPN OpenVPN gemacht wird:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Bei anderen VPN Protokollen ist das identisch !
Abgesehen davon ist es in jedem VPN Server mit einem simplen Mausklick oder Kommandozeile konfigurierbar.
Dadurch wird dann kein VPN Split Tunneling gemacht sondern bei aktiviertem VPN Client wird dessen default Gateway auf die Tunnel IP "umgebogen" und so samtlicher Traffic in den Tunnel geleitet.
Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
Hier mal ein Beispiel wie es mit dem populären SSL VPN OpenVPN gemacht wird:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Bei anderen VPN Protokollen ist das identisch !
Zitat von @aqui:
Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
ihr überseht da was:Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
Zitat von @Garibaldi69:
Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Ich weis jetzt nicht was ihr habt.
Der Client soll keine Internetverbindung bekommen solange er nicht im VPN über Lan/WLan hängt.
Kenne da auch Firmen die das so umsetzen.
Vorteil: Alles läuft nur über den Firmen Proxy/Filter.
Der Client soll keine Internetverbindung bekommen solange er nicht im VPN über Lan/WLan hängt.
Kenne da auch Firmen die das so umsetzen.
Vorteil: Alles läuft nur über den Firmen Proxy/Filter.
Nee, auch nicht richtig. Wenn man das richtig liest mitnichten nur Internet sondern auch auf das gesamte lokale Netzwerk nicht.
Das ist natürlich Blödsinn und ist so ohne weiteres natürlich nicht zu realisieren wenn diese VPN Clients sich in einem dummen und flachen Layer 2 LAN noch mit anderen Komponenten wie Server, NAS, Drucker usw. befindet.
Das geht dann entweder nur über einen restriktiven Mac Adress Filter am Switch (hoher Management Aufwand pro Client) oder sinnvollerweise macht man das indem man die VPN Clients in ein separates VLAN Segment legt nur zusammen mit dem VPN Server.
Idealerweise ist dieses VLAN dann noch ein sog. Private- oder Isolated VLAN (PVLAN) so das sich die VPN Clients auch nicht untereinandersehen sehen können und einzig nur Verbindung auf den VPN Server oder Router/Firewall haben.
Nur so klappt das mit der vollständigen Isolation.
Ist aber auch simpler Standard und mit ein paar wenigen Mausklicks im Handumdrehen eingerichtet wenn man die richtige Hardware hat.
Eben simpler und üblicher Standard bei sicheren VPNs und nix Außergewöhnliches.
Das ist natürlich Blödsinn und ist so ohne weiteres natürlich nicht zu realisieren wenn diese VPN Clients sich in einem dummen und flachen Layer 2 LAN noch mit anderen Komponenten wie Server, NAS, Drucker usw. befindet.
Das geht dann entweder nur über einen restriktiven Mac Adress Filter am Switch (hoher Management Aufwand pro Client) oder sinnvollerweise macht man das indem man die VPN Clients in ein separates VLAN Segment legt nur zusammen mit dem VPN Server.
Idealerweise ist dieses VLAN dann noch ein sog. Private- oder Isolated VLAN (PVLAN) so das sich die VPN Clients auch nicht untereinandersehen sehen können und einzig nur Verbindung auf den VPN Server oder Router/Firewall haben.
Nur so klappt das mit der vollständigen Isolation.
Ist aber auch simpler Standard und mit ein paar wenigen Mausklicks im Handumdrehen eingerichtet wenn man die richtige Hardware hat.
Eben simpler und üblicher Standard bei sicheren VPNs und nix Außergewöhnliches.
@Kraemer Danke!
Genau da liegt das Problem. Die Nutzer des Laptop sollen keinen Zugriff auf vermeidlich unsichere Netzwerke haben, sondern sich quasi immer im Firmennetzwerk befinden. Die normale OpenVPN Konfiguration macht das nicht. Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Genau da liegt das Problem. Die Nutzer des Laptop sollen keinen Zugriff auf vermeidlich unsichere Netzwerke haben, sondern sich quasi immer im Firmennetzwerk befinden. Die normale OpenVPN Konfiguration macht das nicht. Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Zitat von @Garibaldi69:
Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Nur wie soll das gehen? Ohne Zugriff auf das Netzwerk kein Zugriff auf das Internet dadurch kein VPN...Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Kann ich mir ja eben nicht erklären. Wenn ich das nicht mal selbst gesehen hätte, würde ich es auch erst mal als unmöglich einstufen.
@aqui Auf die Switche dieser Netzwerke habe ich natürlich keinen Zugriff und kann sie natürlich nicht konfigurieren. Es könnte sich dabei z.B. um ein Netzwerk in einem Hotel handeln.
@aqui Auf die Switche dieser Netzwerke habe ich natürlich keinen Zugriff und kann sie natürlich nicht konfigurieren. Es könnte sich dabei z.B. um ein Netzwerk in einem Hotel handeln.
Hallo,
vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden
Schön ist das aber alles nicht, zumal ja auch Dienste und Hintergrundanwendungen aufs Internet zugreifen.
Ich frage mich, wie so eine Anforderung überhaupt entstehen kann. Weil: Sinn macht das alles irgendwie nicht bzw. es entsteht schlichtweg kein Mehrwert.
Für mich wirkt das, als wenn man dem Benutzer die Vermischung von privaten Daten und Firmendaten verleiden möchte. Und dafür bzw. dagegen nimmt man schlichtweg zwei Partitionen.
Gruß,
Jörg
vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden
Schön ist das aber alles nicht, zumal ja auch Dienste und Hintergrundanwendungen aufs Internet zugreifen.
Ich frage mich, wie so eine Anforderung überhaupt entstehen kann. Weil: Sinn macht das alles irgendwie nicht bzw. es entsteht schlichtweg kein Mehrwert.
Für mich wirkt das, als wenn man dem Benutzer die Vermischung von privaten Daten und Firmendaten verleiden möchte. Und dafür bzw. dagegen nimmt man schlichtweg zwei Partitionen.
Gruß,
Jörg
Hi,
Zusätzlich noch auf die Adresse(n) des/r Zielserver/s einschränken (VPN-Server).
Und Benutzer darf keine USB-Geräte installieren dürfen (z.B. USB-LAN/WLAN-Adapter).
Auch keine USB-HDD's. Denn sonst holt er sich die Sachen über einen anderen Rechner und überträgt es via USB-Laufwerk. Wenn schon, denn schon konsequent.
E.
Zitat von @117471:
vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden
Ja, so wollte ich das auch vorschlagen. Und es ist auch die einzige Möglichkeit, dieses Anliegen umzusetzen, welche ich da sehe.vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden
Zusätzlich noch auf die Adresse(n) des/r Zielserver/s einschränken (VPN-Server).
Und Benutzer darf keine USB-Geräte installieren dürfen (z.B. USB-LAN/WLAN-Adapter).
Auch keine USB-HDD's. Denn sonst holt er sich die Sachen über einen anderen Rechner und überträgt es via USB-Laufwerk. Wenn schon, denn schon konsequent.
E.
Auf die Switche dieser Netzwerke habe ich natürlich keinen Zugriff und kann sie natürlich nicht konfigurieren.
Wasch mich aber mach mich nicht naß !Mal im Ernst: Wie willst du sinnvoll solche Anforderungen umsetzen wenn du auf die wesentlichen Komponenten keinen Zugriff hast. Das ist ja dann sinnfreier Unsinn. Kein normaler Netzwerker geht so vor.
Wenns wie gesagt ein Hotel ist dann besorge dir den dortigen netzwerker und setze das so um wie beschrieben. So klappt das auch. Alles andere ist doch nur böser Frickelkram der niemals richtig funktioniert.
Typischer Freitagsthread
