VPN Verbindung über UMTS, sonstiges Internet verbieten

[Necareor]

Hi all,

ich bin mir nicht sicher, ob meine Frage wirklich so anspruchsvoll ist, wie ich das glaube. Aber ich komme einfach gerade auf keine Lösung. Meine Vorstellung:

Außendienstmitarbeiter haben ein Notebook dabei, dieses Notebook hat ein UMTS/LTE-Modul (inkl. SIM, Internet also möglich). Allerdings sollen die Notebooks nicht in das Internet kommen, sondern nur einen VPN-Tunnel zum Firmennetz aufbauen, logisch betrachtet sollen es im Endeffekt Rechner innerhalb des Firmennetzes sein, erhalten also auch nur darüber Updates, Virendefinitionen usw. aus dem Firmennetzwerk. (Das soll natürlich nicht alles über UMTS laufen, die Geräte sind meistens im Haus, dann direkt über Kabel/WLan am Firmennetz.)

Meine eigentliche Frage also: Ist es möglich, ein Notebook mit UMTS so zu konfigurieren, dass ein User (ohne Administrator-Rechte) nicht in das Internet kann, aber dennoch einen VPN-Tunnel über UMTS aufgebauen kann. Dass wenn der User die VPN-Verbindung trennt, er danach nicht in die weite Welt kommt.

Bin grad nicht fähig, das ganze klug zu formulieren, aber ihr wisst sicher, was ich meine.
Vielleicht hab ich auch nur ein Brett vor'm Kopf, und es ist ganz klar easy deasy.

Schon mal danke für eure Hilfe,
Gruß Nec

 

[Tom_123]

Hi,

läuft bei euch ein Proxy Server für den Internetzugriff in der Firma?
Wenn ja, würde ich den Proxy fest in den Internetoptionen hinterlegen. Dieser ist ohne VPN-Verbindung nicht von extern (dem Internet) über die Interne Schnittstelle erreichbar, deshalb schlägt z. b. das Aufrufen einer Seite fehl.

 

[1a2b3c4d5e]

Du musst die default-Routen manipulieren.
Also default-Route über das UMTS-Gateway rauswerfen und statt dessen nur die IP des VPN-Servers über UMTS schicken
Neue Default-Route über den VPN-Server

Ergänzung (21. Mai 2014)

@Tom: Systemweiter Proxy ist afaik in Windows leider nicht möglich - Firefox nutzt z.B. eigene Proxy-Settings

 

[lodex]

Eine Lösung wäre auch eine lokale Firewall, die keine Verbindungen ins Internet zulässt, außer eben auf das VPN-Gateway.

@1a2b3c4d5e: Dabei darf man aber nicht vergessen, noch eine Host Route zum VPN Gateway über das UMTS Gateway einzutragen. Da sich dies aber ständig ändern kann, wird es damit schwierig.

 

[1a2b3c4d5e]

Das kommt auf den Vertrag an - Business-Verträge haben oft statische IPs und daher auch statische Gateways.
Außerdem sollte es doch die Option geben, statt dem Gateway das Interface anzugeben

 

[Necareor]

Hmm...
@Tom, bekommt dann aber der VPN-Client überhaupt eine Verbindung hin, wenn der Firmeninterne-Proxy eingetragen ist? Dass Firefox da nicht mitmacht, wäre egal, der ist sowieso nicht installiert. Und die User selbst können nichts installieren!

@Lodurson, das wäre eine Idee, muss ich mal ein bisschen austesten.

 

[=DarkEagle=]

Der CheckPointSecureCLient als VPN-Software löst das so,d ass er eine lokale Sicherheitspolicie hat. Er lässt einfach keine Verbindungen zu, außer zum VPN-Gateway.