Über VPN aus dem Heimnetzwerk zur Firma verbinden

[infoholicer]

Hallo,

wir möchten einem Mitarbeiter einen ständigen Zugang zum Firmennetz per VPN ermöglichen. Derzeit wählt er sich über "VPN-Programme" ein, diese beenden sich zum Teil nach einer gewissen Zeit, was lästig ist. Idee ist, ihm einen Lancom 1640E Router zu besorgen, den er hinter seinen Telekom Speedport W921V klemmen kann. Im Firmennetz hängt der Lancom R883VAW.

Kann jemand sagen, ob das so möglich ist? Gibt es was zu beachten?
Wie würde das mit Internetaufrufen wie z.B. Youtube funktionieren? Werden diese über die VPN aus dem Firmennetz gezogen oder werden diese an den Privateninternetanschluss weitergeleitet (Stichwort Geschwindigkeit)?

Danke im Voraus.

Grüße

 

[Freakazoid_02]

Warum nicht einfach das VPN mit Boardmitteln herstellen?

 

[Marcel^]

Das ist problemlos möglich.
Es gibt aber auch gute VPN Software, die die Stabilität der Verbindung gewährleistet.

Unabhängig davon, welche Lösung es am Ende wird, kann man immer konfigurieren, welche IP Bereiche überhaupt durch den Tunnel geroutet werden sollen.
Das impliziert auch die Möglichkeit, öffentliche IP gar nicht über die Firma zu routen.

 

[Das MatZe]

Ein VPN Server sollte im Firmennetz stehen, der Mitarbeiter braucht dann eigentlich nur noch auf seinem Endgerät (Laptop z.B.) einen Software VPN Client. Sowas kann man durchaus Zuverlässig, ohne Verbindungsabbrüche machen.
Der Lancom ist m.E. nach nur eine weitere potenzielle Fehlerquelle und ein unnötiger Stromverbraucher.
Datenverkehr, welcher nichts mit der Firma zu tun hat (Youtube etc.) kann via Split Tunneling ausgeschlossen werden.

 

[Drewkev]

Idee ist, ihm einen Lancom 1640E Router zu besorgen, den er hinter seinen Telekom Speedport W921V klemmen kann.

Wozu, er braucht nur eine Software die die VPN-Verbindung herstellen kann, der Server läuft dann bei euch im Firmennetz.

 

[up.whatever]

Warum willst du Workarounds mit neuen Problemen(*) bauen, anstatt das eigentliche Problem ("VPN-Programme" beenden sich) anzugehen?

(*) Wie willst du sicherstellen, dass nur der vertrauenswürdige Firmen-PC und nicht irgendein anderes Fremdgerät am Lancom abgeschlossen wird?

 

[chrigu]

Welches vpn? Welches Protokoll? Welche Fehlermeldungen? Welche Konfiguration?

 

[xxMuahdibxx]

Datenverkehr, welcher nichts mit der Firma zu tun hat (Youtube etc.) kann via Split Tunneling ausgeschlossen werden.

Genau so baut man ein direktes Einfallstor für Viren ein ..

Weil ja der Internet Verkehr möglicherweise ungefiltert auf einen PC gelangt der Zugriff aufs Firmennetz hat

P.S. hier sollte alles über das Firmennetz laufen da hier dann regeln der IT Sicherheit abgebildet werden können.. und wenn privat etwas gemacht werden soll.. 2. PC mit kvm Switch..

 

[Ja_Ge]

Genau so baut man ein direktes Einfallstor für Viren ein ..

Weil ja der Internet Verkehr möglicherweise ungefiltert auf einen PC gelangt der Zugriff aufs Firmennetz hat

Nicht wenn es vernünftig umgesetzt ist.

 

[xxMuahdibxx]

@Ja_Ge

und das wäre ...

weil könnte den TE ja interressieren ... denn ich bezweifle bei der Fragestellung das er dafür genügend Hintergrundwissen hat

 

[Ja_Ge]

Moderne VPN – Clients bieten analoge Security wie die dazugehörige Firewall, sprich URL-Filter, Applikation-Control etc., welche sie bestenfalls von der Hauptfirewall synchronisieren können. DNS Security entweder über die VPN, oder man wählt einen Cloud-Anbieter für DNS, welchen auch die Clients nutzen. Dann braucht man nicht mal die VPN aufzubauen um Split zu nutzen. Würde im Detail jetzt aber zu weit führen.

 

[cloudman]

Stimmt genau. Wer nur auf eine Firewall verlässt und sein Netzwerk dahinter als sicher betrachtet ist zum Beispiel gegen andere Vektoren wie Phishing etc. nicht geschützt.
Bei uns wird schon ziemlich lange das Zero Trust Prinzip verwendet (https://www.computerwoche.de/a/zero-trust-verstehen-und-umsetzen,3547307).
Ist aber ein ziemlicher Aufwand es umzusetzen.

 

[redjack1000]

Kann jemand sagen, ob das so möglich ist? Gibt es was zu beachten?

Das ist so mögllich, warum so umständlich?

Installiere dem Mitarbeiter den LANCOM VPN Client.

CU
redjack

 

[DerGast]

Du kannst gerne meine Easybox xDSL 904 mit OpenWRT haben
Ziemlich easy und lief bei mir über IPSec besser als das OVPN Geraffel.
Wir machen das jetzt auch bei Messen so. VPN-Box, Wireless dran, Zugangsregel wird eh über die Firewall geregelt. Man meldet sich an und kann direkt auf das Unternehmen zugreifen und es wird alles protokolliert. Fertig der Bumms...