Remote (VPN zum Office) & privates Internet trennen

[Raijin]

Ich habe mit nslookup versucht www.google.de aufzulösen.
1 x mit aktivem VPN und 1 x ohne.

Ergebnis: Bei aktivem VPN wird sofort über meine Firmenadresse geroutet - sonst nicht.
Das ist für mich ein klares Zeichen, dass alles über das VPN geht.

Nein, das eine hat mit dem anderen nur indirekt etwas zu tun. nslookup ist eine DNS-Abfrage, ganz einfach. Welcher DNS gefragt wird, ist abhängig von den Einstellungen der Netzwerkverbindung und wird unter Umständen eben auch durch das VPN angepasst. Das hat aber noch nichts damit zu tun was wie wohin geroutet wird!
Wenn beispielsweise 8.8.8.8 als DNS verwendet wird, kann dieser entweder lokal über deine Internetverbindung geroutet werden oder durch das VPN hindurch. Bei nslookup würde sich dabei rein gar nichts ändern.

Da ich meine IT nicht ansprechen möchte,
muss ich versuchen das Problem von meiner Seite zu lösen.

Tut mir leid, aber die IT ist dabei anzusprechen. Das muss dir in keinster Weise unangenehm sein. Es liegt sogar im Interesse der IT, dass eben nicht der komplette Internetverkehr über das VPN geht, weil du ja vollkommen legitim im Hintergrund zB ein Backup in die Cloud hochladen könntest und das belastet dann schön die Internetanbindung der Firma. Auf der anderen Seite kann es jedoch auch Absicht von der IT sein, weil sie so sicherstellen wollen, dass sie die volle Übersicht/Kontrolle über den Netzwerkverkehr haben.

Den privaten PC zu verwenden finde ich absolut ok.
Meiner ist ganz gut ausgestattet und es vereinfacht das Leben des AGs und meines

Mit der Ausstattung hat das nichts zu tun. An einem privaten Laptop ist die Gefahr einer Infektion mit Malware deutlich höher, weil man eben auch mal blauäugig irgendwo irgendwas runterlädt. Wenn sich das auf das Firmennetzwerk ausbreitet, hat die IT ein Problem. Deswegen sind private Geräte in einem Firmennetzwerk eigentlich tabu. Für Home Office sollte der Arbeitgeber daher ein entsprechendes Arbeitsgerät bereitstellen. Auch wenn in deinem Fall wohl über RDP gearbeitet wird, besteht nach wie vor eine Netzwerkverbindung via VPN mit dem Firmennetzwerk und da kann allerhand passieren, wenn die IT das VPN nicht sachgemäß abgeschottet hat (zB RDP-only @ Firewall).

alle Änderungen die du über den route Befehl machst sind flüchtig.

Jein, wenn man -p dazuschreibt sind sie permanent

 

[Masamune2]

Einfach mal die Routing Tabelle zu posten scheint wohl zu schwer zu sein....

 

[BjörnH]

@h00bi
Au man, deswegen der Hinweis mit der Leuchte ... Danke für die Klarstellung!

@ all
So, habe hier mal eine Liste der Verbindungen die in der routing table erscheinen,
sobald der VPN Tunnel aktiv ist.

192.168.10.89 - meine vom Office DC zugewiesene IP
192.168.178.65 - meine interne DHCP IP von der Fritz!Box

Wenn ich das richtig sehe, ist der letzte Eintrag der interessante.
Hier wird doch festgelegt, dass alles von mir über die Fritz!Box zum Office VPN läuft - richtig?

Habe da irgendwie einen Knoten im Kopf, den ich nicht aufgelöst bekomme.
Was genau sollte ich ändern?

Ergänzung (6. Februar 2020)

Entschuldigt, hat sich gerade überschnitten und ich kam nicht sofort zum Antworten.

 

[Raijin]

Wenn ich das richtig sehe, ist der letzte Eintrag der interessante.
Hier wird doch festgelegt, dass alles von mir über die Fritz!Box zum Office VPN läuft - richtig?

Nein. "Office VPN Server" wird die öffentliche IP-Adresse des Firmen-VPNs sein. Mit dieser Route wird festgelegt, dass diese eine IP (Maske 255.255.255.255 = exakt diese IP) über die Fritzbox geroutet wird, also über deinen Internetanbieter.

Alle anderen IPs bzw. Subnetze in der dargestellten Routingtabelle gehen durch den VPN-Tunnel über den VPN-Server (Gateway=192.168.10.1) ins Firmennetz bzw. gehören direkt zum VPN-Subnetz selbst (Gateway=192.168.10.89).

Aber: Es fehlt die Standardroute!
Diese Route fängt alle Ziel-IPs ein, die in keine der anderen Regeln passen. Das ist dann die Route, die für den sonstigen Internetverkehr zur Anwendung kommt.
Die Standardroute sieht in der Regel so aus: Adresse=0.0.0.0 Maske=0.0.0.0 Gateway=192.168.178.1

 

[BjörnH]

@Raijin
Danke für die Info!
Mein Fehler - die Standardroute steht, genau wie von Dir beschrieben, weiter oben in der Liste.
Habe nur die Einträge gepostet, die als VPN gekennzeichnet sind.

 

[Raijin]

die Standardroute steht, genau wie von Dir beschrieben, weiter oben in der Liste

Und was steht da nu genau? Gerade das ist ja der Knackpunkt.

 

[BjörnH]

@Raijin
Genau der von Dir beschriebene Ausdruck:

Gateway ist die Fritz!Box und die .178.65 meine IP

 

[Raijin]

Dann läuft alles was nicht in eine der anderen Routen passt, über deine heimische Fritzbox direkt ins www.

Gemäß deiner Routingtabelle aus #23 sowie der eben genannten Standardroute sieht das wie folgt aus:

192.168.10.0 - 192.168.10.255  --> Das VPN-Subnetz, also alle VPN-Clients inkl. des VPN-Servers
224.0.0.0    - 239.255.255.255 --> via VPN (das sind reservierte Multicast-Adressen)
53.0.0.0     - 53.255.255.255  --> via VPN (mutmaßlich öffentliche IPs der Firma (fängt mit D an))
192.168.1.0  - 192.168.1.255   --> via VPN (eines der Firmen-Subnetze hinter dem VPN)
192.168.2.0  - 192.168.2.255   --> via VPN (eines der Firmen-Subnetze hinter dem VPN)
192.168.3.0  - 192.168.3.255   --> via VPN (eines der Firmen-Subnetze hinter dem VPN)
REST                           --> via Fritzbox

Deinen Internetverkehr kann der Arbeitgeber also auch bei hergestellter VPN-Verbindung nicht sehen, weil dieser direkt zur Fritzbox geht und nicht durch das VPN.

DNS ist da schon ein anderer Schnack. Du hattest schon angedeutet, dass sich ohne/mit VPN etwas bei nslookup ändert. Es ist davon auszugehen, dass der VPN-Client den DNS auf einen Firmen-DNS umstellt. So kann man dann auch via VPN interne Namen aus dem Firmennetzwerk auflösen, beispielsweise wenn man via Name auf den RDP-Server zugreift (zB "RDP-ServerXY). Das geht natürlich nicht, wenn der DNS auf die Fritzbox oder gar google eingestellt ist. In dem Fall müsste man den RDP-Server direkt über die IP ansprechen und nicht über den Namen.

 

[BjörnH]

Hmmm...

Aber warum sehe ich dann "Verkehr" auf dem Status Monitor des Barracuda VPN Clients,
wenn ich privat im Netz unterwegs bin?
Beim Laden jeder Seite entsteht (kleiner) Traffic über den Tunnel.

Nur ein Beispiel, habe die Bandbreite auch schon im Bereich von 50Kb gesehen.
Ok, der Verkehr ist nicht von Dauer, also nicht so lange wie z.B. ein Download anhält, aber er ist jedesmal da.

Ist das evtl. nur irgendeine Art Abgleich?

 

[blondi3480]

Naja zum einen läuft wahrscheinlich der DNS über den VPN weil er sonst die Namen der Firmen PCs nicht finden würde zum anderen werden ggf. auch andere Netzwerk Services auf dem VPN Traffic verursachen.

 

[BjörnH]

Ok, in diesem Fall war das wohl eher viel Lärm um nichts...
Trotzdem - vielen Dank Euch Allen - habe viel gelernt!

 

[Raijin]

Beim Laden jeder Seite entsteht (kleiner) Traffic über den Tunnel.

Hab ich oben doch erklärt. Wenn der VPN-Client den DNS umstellt, dann wird eben dieser DNS auch für private Seitenaufrufe genutzt und das erzeugt im VPN dann einen gewissen Traffic.

 

[BjörnH]

Entschuldige meine vielleicht dumme Frage aber gibt es die Möglichkeit den DNS für alle 192.168.10.89er Anfragen auf den Office DNS zu stellen und für alle 192.168.178.65er Anfragen auf den DNS der Fritz!Box?

Reicht es, wenn ich das in den Eigenschaften des VPN Netzwerkadapters und des für private Zwecke verwendeten Adapters unter "Folgende DNS-Serveradressen verwenden" konfiguriere oder müsste ich noch an anderer Stelle drehen?

 

[Masamune2]

Das ginge wenn du jeweils den vollen Domänen Namen angibst und der auf der VPN Schnittstelle als Präfix eingetragen ist.
Mach mal ein "ipconfig /all" und schau was dort unter Verbindungsspezifisches DNS-Suffix steht. Rufst du eine Seite auf die zu dieser Domain gehört wird der DNS gefragt der auf dieser Schnittstelle konfiguriert ist.

 

[BjörnH]

Ok, folgende Einträge gefunden...

VPN Network : Verbindungsspezifisches DNS-Suffix : Firmen Domain
LAN/WLAN : Verbindungsspezifisches DNS-Suffix : Fritz!Box

 

[BjörnH]

Habe auch schon versucht die TCP/IP Einstellungen anzupassen
(bei VPN und der privaten Verbindung) aber das reicht nicht - es ensteht immer noch Traffic.

 

[BjörnH]

Ok, ich belasse es dabei und bedanke mich für die Hilfe!

 

[Raijin]

Der VPN-Client kann sonst was anzeigen. Eine Netzwerkschnittstelle steht N I E M A L S still. Es werden permanent Pakete durch die Gegend geschickt, sei es ARP oder sonstige Broadcastprotokolle.

Wenn du wissen willst was es genau ist, musst du den Traffic analysieren, zB mit WireShark.

 

[BjörnH]

@Raijin Ja, das habe ich mir dann auch irgendwann gedacht aber ich denke es ist ok so wie es ist.
Habe mich da vielleicht ein wenig reingesteigert - auch, weil mich die Technik schon interessiert.
Aber leider reicht mein Sachverstand einfach nicht und die Zeit ist auch nicht vorhanden um mich intensiver einzuarbeiten.

Unsere IT möchte/werde ich damit ganz sicher auch nicht nerven, die Jungs haben schon genug um die Ohren.

Hut ab vor denen, die durch die Materie durch steigen!

PS:
Vielleicht melde ich mich demnächst in einem anderen Forum /Foren-Bereich noch mal mit einer anderen Frage: Austausch meiner Fritz!Box gegen einen ASUS Router - oder den ASUS zusätzlich anzubinden, z.B. als WLAN Access Point. ( Nein, bitte nicht jetzt schon die Augen verdrehen! 😄 )
Habe zwar schon einen Thread gefunden in dem das Thema behandelt wurde aber die Lösung funktioniert bei mir leider nicht. Ihr seht, das Thema Netzwerk interessiert mich einfach.