Remote (VPN zum Office) & privates Internet trennen

[BjörnH]

Guten Morgen!

Ich bin keine Leuchte, wenn es um Netzwerk Themen geht und habe leider auch per Suche nichts Passendes finden können. Ab und zu scheinen Themen zu passen aber beim Einlesen stellt man dann fest, dass doch einiges anders ist. Aus dem Grund nun dieser Thread.

Folgende Situation...

Ich verbinde mich per Barracuda VPN Client von meinem privaten PC (Win 10), per RDP mit meiner VM im Remote Office um darauf zu arbeiten.Die Infrastruktur wird vorm Arbeitgeber vorgegeben, auch der VPN Client darf nicht verändert/angepasst werden.

Im privaten Netz läuft eine Fritz!Box 6490 cable (UnityMedia), über die alle Verbindungen ins Internet (somit auch der VPN Tunnel) geroutet werden. Wenn ich jetzt auf meinem privaten Rechner (zu privaten Zwecken) im Internet unterwegs bin, habe ich die Vermutung, dass (zumindest z.T.) auch über das VPN geroutet wird - was natürlich sehr blöd ist. Gemerkt habe ich es daran, weil man in der Status Übersicht des Barracuda VPN Clients sehen kann, wenn ich im Internet unterwegs bin, weil sich dort dann die übertragenen Bytes rasant ändern.

Gibt es eine Möglichkeit den Arbeits- und Privat-Traffic zu trennen,
sodass z.B. alle RDP Verbindungen ausschließlich über das VPN laufen sonst aber nichts?


Viele Grüße
Björn

 

[Jasmin83]

nein, nicht wenn es vom selben rechner geht. die frage wäre nur, wie es ist, wenn man eine VM installiert und eine zweite Netzwerkkarte benutzt, die der VM zugeordnet ist und dann privates darüber abwickelt. anders ist eine Trennung, ja auch logisch gar nicht möglich.

 

[Madman1209]

Hi,

nein, nicht wenn es vom selben rechner geht.

anders ist eine Trennung, ja auch logisch gar nicht möglich.

natürlich ist das möglich, mache ich jeden Tag so! Das müsste man vermutlich im VPN Client bzw. den dortigen Einstellungen ändern, dass eben nur dieser spezielle Traffic über das VPN geht und nicht jeder. Mit OpenVPN z.B. geht das absolut problemlos, läuft hier gerade z.B. genau so. Kommt nur darauf an, ob die IT das so erlaubt, aber da würde ich einfach mal fragen, ist eigentlich kein Problem.

Hier mal ein Beispiel, erstes Ergebnis bei Google. Hier nochmal eines.

VG,
Mad

 

[spcqike]

warum sollte eine Trennung anders "logisch gar nicht möglich" sein?

Ich kann dir zwar nicht sagen, wie es bei Barracuda VPN ist, aber bei OpenVPN (privat genutzt mit Freunden) und SonicWall (betrieblich) werden nur die eingestellten Routen geroutet.
also eben nur die definierte Domäne (firma.local) und deren IP Adressen (10.0.0.0/8)

Rufe ich eine "intranet.firma.local" auf wird dies erkannt und geroutet, ebenso "10.0.0.2/meineseite.php", auch Netzwerkfreigaben / SMB shares.

der gesamte Rest, der eben nicht zu den Routen gehört, verbleibt lokal auf meinem PC und geht über dessen Standardgateway ins LAN / Internet.

 

[Masamune2]

Natürlich ist das möglich und kannst du in der Regel auch über die Routingtabelle erkennen. Mach mal in einer cmd ein "route print" und poste das Ergebnis hier, dann ist sicher schnell geklärt ob der komplette Traffic durch den Tunnel geht oder nur die Netze die zu deiner Firma gehören.
In der Regel würde man in so einer Konfiguration nur die Netze die auch wirklich gebraucht werden durch den Tunnel schicken und nicht komplett alles. Wenn das aber doch so ist kannst du das in der Regel gar nicht so einfach ändern da der VPN Client das vor gibt und der wurde von der Firma konfiguriert.

 

[Nizakh]

Split Tunneling wird benötigt.

 

[KillerCow]

Vermutlich wird mit Aufbau des VPN Tunnels der gesamte nicht-lokale Netzwerkverkehr durch das VPN geleitet. Das wird meist aus "Compliance"-Gründen so konfiguriert und kann nur durch passende Admins geändert werden... was aber eher nicht passieren wird. Frag bei deiner IT nach, aber mach dir keine Hoffnung.

Eventuell kannst du das mit einem HTTP Proxy regeln, der NICHT auf deinem PC, aber in deinem lokalen Netzwerk läuft. Eventuell verhindert der VPN Client aber auch das.

 

[Madman1209]

Hi,

Admins geändert werden... was aber eher nicht passieren wird. Frag bei deiner IT nach, aber mach dir keine Hoffnung.

meine Erfahrung ist hier das genaue Gegenteil.

VG,
Mad

 

[BjörnH]

Wow, ich danke Euch vielmals für die unglaublich schnellen Antworten!

Ich habe mit nslookup versucht www.google.de aufzulösen.
1 x mit aktivem VPN und 1 x ohne.

Ergebnis: Bei aktivem VPN wird sofort über meine Firmenadresse geroutet - sonst nicht.
Das ist für mich ein klares Zeichen, dass alles über das VPN geht.

 

[blondi3480]

Warum sollte er das Routing auf seinem privaten PC nicht ändern können? Der VPN Client wird beim starten bzw. Verbindungsaufbau sicherlich das Routing anpassen, aber danach kann das durch ein Script problemlos verändert werden. Ist eben nur etwas umständlich.

VG

P.S.: Es ist ja immer noch sein PC auf dem er der Administrator ist.

 

[BjörnH]

Da ich meine IT nicht ansprechen möchte,
muss ich versuchen das Problem von meiner Seite zu lösen.

 

[Zensai]

Das kannst du nicht von deiner Seite einfach mal so lösen.
Da es sich um deinen Privaten PC handelt hast du durchaus auch ein berechtigtes Interesse daran, dass dein AG bei eingeschaltetem VPN nicht den kompletten Traffic ins VPN schickt.
ABER:
Wenn der AG sagt: Während der Arbeitszeit hast du zu arbeiten, könnte das anders aussehen. Das weiß ich allerdings nicht genau.
Dass du überhaupt deinen Privat PC hierfür nutzt(nutzen musst?) ist nochmal ein anderes Thema...

 

[BjörnH]

@Zensai
Verstehe was Du meinst aber es geht mir nicht darum meinen AG zu betrügen sondern das Geschäftliche vom Privaten durch einen Automatismus trennen. Natürlich wird während der Arbeit gearbeitet aber manchmal sind die Grenzen halt etwas schwimmend.
Den privaten PC zu verwenden finde ich absolut ok.
Meiner ist ganz gut ausgestattet und es vereinfacht das Leben des AGs und meines, wenn mal etwas dran sein sollte. Außerdem ist mein Platz auch ein wenig beschränkt.

@Madman1209 - 2. Link ist sehr interessant.
@blondi3480 - hast Du Ansätze für solch ein PS script?

Noch andere Ideen?

 

[blondi3480]

@blondi3480 - hast Du Ansätze für solch ein PS script?

Naja du kannst ja wie oben bereits erwähnt mit "route print" die aktuellen Routen anzeigen lassen. Diese Tabelle kann dann mittels "route delete ...." bzw. "route add ...." Befehlen beliebig verändert werden. Dazu müsstest du dich aber mal in die Syntax des "route" Kommandos einlesen. Das ist dann nur noch die Frage ob dir das den ganzen Aufwand wert ist.

VG

 

[h00bi]

Da ich meine IT nicht ansprechen möchte,
muss ich versuchen das Problem von meiner Seite zu lösen.

Dann kannst du dir einen eigenen Proxyserver im lokalen Netz bereitstellen und den Traffic über diesen leiten.
Das kannst du auf einem zweiten PC, auf einem Raspi oder auf einem open-WRT Router machen.

Meine Empfehlung wäre squid auf einem RasPi.
https://www.bytebee.de/raspberry-proxy-server/

Nachteil: Nicht jede Software lässt es zu einen eigenen Proxy einzutragen und ein globaler Proxy würde evtl. deine Arbeitssoftware beeinflussen.

 

[honky-tonk]

bei vielen VPN clients gibt's ne option gesamten traffic durch VPN oder eben nur adressen in diesem netz durch vpn. Zweiteres wäre dein Freund. und da du lokal auf deinem privaten Rechner admin bist sollte das anpassbar sein, vorausgesetzt dein genutztes VPN tool unterstützt die option. ansonsten eben manuell routen anpassen

 

[BjörnH]

Vielen Dank noch einmal für die Infos!

Werde mich jetzt mal näher mit den unterschiedlichen Ansätzen beschäftigen.

An die routing table wage ich mich nicht wirklich dran, möchte nicht, dass ich die Verbindung nachher nicht mehr zum Laufen bekomme. Trotzdem ist der Ansatz wahrscheinlich der eleganteste.
(nein, der eleganteste wäre die IT zu fragen aber ich möchte das selber hin bekommen)

Habe gesehen, dass der VPN Client erlaubt einen Proxy einzutragen ... und ich habe hier noch einen RasPi rumliegen werde also vermutlich diesen Weg als erstes versuchen.

Leider gibt es die Option "gesamten traffic durch VPN oder eben nur adressen in diesem netz durch vpn " nicht beim Barracuda (oder vielleicht nur vom Host/IT aus einstellbar).

Viele Grüße und nochmal vielen Dank!!
Björn

 

[blondi3480]

An die routing table wage ich mich nicht wirklich dran, möchte nicht, dass ich die Verbindung nachher nicht mehr zum Laufen bekomme. Trotzdem ist der Ansatz wahrscheinlich der eleganteste.
(nein, der eleganteste wäre die IT zu fragen aber ich möchte das selber hin bekommen)

Die Routing Tabelle ist gar nicht so riskant. Die wird sowieso bei jedem Systemstart und VPN-Aufbau wieder neu erstellt, dass heißt alle Änderungen die du über den route Befehl machst sind flüchtig. Dass nur mal noch als Hinweis.

VG

 

[h00bi]

Habe gesehen, dass der VPN Client erlaubt einen Proxy einzutragen ... und ich habe hier noch einen RasPi rumliegen werde also vermutlich diesen Weg als erstes versuchen.

falsch rum. Nicht der VPN Client muss über den Proxy, alles andere muss über den Proxy.

 

[martinallnet]

Ich würde hier das Routing so anpassen, das nur IP-Bereiche der Firma durch das VPN geroutet werden. Dazu muss man die Routing-Tabelle anpassen.