Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Tunnel umgehen - Split-Tunnelig - mit Cisco

Frage Netzwerke Router & Routing

Mitglied: Tyler15

Tyler15 (Level 1) - Jetzt verbinden

07.06.2010 um 17:48 Uhr, 9758 Aufrufe, 12 Kommentare

Hallo zusammen,

mein Kollege benutzt einen Cisco VPN Client um sich mit dem Netzwerk einer anderen Firma zu verbinden. Leider wird dort alles nach "Draußen" geblockt, somit kanner zu dem Zeitpunkt nicht mal seine Mails checken.

Betriebssystem: Win XP

Die Proxy-Einstellung im IE hat er schon getestet, und es ging angeblich nicht.

Den Haken bei "allow local LAN access" hatte er ebenfalls schon mal gesetzt (hierzu muss auf der Gegenseite Split-Tunneling ebenfalls erlaubt sein habe ich gelesen?!).

Habt ihr noch eine Idee?


Grüße

Stefan
Mitglied: aqui
07.06.2010 um 18:04 Uhr
Keine Chance ! Das ist ein fixes Sicherheitsfeature was der Cisco VPN Client hat und was du am Client selber NICHT aushebeln kannst. Es ist ja gerade gewollt das kein externes LAN in den Tunnel soll !
Ein Workaround ist aber der freie vpnc Client. Der hat diese lokalen Restriktionen nicht !
http://www.unix-ag.uni-kl.de/~massar/vpnc/
Allerdings ist das nix für Winblows....
Ein Test wäre aber immer der freie Shrew VPN Client wert, der vorgibt kompatibel zu Cisco VPN Lösungen zu sein:
http://www.shrew.net/support/wiki/HowtoCiscoAsa
Auch der hat diese lokale Restriktion nicht und... supportet Windows !
Obs klappt, musst du probieren.... Ansonsten gilt natürlich was hier unten steht wenn der VPN Admin nicht dumm ist !
Bitte warten ..
Mitglied: nEmEsIs
07.06.2010 um 18:04 Uhr
Hi

Ich denke das die andere Firma da schon seine Gründe haben wird warum sie das so macht. Der Admin ist sicher nicht auf den Kopfgefallen wenn er das seinen Usern verbietet ....


Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: Dani
07.06.2010 um 18:50 Uhr
Hi,
so sehe ich das auch... wir sind nicht dazu da um Sperren zuumgehen. Am Besten ihr klärt das mit der externen Firma. Wir sind der falsche ASP.
Falls ihr etwas umgeschrieben hat (und da bin ich mir zu 99% sicher) kann das Böse für euch enden - von Imageschaden bis hinzu Gerichtsverfahren! Ich habe hier bei uns schon Firmen und Kommen und Gehen sehen innerhalb 48 Stunden.


Grüße,
Dani
Bitte warten ..
Mitglied: Biber
07.06.2010 um 19:14 Uhr
[OT]
Zitat von Dani:
Hi,
Wir sind der falsche ASP.
Abenteuerspielplatz?
Afrikanische Schweinepest?
Antisoziale Persönlichkeitsstörung?
Arbeitskreis Außen- und Sicherheitspolitik?
Association of Shareware Professionals?
Aufbauseminar für punkteauffällige Kraftfahrer?

Egal, bin ich wirklich alles nicht..
Ich habe hier schon Firmen und Kommen und Gesehen innerhalb 48 Stunden.
???
Wat is' ?
Firmungen sind wieder im Kommen?
"Nur 48 Stunden" kommt wieder im Fernsehen?

Dani, wie schaffst du das eigentlich, am frühen Montag morgen schon wieder so fit zu sein ...

SCNR
Biber
[/OT]
Bitte warten ..
Mitglied: Dani
07.06.2010 um 19:36 Uhr
@Biber
Tja... das passiert alles wenn man(n) im Bett liegt, Schmerztabletten schluckt die einen fast zum Schlafen zwingen und meint man muss unbedingt ins Forum schauen.
Obwohl die Freundin das Notebook schön weit weg gestellt hat aber der Dani drauf besteht.


Grüße,
Dani
Bitte warten ..
Mitglied: maretz
07.06.2010 um 20:37 Uhr
Meine Idee: Mit dem Admin sprechen.

Hintergrund: Abschalten kann nur der das wirklich. Und wenn ihr da rumspielt (andere Clients) dann hast du ganz schnell viel Spass. Zum einen würde ich mal davon ausgehen das man dir im Falle eines Schadens eine grobe Fahrlässigkeit unterstellt. D.h. du schleppst nen Virus über die VPN-Verbindung ein weil du durch paralleles Surfen nen Virus auf dein System geholt hast. Dieser läd seine Schadroutine nach und infiziert das Firmennetz. Solang du jetzt mit grober Fahrlässigkeit dran bist darfst du ggf. sogar diesen Schaden selbst zahlen...

Und selbst wenn nicht: Nehmen wir an du würdest bei mir in der Firma arbeiten. Ich sehe dein Laptop (routinemäßige Wartung o.ä.) und finde den Client. Mein nächster Weg: Zum obersten Chef der Firma - und dem erklären das ich dir leider den VPN-Zugang killen muss da du damit Unsinn machst der die Firmensicherheit gefährdet. Solltest du jetzt im Aussendienst sein wird das nächste Gespräch dann für dich übel laufen - im BESTEN Fall hast du nur die nächste Zeit keine Gehaltserhöhung mehr, im schlimmsten hast du kein Gehalt mehr!

Und jetzt sag mir mal einen Grund warum jemand so ein Risiko eingehen sollte nur damit er seine PRIVATEN Mails checken will?

Kiddys - sorry, aber lasst es doch. Wenn der Admin euch so ein Gerät entsprechend eingerichtet gibt dann macht der das auch aus gutem Grund. Es ist nicht die langeweile des Admins das er solche Sperren einbaut - sondern der macht sich sogar gedanken. Und normal versteht der was von seinem Job. Solltet ihr da anfangen dem reinzupfuschen dann dürft ihr euch auch nich wundern wenn DER in eurem Job reinpfuscht! Sei es durch ein Gespräch mit dem Chef - oder dadurch das es beim nächsten Problem bei euch auch mal länger dauert da man erstmal den ganzen Rechner prüfen muss (und da müsst IHR dann dem Chef erklären warum die EDV euer Equipment immer genauer ansieht...). Ist es DAS wirklich wert???
Bitte warten ..
Mitglied: Tyler15
07.06.2010 um 22:12 Uhr
Alles klar, ihr habt Recht! Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.
Bitte warten ..
Mitglied: goscho
07.06.2010 um 22:38 Uhr
Zitat von Tyler15:
Alles klar, ihr habt Recht! Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.

Das verstehe ich jetzt nicht.
Wenn er die Mails abholen will, kann er doch die VPN-Verbindung trennen oder irre ich hier?

Dann sollte doch ein normaler Internetgzugang möglich sein oder ist der VPN-Client immer aktiv und lässt prinzipiell nichts anderes zu?
Bitte warten ..
Mitglied: Tyler15
07.06.2010 um 22:43 Uhr
Zitat von goscho:
> Zitat von Tyler15:
> ----
> Alles klar, ihr habt Recht! Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.

Das verstehe ich jetzt nicht.
Wenn er die Mails abholen will, kann er doch die VPN-Verbindung trennen oder irre ich hier?

Dann sollte doch ein normaler Internetgzugang möglich sein oder ist der VPN-Client immer aktiv und lässt prinzipiell
nichts anderes zu?

Im Moment ist der Client permanent aktiv, das ist ja das Problem. Da ist er besser drann, wenn er an den anderen Rechner geht um die Mails zu checken bevor er die VPN-Verbindung trennt.
Bitte warten ..
Mitglied: maretz
08.06.2010 um 06:09 Uhr
Moin,

das verstehe ich grad nicht so ganz: Entweder handelt es sich um ein Firmenlaptop mit dem Cisco-VPN-Client. Dann bleibt das Geschäftliche da drauf, er wählt sich da ins VPN ein und macht alles für die Firma damit. Oder es handelt sich um ein privat-Laptop/Rechner - dann sollte er ja selbst die VPN-Verbindung einstellen können... (wobei privat für mich auch dann zutrifft wenn es sich z.B. um ein Nebengewerbe, Ebay o.ä. handelt - egal ob er das bei der Firma angemeldet hat und nen Gewerbeschein besitzt oder nicht... ).

Ich würde das aber GRADE in dem Fall sogar explizit trennen wenn es da auch um Geld geht. Nehmen wir nur mal an ich würde nebenbei noch etwas arbeiten. Nächste Woche kommt mein Chef auf die Idee und sagt: Den Mann wollen wir jetzt mal loswerden. Also geht mein Firmenlaptop mal eben in die Wartung - und plötzlich stellen die fest das ich entgegen der EDV-VE das ding auch privat nutze und damit sogar Geld abseits der Firma verdiene. Nun - heute werden Menschen gekündigt weil die ihr Telefon auf der Arbeit aufladen... jetzt könnte also der Chef kommen und sagen das ich Betriebseigentum missbraucht habe (mein Job war zwar genehmigt aber das ich dafür Firmenmaterial nutze nicht). Und schon hab ich ne schnelle Kündigung am Arsch. Wenn man dann jetzt mal ehrlich ist: Bei ner Kündigung geht es ja eigentlich nur um ne Abfindung (und deren höhe). Da wäre sowas schon nen guter Grund für jede Firma um Geld zu sparen...
Bitte warten ..
Mitglied: Heavensdog
08.06.2010 um 08:31 Uhr
Wenn ich das hier richtig verstehe seid ihr ein Externer Dienstleister?!?!

Somit ist der Laptop Eigentum der Firma für die Ihr arbeitet oder Eigentum des Betriebes für denn eure Firma eine Dienstleistung anbietet?

Wenn er das Eigentum eurer Firma ist sollte da doch nicht die grosse Problematik bestehen, wenn ich mich nicht irre.

Außer dein Kollege MUSS dauerhaft bei eurem Kunden eingeloggt sein.

Umgehen würde ich diese Sperre nicht, denn Admins sind nicht blöd und machen sich, wie schon gesagt, berechtigterweise Sorgen um die Sicherheit Ihres Netzwerkes.

Würde ich zb. merken das einer unserer externen meine Sperren umgeht, hätte diese Person nicht nur die fristlose Kündigung in der Hand sondern auch ein Schreiben unseres Anwalts.

Also lieber Finger weg vom umgehen von Sperren die haben ihre daseins-Berechtigung.
Bitte warten ..
Mitglied: Tyler15
08.06.2010 um 13:01 Uhr
Genau, wir sind ein externer Dienstleister, und die Notebooks sind unser Eigentum, also gehören der Firma. Der Kollege muss dauerhaft beim Kunden eingeloggt sein, sonst hätten wir ja nicht das Problem mit den Mails etc.

@maretz: hier war nie die Rede davon Geld nebenbei zu verdienen ;) es ging wirklich nur darum, die geschäftlichen Mails abzurufen während der Kollege mit dem Netzwerk des Kunden verbunden ist. In dem Moment kommt er ja nicht auf unseren Exchange Server.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...