mean1312
Goto Top

Trotz VPN keine "verschleierte" IP

Hallo zusammen,

ich bin aktuell im USA-Urlaub und wollte mich - TLS-Verschlüsselung hin oder her - für einige Anwendungen wie Online-Banking,... per VPN (SSL-VPN ist das Protokoll, SECUREPOINT OpenVPN der Client) mit unserem Firmennetz verbinden. Das hat grundsätzlich auch geklappt bzw. die grün markierte Verbindung im Client suggerierte mir, dass ich per VPN verbunden bin. Zu Testzwecken habe ich unser Zeiterfassungssystem geöffnet, das nur aus unserem Firmennetz aufrufbar ist. Das hat geklappt.

Was mich stutzig macht ist allerdings, dass ich beim Aufruf von wieistmeineip.de und ein paar anderen Seiten mit demselben Dienst als Standort USA angezeigt bekam (und auf einer Seite auf einer Map recht genau die Ortschaft, in der ich bin). Wenn ich dann die VPN-Verbindung dicht gemacht habe und die Seite(n) erneut geladen haben bekam ich erneut dieselbe IP-Adresse zu sehen.

Das von mir erwartete Verhalten wäre gewesen, dass ich beim Aufruf von wieistmeineip.de bei bestehender VPN-Verbindung de IP-Adresse unserer Firma und als Standort Deutschland zu sehen bekomme.

Über WebRTC, das wohl über den Browser per JavaScript den wahren Standort und IP übermitteln kann habe ich zwar gelesen, aber im Firefox dies (vermeintlich) deaktiviert, was aber auch keine Abhilfe schaffte.

Um sich auf Servern unserer Firma einzuloggen, die auch über das Internet erreichbar sind (dann allerdings ohne SSH-Zugang), konnte ich mich ebenfalls per SSH einloggen. Dort ist eine explizite Beschränkung auf unsere Firmen-IP hinterlegt. Weshalb es schon in Teilen zu funktionieren scheint.

Könnt ihr mir da vielleicht weiterhelfen?

Vielen Dank und viele Grüße,

Felix

Content-Key: 299501

Url: https://administrator.de/contentid/299501

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: maretz
maretz 18.03.2016 um 17:23:54 Uhr
Goto Top
Moin,

deine Firma hat halt nur eine Route in deren Netz gelegt - d.h. du kannst dann alles mit 192.168.x.y (wenn das euer Firmennetz ist) auch durchs VPN erreichen, den rest übers Internet.

Du kannst jetzt entweder den Firmenproxy nutzen (falls vorhanden), du kannst dein Default-Gateway auf das VPN umbiegen (was aber vermutlich daran scheitert das du dann nicht mehr aus dem Firmennetz bei euch in DE rauskommst) oder damit leben.
Mitglied: 114757
114757 18.03.2016 aktualisiert um 17:31:14 Uhr
Goto Top
Jepp, da wurde das Standardgateway nicht auf den Tunnel gelegt (OpenVPN Option redirect-gateway). D.h. du betreibst hier ein Split-Tunneling. Lege das Standardgateway deines Rechners/Devices auf den Tunnel, dann surfst du aus Sicht der Server auch über euer Firmennetz, wenn die Admins des Firmennetzes dies nicht unterbinden.

Gruß jodel32
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.03.2016 um 18:28:36 Uhr
Goto Top
Moin,

das ist das kleine Einmaleins der VPNs. Eys wird nur dann über das VPN auf irgendetwas zugegriffen, wenn die Route auch dahin zeigt. So wie es bei Euch einegrichte ist, sieht es ganz danach aus, als ob nur das Frimeninterne Netz über das VPn geroutet wird und der rest ganz nrmal übe rdie Internet-verbindung läuft. Die Lösung ist, wie die Kollegen schon sagten, defaul tgeteway ins VPN umzubiegen, mit allen Vor- oder Nachteilen.

lks
Mitglied: Mean1312
Mean1312 19.03.2016 um 04:19:05 Uhr
Goto Top
Hallo,

vielen Dank für eure Antworten.

Wo bekomme ich denn genau die IP-Infos her? Kann ich die irgendwie auslesen? Über cmd -> ipconfig konnte ich nur die IP des Routers in den USA finden, nicht aber die IP-Einstellungen in unserem Firmennetz (die ich auch nicht auswändig kenne). Übers WE unsere Admins anschreiben bringt wohl auch nicht viel, ich würde es aber gerne probieren, nur übers Firmennetz zu surfen - auch um zu sehen, wie die Performance ist.

Ich muss mir dann ja eine fixe IP geben und als Standard Gateway eine IP des Firmennetz (z.B. 192.168.0.1) oder ist es die IP, die mir im OpenVPN angezeigt wird (eine Internet-IP)?

Vielen Dank und viele Grüße,

Felix
Mitglied: BirdyB
BirdyB 19.03.2016 um 08:41:52 Uhr
Goto Top
Hallo Felix,

Schau doch einfach mal in der Routing-Tabelle nach...

Beste Grüße!


Berthold
Mitglied: maretz
maretz 19.03.2016 um 09:04:31 Uhr
Goto Top
Ganz ehrlich - lass es! Wenn du jetzt am WE eh keinen von der IT erreichen kannst ist die chance nur gut das du dir dein Netz zerlegst und dann gar nix mehr geht. Meistens zwar mit nem Reboot erledigt - aber wenn nicht bist du direkt abgeschnitten....

Frage am Montag deine IT-Leute ob die da was drehen können - normal wird es denen relativ egal sein ob du über die Firmenleitung gehst oder nicht solang du nicht illegale Downloads ausführen willst. Dann können die mit einem Klick was machen - und du hast die Sicherheit das es bei dir klappt. Oder es geht bei euch eh nicht weil es eben kein Routing VPN->Internet gibt, dann kannst du bei dir lokal auch nichts machen.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 19.03.2016 um 11:42:45 Uhr
Goto Top
SPLIT-TUNNEL würde ich das nennen.
Ich mache dass bei unseren Clients genauso.
Was zum VPN gehört geht durch den Tunnel, was nicht geht dran vorbei.
Mitglied: Mean1312
Mean1312 19.03.2016 um 15:05:58 Uhr
Goto Top
Guten Morgen,

danke. Dann lasse ich es bleiben und warte, bis ich zurück in Deutschland bin. Der Urlaub dauert sowieso nur noch drei Tage, dann schaue ich die Bank-Infos zu Hause nach, ehe ich mir die Resttage damit vertreibe das zum Laufen zu bringen. ;)

Vielen Dank und viele Grüße,

Felix