Netzwerk überwachbar durch VPN-Software?

WinNutzer1

Cadet 1st Year
Registriert
Juni 2019
Beiträge
12
Hallo zusammen,

ich habe eine Frage die vermutlich mit der grundsätzlichen Funktionsweise einer VPN-Software zusammenhängt.
Folgende Konstellation:
Im lokalen Netzwerk befindet sich ein Laptop, der über VPN auf ein Firmennetzwerk verbunden ist (Home Office). Einer der Firmen-IP-Bereiche ist, aus welchen Gründen auch immer, der selbe wie im lokalen Netzwerk, 192.168.1.x, was auch schon mal zu Problemen mit einer Drucker-Netzwerkfreigabe geführt hat.
Sonst befinden sich im lokalen Netzwerk weitere Geräte, Rechner, und insbesondere ein Server der mit der Firma nichts zu tun hat.

Nun frage ich mich, ist es möglich dass über die VPN-Verbindung ungewollte "Überschneidungen" zwischen den Netzwerken entstehen?
Kann zum Beispiel aus dem über VPN verbundenen Netzwerk auf eine Samba-Freigabe des lokalen Servers, oder sonstige Geräte im lokalen Netzwerk zugegriffen werden?

Kann der über VPN verbundene Laptop dazu genutzt werden die über die Internetverbindung (nicht die per VPN) gesendeten Daten der sonst im Netzwerk befindlichen Geräte irgendwie abzugreifen? Zum Beispiel - Kann es für die VPN-Gegenstelle sichtbar sein wenn einer der Rechner im lokalen Netzwerk computerbase.de aufruft?

Vielen Dank und beste Grüße,
Tobias
 
Das kommt auf deine NTFS Freigabe und Berechtigung an. Ich nehme an, das Gegenüber eine Domäne ist. Zugehörig bist du ja nicht (deine Rechner, du hast sicher nur ein Konto) in der Domäne oder?
Weiterhin kommt es auf das Routing an. Benutzenamen und Passwort usw.... Eingeschaltete Firewall
 
Dein VPN Endpunkt steht in der Firma. Das VPN hat vllt 10.0.123.0/24. Der zugehörige Traffic wird dort in der Firma geroutet, nicht bei dir.

Du müsstest aktiv Traffic aus deinem eigenen Netzwerk auf dem Laptop in das VPN routen damit das geht bzw. deinen Laptop als Rogue Router im virtuellen Netzwerk konfigurieren.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Nase
BeBur schrieb:
Dein VPN Endpunkt steht in der Firma. Das VPN hat vllt 10.0.123.0/24. Der zugehörige Traffic wird dort in der Firma geroutet, nicht bei dir.

NÖ lies mal den Beitrag vom TE noch mal.
 
WinNutzer1 schrieb:
Kann zum Beispiel aus dem über VPN verbundenen Netzwerk auf eine Samba-Freigabe des lokalen Servers, oder sonstige Geräte im lokalen Netzwerk zugegriffen werden?
Das liegt dran wie die Sache konfiguriert ist. Grundsätzlich geht das, übrigens auch völlig unabhängig davon, ob das Netz im VPN-Tunnel gleich ist oder nicht. Die große Frage ist, warum sollte die Firma so etwas einrichten?

WinNutzer1 schrieb:
Kann der über VPN verbundene Laptop dazu genutzt werden die über die Internetverbindung (nicht die per VPN) gesendeten Daten der sonst im Netzwerk befindlichen Geräte irgendwie abzugreifen? Zum Beispiel - Kann es für die VPN-Gegenstelle sichtbar sein wenn einer der Rechner im lokalen Netzwerk computerbase.de aufruft?
Ich bin mir nicht 100% sicher, aber ich meine das sollte nicht möglich sein. Dafür müsste der Laptop als Gateway fungieren - anstatt dem normalen Router sozusagen. Das ist normal nicht ohne Konfiguration anderer Geräte machbar - und die anderen Möglichkeiten die ich kenne gehen dann schon Richtung direkter Angriff.


Ich halte beides für unwahrscheinlich, vor allem da die Firma sich wahrscheinlich Strafbar machen würde, wenn sie so etwas in der Art tut.
 
SlaterTh90 schrieb:
Das liegt dran wie die Sache konfiguriert ist. Grundsätzlich geht das, übrigens auch völlig unabhängig davon, ob das Netz im VPN-Tunnel gleich ist oder nicht. Die große Frage ist, warum sollte die Firma so etwas einrichten?
Wie soll die Firma denn in sein lokales Netz kommen? Sie haben ja nur den Laptop als sichtbaren Endpunkt und der müsste ja eingestellt sein das VPN in sein lokales Netz zu routen.

resterudi schrieb:
Ich sagte lies den Beitrag vom TE noch einmal und dann deine Antwort dazu.
Du wirst sehen, das deine Antwort überhaupt nicht passt.
Am besten du liest meinen Beitrag nochmal.
 
SlaterTh90 schrieb:
Ich bin mir nicht 100% sicher, aber ich meine das sollte nicht möglich sein. Dafür müsste der Laptop als Gateway fungieren - anstatt dem normalen Router sozusagen.
AFAIK Würde der Heimserver direkt versuchen zu antworten und garnicht über das Gateway gehen, da auf beiden Seiten das gleiche Netz vorliegt. Damit man hier eine Verbindung aufbauen kann, müsste der Laptop den Traffic aus der Firma NATen.
 
So wie ich es verstehe hat ja nur das Notebook eine VPN-Verbindung.
Das Notebook spielt aber dadurch nicht gleichzeitig Router, da du diese Verbindung ja nicht freigibst.
Daher bekommen die anderen Geräte in deinem Netz auch keinen Zugriff zum VPN,
was so auch richtig ist.
 
  • Gefällt mir
Reaktionen: Nase, Old Knitterhemd und BeBur
Ebrithil schrieb:
AFAIK Würde der Heimserver direkt versuchen zu antworten und garnicht über das Gateway gehen, da auf beiden Seiten das gleiche Netz vorliegt. Damit man hier eine Verbindung aufbauen kann, müsste der Laptop den Traffic aus der Firma NATen.
Sicher, dass NAT hier der korrekte Begriff ist?
Das lokale Gerät würde 192.168.1.x als lokalen Traffic sehen und daher anfragen, zu welcher MAC-Adresse die IP gehört. Dann würde niemand antworten und dementsprechend auch gar nicht erst gesendet werden. Ich wüsste grad spontan aber auch nicht wie/ob mit dem Setup hier überhaupt Traffic durch in das VPN gehen würde.

imHo müsste man eines der Netze ändern, damit man überhaupt Traffic durch kriegen kann. Aber da bin ich mir nicht sicher.
 
Bei einem klassischen Roadwarrior VPN Konzept ist das afaik nicht möglich. Aus Sicht der Firma bzw. des VPN-Netzes ist das lokale Netz des VPN-Clients gar nicht sichbar. Die Firma wüsste nicht mal, ob der Client, wo auch immer er sich aufhält, eine lokales 192.168.178.0/24 oder 192.168.2.0/24 oder 172.72.72.0/26 Netz hat, lediglich die WAN-IP bzw. die öffentliche IP des Zugangspunktes, mit dem der Client physisch verbunden ist, ist dem VPN-Server und somit der Firma bekannt.
 
  • Gefällt mir
Reaktionen: DJKno, resterudi und BeBur
TheManneken schrieb:
Die Firma wüsste nicht mal, ob der Client, wo auch immer er sich aufhält, eine lokales 192.168.178.0/24 oder 192.168.2.0/24 oder 172.72.72.0/26 Netz hat, lediglich die WAN-IP bzw.
Ganz genau. Du kommst immer mit deiner öffentlichen IP beim VPN-Gateway an.
 
WinNutzer1 schrieb:
Kann zum Beispiel aus dem über VPN verbundenen Netzwerk auf eine Samba-Freigabe des lokalen Servers, oder sonstige Geräte im lokalen Netzwerk zugegriffen werden?
Nein.

WinNutzer1 schrieb:
Kann der über VPN verbundene Laptop dazu genutzt werden die über die Internetverbindung (nicht die per VPN) gesendeten Daten der sonst im Netzwerk befindlichen Geräte irgendwie abzugreifen? Zum Beispiel - Kann es für die VPN-Gegenstelle sichtbar sein wenn einer der Rechner im lokalen Netzwerk computerbase.de aufruft?
Nein.
 
Naja, letzteres schon. Je nach Konfiguration des VPN Servers bzw. der Firewall des Unternehmens ist es möglichlich, nachzuvollziehen, welche Webseiten bei bestehender Verbindung angesurft werden. Hierbei ist entscheidend, ob nur dir firmenseitigen Dienste über den Tunnel geroutet werden oder der gesamte Traffic. Das Unternehmen hat auch die Möglichkeit, den Internetzugriff über den Tunnel komplett zu unterbinden, genauso wie Application und Content Filtering.

Grundsätzlich (Bei clientseitigem VPN bzw. Roaming/Roadwarrior):
VPN-Client -> VPN-Netz/Intranet = was der Administrator des VPN-Servers/Firewall konfiguriert hat
VPN-Netz/Intranet -> VPN-Client = nichts, nur öffentliche IP sichtbar

Anders sieht's dann wieder bei Site-to-site Tunneling aus, aber das liegt hier nicht vor.
 
BeBur schrieb:
Sicher, dass NAT hier der korrekte Begriff ist?
Das lokale Gerät würde 192.168.1.x als lokalen Traffic sehen
Ja, da müsste der Traffic aus dem VPN Tunnel per SNAT maskiert werden. Dann sieht der Server die IP des Laptops und der schickt das dann wieder durch den Tunnel. Ist das gleiche, was dein normaler Router macht, wenn was ins WAN geht.
 
Dabei sieht er aber die Client-IP, die das Notebook bei der VPN-EInwahl bekommt, beispielsweise 10.0.6.1 - das wird auch standardmäßig so sein ohne spezielle (manuelle) SNAT-Regeln (bzw. die Firewall wird solche Regeln automatisch setzen). Auch wenn das Notebook lokal zu Hause beispielsweise eine 192.168.178.1/24 zugewiesen hat - das kann doch mit keiner SNAT-Regel an den VPN-Server weitergeleitet werden (ist mir zumindest bei Securepoint, Sophos und Clavister nicht bekannt).
 
Danke für die Antworten, ich denke einiges ist mir jetzt klarer.
@resterudi Das kann ich dir mangels Hintergrundwissen nicht beantworten - wie stelle ich fest wer Mitglied welcher Domäne ist?

@DJKno Ja, nur das Notebook hat eine VPN-Verbindung.

Grundsätzlich geht es mir auch nicht darum dass die Firma bewusst irgendwas machen will, sondern eher um die Trennung zwischen "meinem" Zeug und der Firma. Die Situation ist so dass hier jemand im Home Office am Laptopp arbeitet, während ich selbst frei habe. Von da her wäre es zum Beispiel schlecht wenn es für die Firma so aussehen würde als ob am Laptop während der Arbeitszeit rumgesurft wird, während das in Wirklichkeit von meinem Rechner ausgeht.
Anders Beispiel, ich habe meine Mediensammlung auf meinem Server freigegeben, der Einfachheit halber hat jeder Leserechte. Ich würde hier z.B. nicht unbedingt wollen dass von dem Firmennetzwerk aus meine Filme geschaut werden.
 
Da du das nicht weißt und ich annehme, dass das dein Rechner ist und die volle "Hoheit" an deinem Notebook besitzt wird das Notebook nicht Domänenmitglied der Firma sein. Somit ist der Zugriff/Überwachung von Außen, also vom Gegenüber liegenden VPN Netzwerk extrem gering sein.
 
Theoretisch möglich, der Client kann theoretisch das Routing auf lokale Interfaces aktivieren. Das wäre für die Firma rechtlich aber sehr problematisch.
Auf der Server Seite dann eine Route für dein lokales Netz zu setzen, ist auch nicht schwer.
 
Zurück
Oben