Andere/Übergreifend VPN Homeoffice

[G-Red]

Hi Leute.
Ich hätte eine Verständnisfrage an Euch für die Folgende Situation.

Wie im Titel angedeutet, arbeite ich von zu Hause aus und muss vorerst meine eigene Kiste nutzen, bis die Bestellung der Arbeitsgeräte vom Arbeitgeber durch ist. Ich nutze Arch Linux und kann soweit eine VPN Verbindung mit dem Office Rechner per RDP aufbauen und arbeiten. Dafür nutze ich das Tool Remmina.

Besteht eigentlich die Möglichkeit, das ganze so einzustellen, dass nur eine bestimmte Anwendung über VPN kommuniziert während das restliche System ganz normal am VPN vorbei mit dem Internet verbunden ist, ohne dafür das VPN des Arbeitgebers zu nutzen?

Ich hoffe ich konnte mich klar genug verständlich machen, Fragen kann ich aber dennoch beantworten, falls Ihr welche habt .

Danke schon mal im Voraus für die Rückmeldungen!

 

[SI Sun]

Scheint hier möglich zu sein:
https://superuser.com/questions/294008/use-vpn-connection-only-for-selected-applications

Womöglich musst du einen anderen VPN dafür nutzen.

 

[Autokiller677]

Ja, das fällt unter Full Tunnel / Split Tunnel.

Ob es im konkreten Fall geht, hängt vom genauen Setup ab und auch wie der Admin es konfiguriert hat.

 

[0x8100]

falls split tunneling nicht geht: vm aufsetzen, die das vpn enthält und per ssh erreichbar ist. dann auf deinem host-system remmina so konfigurieren, dass die rdp-verbindung zu deinem zielsystem einen ssh-tunnel über die vm mit dem vpn benutzt.

 

[snaxilian]

während das Restliche System ganz normal am VPN vorbei mit dem Internet verbunden ist

Bevor wir hier in die Fachsimpelei abdriften: Wie ist es denn aktuell konfiguriert? Bist du überhaupt sicher (Fakten, keine Vermutungen!), dass aktuell überhaupt jeglicher Traffic durchs Firmen-VPN fließt oder nicht?

nur eine bestimmte Anwendung über VPN kommuniziert

Nicht unbedingt eine Anwendung aber anhand der verwendeten Protokolle. Der Spaß nennt sich "policy based routing" und das ist nix was man in 3 Minuten mal eben aufgesetzt hat.

Die Ansätze von @SI Sun sind etwas anders, dort wird das VPN nur für einzelne Benutzer und/oder Namespaces verwendet und die Anwendung, Remmina als Remote Desktop Client in deinem Fall, wird in dem Kontext des Users/Namespaces gestartet.

Split Tunneling arbeitet nicht auf Basis von Anwendungen sondern ganz klassisch auf IP-Ebene und bisschen Routing. Durch das VPN bist du mit einem (zweiten) IP-Netz verbunden und bei Split Tunneling hat dein PC Routing-Einträge, die nur Traffic für bestimmte IP-Netze über das Interface des VPNs schicken und der Rest geht ganz normal über deinen Internetanschluss raus.

Womöglich musst du einen anderen VPN dafür nutzen.

Zeig mir mal bitte den Arbeitgeber der seinen Mitarbeitern diverse VPN-Protokolle bzw. Zugangsmöglichkeiten anbietet.

@0x8100 Oder er setzt eine VM mit grafischer Oberfläche auf, richtet dort das VPN ein und arbeitet auf der VM, dann braucht er nicht den Umweg mit dem SSH-Tunnel machen. Zumal in dem Fall die VM ja auch Traffic routen/weiterleiten.

 

[0x8100]

Oder er setzt eine VM mit grafischer Oberfläche auf, richtet dort das VPN ein und arbeitet auf der VM

das geht natürlich auch ich habe nur mein setup (homeoffice: potente linux-maschine, vpn nur über windows-only vpn-client) beschrieben, wobei ich nicht nur mit einer rdp-verbindung arbeite, sondern alles mögliche über den ssh-tunnel leite bzw. in der vm/dem arbeitslaptop noch einen privoxy habe und darüber den internen http-zugriff abwickle.

 

[G-Red]

Bevor wir hier in die Fachsimpelei abdriften: Wie ist es denn aktuell konfiguriert? Bist du überhaupt sicher (Fakten, keine Vermutungen!), dass aktuell überhaupt jeglicher Traffic durchs Firmen-VPN fließt oder nicht?

Was genau möchtest du von meiner VPN Konfiguration wissen? Im Grunde genommen habe ich lediglich die Zugangsdaten vom Arbeitgeber bekommen, die ich dann auch bei mir im NetworkManager unter Arch eingetragen habe.

Das Feststellen ob der VPN-Tunnel steht oder nicht, macht sich insoweit bemerkbar, dass ich mich auf den im Büro stehenden Rechner per RDP draufschalten kann und dass mein restliches System nicht mehr online geht, da die Restriktionen des Arbeitgebers das verbieten. Genauer gesagt, um in das Internet zu kommen muss eine separate, abgesicherte Umgebung auf dem Arbeitsrechner gestartet werden, die dann ins Internet darf. Da ich aber mir diesen "Mehfachsprung" sparen möchte, dachte ich, ich kann genau so gut den eigenen Internetzugang nutzen.

 

[Autokiller677]

In dem Fall solltest du davon absehen, weil du aktiv Sicherheitsmaßnahmen des AG umgehst. Das kann dann von Abmahnung bis Kündigung alles nach sich ziehen.

Es hat schon seine Gründe, weshalb der das so blockt. Eventuell ist das auch vertraglich mit Kunden geregelt, dass die Arbeiten an Projekt X nur in einem Netzwerk mit Airgap stattfinden oder so.

Bei meinem AG ist der VPN auch explizit Full Tunnel und es ist mir verboten, den Laptop ohne VPN im Internet zu benutzen. Wenn Internet --> sofort VPN verbinden ist die Vorgabe. In dem Fall, weil aller Traffic im Arbeitsnetz nochmal durch einen Proxy läuft und da per Domain-Filter schonmal das Gröbste an bösartigen und unerwünschten Sachen weggeblockt wird.

Also, Finger weg.

 

[robert_s]

In dem Fall solltest du davon absehen, weil du aktiv Sicherheitsmaßnahmen des AG umgehst. Das kann dann von Abmahnung bis Kündigung alles nach sich ziehen.

Dem schließe ich mich an, und würde noch hinzufügen:

1. Wenn Du einen legitimen Grund hast, nicht über das VPN ins Internet gehen zu wollen, sprich mit der IT-Abteilung, ob das geändert werden kann.
2. Sollte das keine zufriedenstellende Lösung bringen, und Dir die Arbeitsweise nicht zusagen, nach einem anderen Job umsehen, wo Dir die Arbeitsbedingungen zusagen.

Es macht sich bei einer Bewerbung auch viel besser, wenn man sagt, dass man mit den Arbeitsbedingungen beim bisherigen Arbeitgeber nicht einverstanden war, als wenn man zugeben muss, dass man fristlos entlassen wurde, weil man den Arbeitgeber hintergangen hat.

 

[Autokiller677]

Stimmt, mit der IT sprechen ist auch immer sinnvoll. Ich hab auch ein paar Kollegen, die mit der IT nur im Streit sind und immer versuchen, möglichst dran vorbei zu arbeiten. Die haben damit wesentlich mehr Stress als ich.

Eine gute IT ist schließlich dazu da, gutes Arbeiten mit zu ermöglichen. Meine Erfahrung ist da, dass man mit einem legitimen Grund durchaus zu einer Lösung kommt. Und wenn nicht sage ich meinem Chef auch klar "ich bräuchte X dafür, IT sagt das geht nicht, wir müssen das anders machen".
Ich kommt mit unserer IT mittlerweile aber so gut klar, dass sie mir auch schonmal Sachen durchgehen lassen und ich Admin-Rechte auf meinem Laptop habe.

 

[shavenne]

In dem Fall solltest du davon absehen, weil du aktiv Sicherheitsmaßnahmen des AG umgehst. Das kann dann von Abmahnung bis Kündigung alles nach sich ziehen.

Es hat schon seine Gründe, weshalb der das so blockt. Eventuell ist das auch vertraglich mit Kunden geregelt, dass die Arbeiten an Projekt X nur in einem Netzwerk mit Arigap stattfinden oder so.

Bei meinem AG ist der VPN auch explizit Full Tunnel und es ist mir verboten, den Laptop ohne VPN im Internet zu benutzen. Wenn Internet --> sofort VPN verbinden ist die Vorgabe. In dem Fall, weil aller Traffic im Arbeitsnetz nochmal durch einen Proxy läuft und da per Domain-Filter schonmal das Gröbste an bösartigen und unerwünschten Sachen weggeblockt wird.

Also, Finger weg.

Wenn ich meinen privaten PC für Home Office nutzen muss, werd ich einen Teufel tun, meinen teils PRIVATEN Traffic durch das Firmennetz zu schieben. Glaube es hackt ..
Also entweder gibt der AG sich damit ab, dass ich das Routing entsprechend ändere, sodass wirklich nur RDP über das VPN geht, oder er gibt mir einen Firmen-PC. Sollte natürlich mit dem Verantwortlichen dann abgesprochen sein.

Davon abgesehen wäre es jetzt aber immer noch interessant, welche Art von VPN denn hier genutzt wird, oder übersehe ich das irgendwo?! Bei OpenVPN ist es z.B. über NetworkManager gerne mal Standard, dass er sämtlichen Traffic durch das VPN schiebt, obwohl das serverseitig gar nicht so gewollt ist.
Ich glaube nicht, dass das Absicht ist, dass RDP geht, aber dafür das ganze eigene Internet nicht mehr. Ergibt in meinen Augen keinen Sinn.

 

[robert_s]

Davon abgesehen wäre es jetzt aber immer noch interessant, welche Art von VPN denn hier genutzt wird, oder übersehe ich das irgendwo?! Bei OpenVPN ist es z.B. über NetworkManager gerne mal Standard, dass er sämtlichen Traffic durch das VPN schiebt, obwohl das serverseitig gar nicht so gewollt ist.

Bei mir macht aber schon in Ubuntu 18.04 der Gnome NetworkManager das richtig - ein VPN für ein paar Server in einem Subnetz, ein anderes für sämtlichen Netzwerkverkehr, was für öffentliche Internetzugänge gedacht ist. Je nach Bedarf kann ich davon gar keins, nur eines, oder beide aktivieren, und alle Kombinationen liefern das erwartete Ergebnis.

Ich glaube nicht, dass das Absicht ist, dass RDP geht, aber dafür das ganze eigene Internet nicht mehr. Ergibt in meinen Augen keinen Sinn.

In diesem Fall offenbar schon, wie aus dem 2. Absatz in Beitrag #7 hervorgeht:

dass ich mich auf den im Büro stehenden Rechner per RDP draufschalten kann und dass mein restliches System nicht mehr online geht, da die Restriktionen des Arbeitgebers das verbieten. Genauer gesagt, um in das Internet zu kommen muss eine separate, abgesicherte Umgebung auf dem Arbeitsrechner gestartet werden

 

[Autokiller677]

Wenn ich meinen privaten PC für Home Office nutzen muss, werd ich einen Teufel tun, meinen teils PRIVATEN Traffic durch das Firmennetz zu schieben. Glaube es hackt ..
Also entweder gibt der AG sich damit ab, dass ich das Routing entsprechend ändere, sodass wirklich nur RDP über das VPN geht, oder er gibt mir einen Firmen-PC. Sollte natürlich mit dem Verantwortlichen dann abgesprochen sein.

Zumindest während der Arbeit sollte dann trotzdem der Traffic da lang gehen. Da macht man normalerweise auch nix Privates. Und im ersten Post steht ja auch, dass der Arbeits-PC kommt, hängt halt noch in der Bestellung.

Aber letztlich gilt eben: Mit dem AG / der IT reden. Egal ob privater PC oder Firmen-PC, aktiv an explizit kommunizierten Sicherheitsmaßnahmen vorbeiarbeiten kommt nie gut an.

Im Zweifelsfall kann man sich ja durchaus auf den Standpunkt stellen, dass man ohne Arbeits-PC eben nicht arbeiten kann - das Privatgerät dafür zu nutzen ist schließlich nur Kulanz seitens des AN. Dann wird er AG da wohl auch eine Lösung finden. Und wenn es ist in den nächsten Saturn zu gehen und irgendein vorrätiges Notebook zu kaufen für die Übergangszeit.

 

[shavenne]

Da macht man normalerweise auch nix Privates.

Gibt genug Hintergrundprozesse, die die ganze Zeit "privates" hin- und herfunken, ohne, dass man gerade aktiv privates macht. Aus dem Traffic kann man schon Dinge schließen, die meinen AG absolut nichts angehen.

Also ich würde das ganze ggf. via 'ip route' umgehen.
So oder so ähnlich (eher so ähnlich):

ip route del default dev $vpn_interface
ip route add default via $ip_meines_routers # Schmeißt wahrscheinlich nen Error, weil already exists. Passt dann schon .. Könnte man wahrscheinlich weglassen.
ip route add $ip_vom_rdp dev $vpn_interface

Genauer könnt ichs nur sagen, wenn ich die ip route-Ausgabe hätte.

 

[Autokiller677]

Gibt genug Hintergrundprozesse, die die ganze Zeit "privates" hin- und herfunken, ohne, dass man gerade aktiv privates macht. Aus dem Traffic kann man schon Dinge schließen, die meinen AG absolut nichts angehen.

Entweder man beendet die, oder redet halt mit dem AG.

Ich bleib dabei: explizit kommunizierte Sicherheitsmaßnahmen aktiv zu umgehen kommt nicht gut an und endet auch mal böse. Sollte man lassen.

 

[shavenne]

Ich bleib dabei: explizit kommunizierte Sicherheitsmaßnahmen aktiv zu umgehen kommt nicht gut an und endet auch mal böse. Sollte man lassen.

Stimme ich zu. Keine Frage.
Auch wenn ich eine signifikant gesteigerte Sicherheit durch diese Maßnahme anzweifle

 

[Burnzi]

Wie im Titel angedeutet, arbeite ich von zu Hause aus und muss vorerst meine eigene Kiste nutzen, bis die Bestellung der Arbeitsgeräte vom Arbeitgeber durch ist. Ich nutze Arch Linux und kann soweit eine VPN Verbindung mit dem Office Rechner per RDP aufbauen und arbeiten. Dafür nutze ich das Tool Remmina.

Private Geräte zum Arbeiten nutzen ist ja schon die erste Red Flag..
Hast du dem zugestimmt oder wurde es dir aufgezwungen?

 

[G-Red]

Private Geräte zum Arbeiten nutzen ist ja schon die erste Red Flag..
Hast du dem zugestimmt oder wurde es dir aufgezwungen?

Letzteres.

 

[redjack1000]

Du wirst gezwungen, im Homeoffice, deinen privaten PC zu nutzen? AG setzen sechs.

Meine Antwort wäre gewesen:"ich habe gar keinen Computer!"

CU
redjack

 

[G-Red]

Meine Antwort wäre gewesen:"ich habe gar keinen Computer!"

Ja ich weiß, das ist nicht optimal, aber das ist eine temporäre Geschichte bis die Bestellung eingegangen ist.