Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk ausschließlich über VPN

Mitglied: Garibaldi69

Garibaldi69 (Level 1) - Jetzt verbinden

12.07.2018 um 13:57 Uhr, 564 Aufrufe, 18 Kommentare

Hallo zusammen.

Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Mitglied: Kraemer
12.07.2018 um 13:59 Uhr
Moin,

denke über dein Vorhaben noch einmal ganz langsam und gründlich nach.

Gruß
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:14 Uhr
Zitat von Kraemer:

Moin,

denke über dein Vorhaben noch einmal ganz langsam und gründlich nach.

Gruß
Da liegt entweder Know-How technisch ganz fies was im argen oder es sind schlicht die falschen Begriffe genutzt worden ;)
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 14:17 Uhr
Der Sinn der Aktion ist, dass das Firmenlaptop nur auf Firmenserver und über Firmen Router ins Internet kommt. Ich hatte das mal bei einem Laptop (bei dem ich kein Admin war) einer anderen Firma. Da war es mit Cisco AnyConnect (ggf. noch mehr?) gelöst.
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:18 Uhr
Zitat von Garibaldi69:

Der Sinn der Aktion ist, dass das Firmenlaptop nur auf Firmenserver und über Firmen Router ins Internet kommt. Ich hatte das mal bei einem Laptop (bei dem ich kein Admin war) einer anderen Firma. Da war es mit Cisco AnyConnect (ggf. noch mehr?) gelöst.
Gratuliere. Du hast deine Lösung grad gefunden.
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 14:25 Uhr
Eine minimal Grundintelligenz dürft ihr mir zutrauen. Wenn diese Lösung möglich wäre, hätte ich sie gewählt. Das ganze muss mit einem Budget von 0EUR realisiert werden.
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:27 Uhr
Zitat von Garibaldi69:

Eine minimal Grundintelligenz dürft ihr mir zutrauen. Wenn diese Lösung möglich wäre, hätte ich sie gewählt. Das ganze muss mit einem Budget von 0EUR realisiert werden.
Das geht genauso über OpenVPN, nur mit entsprechendem Mehraufwand bei der Konfiguration.
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 14:30 Uhr
Und für genau diesen Mehraufwand suche ich Hilfe. Ich bin nicht zu faul mir im Internet Informationen zu googeln, nur fehlt mir im Moment der Ansatz dazu, wonach ich suchen muss.
Bitte warten ..
Mitglied: Voiper
12.07.2018 um 14:33 Uhr
Zitat von Garibaldi69:

Und für genau diesen Mehraufwand suche ich Hilfe. Ich bin nicht zu faul mir im Internet Informationen zu googeln, nur fehlt mir im Moment der Ansatz dazu, wonach ich suchen muss.
Das kommt drauf an, wie du das Projekt realisieren willst. Eigener Vpn Server auf Windows oder Ubuntu möglich?

Gruß, V
Bitte warten ..
Mitglied: aqui
12.07.2018 um 14:38 Uhr
Bei vielen VPN Clients ist das ein Standard und nennt sich "Gateway Redirect" !
Abgesehen davon ist es in jedem VPN Server mit einem simplen Mausklick oder Kommandozeile konfigurierbar.
Dadurch wird dann kein VPN Split Tunneling gemacht sondern bei aktiviertem VPN Client wird dessen default Gateway auf die Tunnel IP "umgebogen" und so samtlicher Traffic in den Tunnel geleitet.
Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
Hier mal ein Beispiel wie es mit dem populären SSL VPN OpenVPN gemacht wird:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Bei anderen VPN Protokollen ist das identisch !
Bitte warten ..
Mitglied: Kraemer
12.07.2018 um 14:54 Uhr
Zitat von aqui:
Seit Jahren bei VPNs ein simpler Allerwelts Standard für den es eigentlich keines Threads in einem Admin Forum bedurft hätte.
ihr überseht da was:


Zitat von Garibaldi69:
Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der Nutzer soll sich dabei über LAN oder WLAN mit einem Netzwerk verbinden können, auf das er aber keinerlei Zugriff hat. Nach Aufbau des VPN läuft dann der komplette Netzwerkverkehr über das VPN. Auch nach Aufbau VPN darf kein Zugriff auf LAN oder WLAN möglich sein.
Bitte warten ..
Mitglied: Xerebus
12.07.2018, aktualisiert um 14:59 Uhr
Ich weis jetzt nicht was ihr habt.
Der Client soll keine Internetverbindung bekommen solange er nicht im VPN über Lan/WLan hängt.
Kenne da auch Firmen die das so umsetzen.
Vorteil: Alles läuft nur über den Firmen Proxy/Filter.
Bitte warten ..
Mitglied: aqui
12.07.2018, aktualisiert um 15:15 Uhr
Nee, auch nicht richtig. Wenn man das richtig liest mitnichten nur Internet sondern auch auf das gesamte lokale Netzwerk nicht.
Das ist natürlich Blödsinn und ist so ohne weiteres natürlich nicht zu realisieren wenn diese VPN Clients sich in einem dummen und flachen Layer 2 LAN noch mit anderen Komponenten wie Server, NAS, Drucker usw. befindet.

Das geht dann entweder nur über einen restriktiven Mac Adress Filter am Switch (hoher Management Aufwand pro Client) oder sinnvollerweise macht man das indem man die VPN Clients in ein separates VLAN Segment legt nur zusammen mit dem VPN Server.
Idealerweise ist dieses VLAN dann noch ein sog. Private- oder Isolated VLAN (PVLAN) so das sich die VPN Clients auch nicht untereinandersehen sehen können und einzig nur Verbindung auf den VPN Server oder Router/Firewall haben.
Nur so klappt das mit der vollständigen Isolation.
Ist aber auch simpler Standard und mit ein paar wenigen Mausklicks im Handumdrehen eingerichtet wenn man die richtige Hardware hat.
Eben simpler und üblicher Standard bei sicheren VPNs und nix Außergewöhnliches.
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 15:58 Uhr
@Kraemer Danke!
Genau da liegt das Problem. Die Nutzer des Laptop sollen keinen Zugriff auf vermeidlich unsichere Netzwerke haben, sondern sich quasi immer im Firmennetzwerk befinden. Die normale OpenVPN Konfiguration macht das nicht. Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Bitte warten ..
Mitglied: Kraemer
12.07.2018 um 16:01 Uhr
Zitat von Garibaldi69:
Wenn da kein VPN aufgebaut ist, kann man auf die Ressourcen des Netzwerks zu dem man verbunden ist zugreifen. Das soll aber unterbunden werden!
Nur wie soll das gehen? Ohne Zugriff auf das Netzwerk kein Zugriff auf das Internet dadurch kein VPN...
Bitte warten ..
Mitglied: Garibaldi69
12.07.2018 um 16:03 Uhr
Kann ich mir ja eben nicht erklären. Wenn ich das nicht mal selbst gesehen hätte, würde ich es auch erst mal als unmöglich einstufen.

@aqui Auf die Switche dieser Netzwerke habe ich natürlich keinen Zugriff und kann sie natürlich nicht konfigurieren. Es könnte sich dabei z.B. um ein Netzwerk in einem Hotel handeln.
Bitte warten ..
Mitglied: FA-jka
12.07.2018 um 22:35 Uhr
Hallo,

vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden

Schön ist das aber alles nicht, zumal ja auch Dienste und Hintergrundanwendungen aufs Internet zugreifen.

Ich frage mich, wie so eine Anforderung überhaupt entstehen kann. Weil: Sinn macht das alles irgendwie nicht bzw. es entsteht schlichtweg kein Mehrwert.

Für mich wirkt das, als wenn man dem Benutzer die Vermischung von privaten Daten und Firmendaten verleiden möchte. Und dafür bzw. dagegen nimmt man schlichtweg zwei Partitionen.

Gruß,
Jörg
Bitte warten ..
Mitglied: emeriks
13.07.2018, aktualisiert um 09:04 Uhr
Hi,
Zitat von FA-jka:
vielleicht bekommt man die Firewallregeln so hingefrickelt, dass:
- nur der VPN-Client auf die Hardwareschnittstellen zugreifen darf
- die üblichen Regeln an die Schnittstelle vom VPN-Client gezurrt werden
Ja, so wollte ich das auch vorschlagen. Und es ist auch die einzige Möglichkeit, dieses Anliegen umzusetzen, welche ich da sehe.
Zusätzlich noch auf die Adresse(n) des/r Zielserver/s einschränken (VPN-Server).
Und Benutzer darf keine USB-Geräte installieren dürfen (z.B. USB-LAN/WLAN-Adapter).
Auch keine USB-HDD's. Denn sonst holt er sich die Sachen über einen anderen Rechner und überträgt es via USB-Laufwerk. Wenn schon, denn schon konsequent.

E.
Bitte warten ..
Mitglied: aqui
13.07.2018 um 09:33 Uhr
Auf die Switche dieser Netzwerke habe ich natürlich keinen Zugriff und kann sie natürlich nicht konfigurieren.
Wasch mich aber mach mich nicht naß !
Mal im Ernst: Wie willst du sinnvoll solche Anforderungen umsetzen wenn du auf die wesentlichen Komponenten keinen Zugriff hast. Das ist ja dann sinnfreier Unsinn. Kein normaler Netzwerker geht so vor.
Wenns wie gesagt ein Hotel ist dann besorge dir den dortigen netzwerker und setze das so um wie beschrieben. So klappt das auch. Alles andere ist doch nur böser Frickelkram der niemals richtig funktioniert.
Typischer Freitagsthread
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN zu Netzwerk hinter Juniper SSG5
gelöst Frage von wollebeeRouter & Routing7 Kommentare

Hallo, ich versuche mich im Moment daran mein Heimatnetz neu zu gestalten. Seit kurzem bin ich glücklicher User eines ...

Netzwerke

VPN Sichtbarkeit im Netzwerk nicht möglich

gelöst Frage von serguniNetzwerke6 Kommentare

Hallo Leute Ich habe ein kleines Problem wo ich einfach nicht weiter komme. Wollte eigentlich nur Büro 1 mit ...

Router & Routing

VPN aus Fritz!box Netzwerk

gelöst Frage von PharITRouter & Routing8 Kommentare

Hallo allerseits, auf dem Weg zum VPN Profi ;-) bin ich mal wieder an den Grundlagen hängen geblieben Hat ...

Router & Routing

Netzwerk VPN Strukturierung, Erreichbarkeit

Frage von thomasreinholdRouter & Routing5 Kommentare

Hallo Liebe Community, ich stehe vor folgendem Problem: Ich habe eine direkte openVPN Verbindung zwischen Rechenzentrum und Standort 1 ...

Neue Wissensbeiträge
Peripheriegeräte
Unterschrank für HP Drucker
Tipp von NixVerstehen vor 1 TagPeripheriegeräte1 Kommentar

Als kurzen Freitags-Tipp möchte ich gerne meinen neuen Drucker-Unterschrank Modell Amica KS 15423W vorstellen. Das Gerät eignet sich hervorragend ...

Windows 10
Windows 10 - Probleme mit Point-And-Print
Tipp von emeriks vor 2 TagenWindows 103 Kommentare

Hi, wir kämpfen z.Z. mit einigen Druckertreibern, welche unter Win10 beim Verbinden eines Druckers von Printserver mit dem Dialog ...

Windows 10

Windows 10 1803 - Ihr Roamingbenutzerprofil wurde nicht vollständig synchronisiert

Anleitung von Deepsys vor 2 TagenWindows 101 Kommentar

Bei allen Windows 10 1803 PCs traten Probleme mit den Servergespeicherten Profilen auf. Das Abmelden dauerte sehr lange und ...

Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 4 TagenExchange Server7 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Heiß diskutierte Inhalte
Humor (lol)
Freitagsfrage: Was tun, wenn der Admin der DAU ist?
gelöst Frage von VoiperHumor (lol)32 Kommentare

Moin Zusammen, Eine nicht ganz ernst gemeinte Frage an die Außendienstler unter uns. Zusammenfassung: Ein Inhouse Admin ruft bei ...

LAN, WAN, Wireless
HP Probook 470 G4 - abbrechende Downloads
Frage von joern1LAN, WAN, Wireless19 Kommentare

Folgendes Problem, für einen Tipp wäre ich dankbar: Bei WLAN-Verbindung zum Internet (nicht LAN) kommt es bei etwas größeren ...

Windows Netzwerk
LTE Modul - Kein Internet trotz Verbindung
Frage von killtecWindows Netzwerk19 Kommentare

Hallo, ich habe hier ein Dell 7390 2-in-1 mit W10 Pro wo ich nachträglich eine LTE-Karte (Original Dell DW5811e ...

Router & Routing
Routing Problem mit Kaskade FritzBox und pfsense zugeriff nur von der firewall auf die clients und 0.0.0.0
Frage von ukl1967Router & Routing17 Kommentare

Hallo, ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS 10.5.10.53 Mein Netz baut ...