Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk ausschließlich über VPN

Mitglied: Garibaldi69

Garibaldi69 (Level 1) - Jetzt verbinden

12.07.2018 um 13:57 Uhr, 729 Aufrufe, 18 Kommentare

Hallo zusammen.

Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Mitglied: Kraemer
12.07.2018 um 13:59 Uhr
Moin,

denke über dein Vorhaben noch einmal ganz langsam und gründlich nach.

Gruß
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:14 Uhr
Zitat von Kraemer:

Moin,

denke über dein Vorhaben noch einmal ganz langsam und gründlich nach.

Gruß
Da liegt entweder Know-How technisch ganz fies was im argen oder es sind schlicht die falschen Begriffe genutzt worden ;)
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 14:17 Uhr
Der Sinn der Aktion ist, dass das Firmenlaptop nur auf Firmenserver und über Firmen Router ins Internet kommt. Ich hatte das mal bei einem Laptop (bei dem ich kein Admin war) einer anderen Firma. Da war es mit Cisco AnyConnect (ggf. noch mehr?) gelöst.
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:18 Uhr
Zitat von Garibaldi69:

Der Sinn der Aktion ist, dass das Firmenlaptop nur auf Firmenserver und über Firmen Router ins Internet kommt. Ich hatte das mal bei einem Laptop (bei dem ich kein Admin war) einer anderen Firma. Da war es mit Cisco AnyConnect (ggf. noch mehr?) gelöst.
Gratuliere. Du hast deine Lösung grad gefunden.
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 14:25 Uhr
Eine minimal Grundintelligenz dürft ihr mir zutrauen. Wenn diese Lösung möglich wäre, hätte ich sie gewählt. Das ganze muss mit einem Budget von 0EUR realisiert werden.
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:27 Uhr
Zitat von Garibaldi69:

Eine minimal Grundintelligenz dürft ihr mir zutrauen. Wenn diese Lösung möglich wäre, hätte ich sie gewählt. Das ganze muss mit einem Budget von 0EUR realisiert werden.
Das geht genauso über OpenVPN, nur mit entsprechendem Mehraufwand bei der Konfiguration.
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 14:30 Uhr
Und für genau diesen Mehraufwand suche ich Hilfe. Ich bin nicht zu faul mir im Internet Informationen zu googeln, nur fehlt mir im Moment der Ansatz dazu, wonach ich suchen muss.
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:33 Uhr
Zitat von Garibaldi69:

Und für genau diesen Mehraufwand suche ich Hilfe. Ich bin nicht zu faul mir im Internet Informationen zu googeln, nur fehlt mir im Moment der Ansatz dazu, wonach ich suchen muss.
Das kommt drauf an, wie du das Projekt realisieren willst. Eigener Vpn Server auf Windows oder Ubuntu möglich?

Gruß, V
Bitte warten ..
Mitglied: aqui
12.07.2018 um 14:38 Uhr
Bei vielen VPN Clients ist das ein Standard und nennt sich "Gateway Redirect" !
Abgesehen davon ist es in jedem VPN Server mit einem simplen Mausklick oder Kommandozeile konfigurierbar.
Dadurch wird dann kein VPN Split Tunneling gemacht sondern bei aktiviertem VPN Client wird dessen default Gateway auf die Tunnel IP "umgebogen" und so samtlicher Traffic in den Tunnel geleitet.
Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
Hier mal ein Beispiel wie es mit dem populären SSL VPN OpenVPN gemacht wird:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Bei anderen VPN Protokollen ist das identisch !
Bitte warten ..
Mitglied: Kraemer
12.07.2018 um 14:54 Uhr
Zitat von aqui:
Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
ihr überseht da was:


Zitat von Garibaldi69:
Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Bitte warten ..
Mitglied: Xerebus
12.07.2018, aktualisiert um 14:59 Uhr
Ich weis jetzt nicht was ihr habt.
Der Client soll keine Internetverbindung bekommen solange er nicht im VPN über Lan/WLan hängt.
Kenne da auch Firmen die das so umsetzen.
Vorteil: Alles läuft nur über den Firmen Proxy/Filter.
Bitte warten ..
Mitglied: aqui
12.07.2018, aktualisiert um 15:15 Uhr
Nee, auch nicht richtig. Wenn man das richtig liest mitnichten nur Internet sondern auch auf das gesamte lokale Netzwerk nicht.
Das ist natürlich Blödsinn und ist so ohne weiteres natürlich nicht zu realisieren wenn diese VPN Clients sich in einem dummen und flachen Layer 2 LAN noch mit anderen Komponenten wie Server, NAS, Drucker usw. befindet.

Das geht dann entweder nur über einen restriktiven Mac Adress Filter am Switch (hoher Management Aufwand pro Client) oder sinnvollerweise macht man das indem man die VPN Clients in ein separates VLAN Segment legt nur zusammen mit dem VPN Server.
Idealerweise ist dieses VLAN dann noch ein sog. Private- oder Isolated VLAN (PVLAN) so das sich die VPN Clients auch nicht untereinandersehen sehen können und einzig nur Verbindung auf den VPN Server oder Router/Firewall haben.
Nur so klappt das mit der vollständigen Isolation.
Ist aber auch simpler Standard und mit ein paar wenigen Mausklicks im Handumdrehen eingerichtet wenn man die richtige Hardware hat.
Eben simpler und üblicher Standard bei sicheren VPNs und nix Außergewöhnliches.
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 15:58 Uhr
@Kraemer Danke!
Genau da liegt das Problem. Die Nutzer des Laptop sollen keinen Zugriff auf vermeidlich unsichere Netzwerke haben, sondern sich quasi immer im Firmennetzwerk befinden. Die normale OpenVPN Konfiguration macht das nicht. Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Bitte warten ..
Mitglied: Kraemer
12.07.2018 um 16:01 Uhr
Zitat von Garibaldi69:
Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Nur wie soll das gehen? Ohne Zugriff auf das Netzwerk kein Zugriff auf das Internet dadurch kein VPN...
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 16:03 Uhr
Kann ich mir ja eben nicht erklären. Wenn ich das nicht mal selbst gesehen hätte, würde ich es auch erst mal als unmöglich einstufen.

@aqui Auf die Switche dieser Netzwerke habe ich natürlich keinen Zugriff und kann sie natürlich nicht konfigurieren. Es könnte sich dabei z.B. um ein Netzwerk in einem Hotel handeln.
Bitte warten ..
Mitglied: FA-jka
12.07.2018 um 22:35 Uhr
Hallo,

vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden

Schön ist das aber alles nicht, zumal ja auch Dienste und Hintergrundanwendungen aufs Internet zugreifen.

Ich frage mich, wie so eine Anforderung überhaupt entstehen kann. Weil: Sinn macht das alles irgendwie nicht bzw. es entsteht schlichtweg kein Mehrwert.

Für mich wirkt das, als wenn man dem Benutzer die Vermischung von privaten Daten und Firmendaten verleiden möchte. Und dafür bzw. dagegen nimmt man schlichtweg zwei Partitionen.

Gruß,
Jörg
Bitte warten ..
Mitglied: emeriks
13.07.2018, aktualisiert um 09:04 Uhr
Hi,
Zitat von FA-jka:
vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden
Ja, so wollte ich das auch vorschlagen. Und es ist auch die einzige Möglichkeit, dieses Anliegen umzusetzen, welche ich da sehe.
Zusätzlich noch auf die Adresse(n) des/r Zielserver/s einschränken (VPN-Server).
Und Benutzer darf keine USB-Geräte installieren dürfen (z.B. USB-LAN/WLAN-Adapter).
Auch keine USB-HDD's. Denn sonst holt er sich die Sachen über einen anderen Rechner und überträgt es via USB-Laufwerk. Wenn schon, denn schon konsequent.

E.
Bitte warten ..
Mitglied: aqui
13.07.2018 um 09:33 Uhr
Auf die Switche dieser Netzwerke habe ich natürlich keinen Zugriff und kann sie natürlich nicht konfigurieren.
Wasch mich aber mach mich nicht naß !
Mal im Ernst: Wie willst du sinnvoll solche Anforderungen umsetzen wenn du auf die wesentlichen Komponenten keinen Zugriff hast. Das ist ja dann sinnfreier Unsinn. Kein normaler Netzwerker geht so vor.
Wenns wie gesagt ein Hotel ist dann besorge dir den dortigen netzwerker und setze das so um wie beschrieben. So klappt das auch. Alles andere ist doch nur böser Frickelkram der niemals richtig funktioniert.
Typischer Freitagsthread
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN zu Netzwerk hinter Juniper SSG5
gelöst Frage von wollebeeRouter & Routing7 Kommentare

Hallo, ich versuche mich im Moment daran mein Heimatnetz neu zu gestalten. Seit kurzem bin ich glücklicher User eines ...

Netzwerke

VPN Sichtbarkeit im Netzwerk nicht möglich

gelöst Frage von serguniNetzwerke6 Kommentare

Hallo Leute Ich habe ein kleines Problem wo ich einfach nicht weiter komme. Wollte eigentlich nur Büro 1 mit ...

Router & Routing

VPN aus Fritz!box Netzwerk

gelöst Frage von PharITRouter & Routing8 Kommentare

Hallo allerseits, auf dem Weg zum VPN Profi ;-) bin ich mal wieder an den Grundlagen hängen geblieben Hat ...

Router & Routing

Netzwerk VPN Strukturierung, Erreichbarkeit

Frage von thomasreinholdRouter & Routing5 Kommentare

Hallo Liebe Community, ich stehe vor folgendem Problem: Ich habe eine direkte openVPN Verbindung zwischen Rechenzentrum und Standort 1 ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 18 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...