Forticlient Split DNS am Client erzwingen?

[kreilinger]

Hi,

vll. gibt es unter euch ja einen Fortinet Spezialisten. Ich habe folgendes Problem:

Die VPN-Verbindung meines Arbeitgebers (FortiClient SSL VPN) zwingt mir immer die DNS-Server der Firma auf, sobald ich mich verbinde. Ich verstehe natürlich, dass das grundsätzlich gut/nötig ist, damit der Zugriff auf Firmenressourcen per Namensauflösung funktioniert.

Bei meinem vorigen Arbeitgeber wurde dies anders gehandhabt. Es erfolgte eine Split DNS Konfiguration, sodass nur Anfragen an die Domäne der Firma per VPN weitergeleitet wurden und alle anderen Anfragen an meinen eigenen DNS gesendet wurden. Ich verwende zu Hause intensiv Domainnamen für den Zugriff auf Smarthomesteuerung & Co. Alles schon über einen Reverse Proxy mit LetsEncrypt Zertifikaten per HTTPS erreichbar. Werden meine DNS Anfragen jedoch in die Firma geschickt, funktioniert natürlich garnichts mehr ohne die IPs zu wissen und ohne Zertifikatsfehler.

Auf Anfrage beim neuen Arbeitgeber wurde mir gesagt, dass Split DNS aktuell nicht unterstützt wird (warum auch immer). Meine Vermutung wäre die zentrale Verwendung von DNS-Filtern, hätte ich aber bis Dato nicht bemerkt, dass irgendetwas je blockiert wurde.

Daher meine Frage: kann ich selbiges verhalten manuell bei mir konfigurieren? (Ohne das bei jedem Reconnect neu machen zu müssen - oder dann zumindest automatisiert)?

LG

 

[torben]

Bin alles andere als Fortigate Experte, aber hab mal gerade in unsere Fortigate reingeschaut. Das Split Tunneling wird auf Seite der Fortigate bei der Konfiguration des VPN Tunnels aktiviert. Wenn da deine Firma kein Bock drauf hat, hast du glaube ich recht schlechte Karten.

kann ich selbiges verhalten manuell bei mir konfigurieren? (Ohne das bei jedem Reconnect neu machen zu müssen - oder dann zumindest automatisiert)?

Ich behaupte mal nein, weil sonst die Firmenressourcen nicht mehr aufgelöst werden können bzw. dein PC die internen (bei dir) Sachen sowieso nicht finden kann, weil alles über den VPN geht.

Aber lasse mich da gerne eines Besseren belehren.

 

[kreilinger]

Ich behaupte mal nein, weil sonst die Firmenressourcen nicht mehr aufgelöst werden können bzw. dein PC die internen (bei dir) Sachen sowieso nicht finden kann, weil alles über den VPN geht.

Traffic selbst läuft alles bei mir Lokal raus was nichts mit der Firma zu tun hat. Ich wüsste ja welche DNS-Server und welche Domänen übers VPN aufgelöst werden müssen - aber hätte gehofft, jemand hat eine Idee, wie man da tricksen kann.

 

[xone92]

.... aber hätte gehofft, jemand hat eine Idee, wie man da tricksen kann.

Tricksen ist bei einem Firmenlaptop (was es wohl ist) immer so eine Sache. Da hängt schnell der Job mit dran weil es da um Security geht und da verstehen wenige Firmen übermäßig viel Spaß.

 

[torben]

Ahh okay, also hast du ja schon einen Split-Tunnel VPN laufen, nur eben nicht DNS.
Was vielleicht funktioniert als Workaround. Leg auf deiner Domain entsprechende A-Einträge für dein lokales Zeug an.
Also z.B. serviceX.home.strauss.co.at -> IP von serviceX.
Kann aber auch gut sein, dass dein Firmen-DNS sowas blockiert, aber Versuch wäre es wert.

Ansonsten mal sowas ausprobiert? Custom DNS Chrome

 

[blablub1212]

Ich kenn mich mit Windows nur bedingt aus und vermutlich musst du Admin sein um die Datei zu bearbeiten, aber du könntest in der Hosts-Datei (https://www.heise.de/tipps-tricks/Hosts-Datei-in-Windows-10-bearbeiten-4928321.html) eine oder mehrere statische Route für deinen lokalen Domains machen.

 

[kreilinger]

Leg auf deiner Domain entsprechende A-Einträge für dein lokales Zeug an

Daran habe ich auch schon gedacht. Kommt mir aber securitymäßig suboptimal vor, meine internen IP-Adressen öffentlich abfragbar zu machen.

 

[drago1401]

warum nimmt man dafür nicht ein 2. Gerät, ein privates Tablet oder so? ohne den VPN?

 

[kreilinger]

Aaah, ja das wär schonmal ein Anfang. Das meiste betrifft eh nur den Zugriff auf irgend ein Webinterface. Dann sind es nur noch 1-2 Tools die installiert sind, die so nicht funktionieren.

Ergänzung (13. Dezember 2024)

warum nimmt man dafür nicht ein 2. Gerät, ein privates Tablet oder so? ohne den VPN?

Weil ich den Laptop privat nutzen darf und keinen eigenen mehr habe

 

[h00bi]

Hosts Datei ist tatsächlich erste Anlaufstelle vor dem DNS.

EDIT: Wenns BYOD bzw. Privatnutzung gestattet ist, solltest du adminrechte haben.

Ansonsten wäre noch der Umweg über eine private VM denkbar.
Davon abgesehen ist Forti SSL VPN bereits als Legacy eingestuft, da dürfte mittelfristig eine neue Umsetzung bei euch kommen.

 

[prayhe]

Kommt mir aber securitymäßig suboptimal vor, meine internen IP-Adressen öffentlich abfragbar zu machen.

Sehe ich persönlich jetzt nicht so eng. Damit das jemandem was bringt muss er ja erstmal in dein Netzwerk reinkommen. Und wenn das der Fall ist hast du vermutlich ein größeres Problem als DNS-Records

 

[torben]

Daran habe ich auch schon gedacht. Kommt mir aber securitymäßig suboptimal vor, meine internen IP-Adressen öffentlich abfragbar zu machen.

Gegenfrage: Was genau ist daran für dich Securitymäßig suboptimal? Bei einem Firmennetzwerk, ja ok. Aber Heimnetzwerk, was solls.

 

[kreilinger]

@torben Vll. bin ich da etwas paranoid, aber alleine schon das Abfragen der Hostnamen verrät ja schonmal welche Technologien/Systeme bei mir am laufen sind. Wenn da jetzt herstellerxyz-01.home.domain.tld rauskommt, kann ein Angreifer schon gut einschränken, worauf er sich konzentrieren muss. Und ja, bei mir gibts vll. keine Firmengeheimnisse zu stehlen, aber jemand der per Smarthomesteuerung Türen öffnen kann ohne meine Erlaubnis, stellt für mich durchaus ein zu bedenkendes Risiko dar.

 

[torben]

Naja, kann man so sehen. Aber kannste halt einfach umgehen, in dem du es nicht Herstellerxyz-01.home... sondern türklingel-01.home... nennst. Security through obscurity bringt aber in den wenigsten Fällen etwas.
Wie prahye schon schreibt, dafür muss auch erstmal der potentielle Angreifer in dein Netz kommen und ab dem Zeitpunkt hast du sowieso schon verloren, egal ob der Angreifer jetzt die URL/IP/Name deiner Türklingel kennt oder nicht. Und wenn du nichts nach außen ins Internet freigibst (im Sinne von Port Forwarding oder so), wirds ja noch schwieriger für einen Angreifer reinzukommen.
Denke man muss sich immer bisschen über das Threat-Model Gedanken machen. Wie wahrscheinlich ist es, dass ein Angreifer, genau dich raussucht, von ausgeht, dass du eine "smarte" Tür hast/oder es weiß, es schafft in dein Netzwerk zu kommen, um dann deine Tür aufzumachen? Gibt nichts, was es nicht gibt, klar, aber ich halte das für ein überschaubares Risiko und behaupte zu dem Zeitpunkt hat jeder andere dir das Kellerfenster schon eingetreten.

Mach womit du dich wohlfühlst, ausprobieren kannst du es ja mal spaßeshalber mit einem Test A-Eintrag, um zu schauen ob es überhaupt geht. Bei meinem Arbeitgeber gehts nicht

 

[h00bi]

Das Posting ist lächerlich, wenn du weiter das ggf. fremdkontrollierte Firmennotebook für Privatkram verwendest. Das ist die ultimative Sicherheitslücke in deinem Heimnetz, die du aber auf Teufel komm raus behalten willst.