VPN - Verständnisfrage

[Topfdeckel]

Hallo,

bin nicht sicher, ob ich hier richtig bin, aber ich habe da mal eine allgemeine Frage bzgl. VPN: Um von Zuhause auf mein Arbeitsplatznetzwerk zuzugreifen, wird von meinem Heim-PC eine VPN-Full-Tunnel-Verbindung aufgebaut. D.h. soweit ich das verstanden habe, wird mein gesamter Datenverkehr dann auch über das Firmennetzwerk geschickt. Was ich nun aber technisch nicht ganz verstehe ist, ob damit nur mein PC und dessen Datenverkehr über das Firmennetz geschleift werden, oder ob dies auch auf alle Rechner zutrifft, die über meinen WLan-Router verbunden sind (wie auch mein Heim-PC)? Insofern fände ich das sehr unschön, wenn damit auch andere Mitbewohner und deren Daten über die Firmennetzwerke gesendet werden, nur weil mein PC über VPN eingewählt ist. Kennt sich hier zufällig jemand damit aus und kann mich hier aufklären? Danke!

 

[Hancock]

Nur dein PC sendet die Daten über das VPN.
Dein PC sieht sogar in 99% der Fälle die Daten von den anderen Nutzern im selben Netzwerk nicht einmal (außer er kommuniziert direkt mit denen).

Also mach dir keine Sorgen. Nur die Daten von deinem PC gehen übers VPN.

 

[BFF]

Wenn der VPN-Tunnel durch eine Software auf dem PC aufgebaut wird, ist nur der PC im Tunnel.
Die anderen Geraete in Deinem Heimnetz merken nix davon.

BFF

 

[Tamron]

PC -> Software die den Tunnel aufbaut -> Daten werden verschlüsselt -> Daten verlassen den PC Richtung Gateway -> Internet -> Gateway vom Partner -> Empfänger Rechner -> Entschlüsselung -> eigentliche Daten. Ausschließlich du siehst deine Daten.

Es kann aber auch gut sein, dass du gar keinen VPN Tunnel nach Hause aufbaust. In einer gut eingerichteten Firewall bei Firmen wird es komplett geblockt sein für User die es nicht brauchen/sollen/dürfen.

 

[fuyuhasugu]

Um von Zuhause auf mein Arbeitsplatznetzwerk zuzugreifen, wird von meinem Heim-PC eine VPN-Full-Tunnel-Verbindung aufgebaut. D.h. soweit ich das verstanden habe, wird mein gesamter Datenverkehr dann auch über das Firmennetzwerk geschickt

Auch das trifft nur zu, wenn die VPN-Verbindung als Standardroute gesetzt wird. Sonst werden nur die Daten darüber geschickt, deren Zieladresse auch im Firmennetzwerk liegt, während alle anderen Verbindungen weiterhin über deine lokale Internetverbindung aufgebaut werden.

Die daten deiner Mitbewohner sind davon nicht betroffen, solange sie nicht deinen Rechner als Router nutzen oder für den Aufbau der VPN-Verbindung nicht ein gemeinsam genutzter VPN-fähiger Router genutzt wird.

 

[RalphS]

Für nähere Informationen schau mal in Richtung site-to-site vs. client-to-site Konfigurationen für VPN.

Note, ein ordentlich konfiguriertes VPN terminiert alle(!) Netzwerkverbindungen außer der VPN-Verbindung selber. Das ist keine inhärente Eigenschaft von VPN - man kann das problemlos auch so einrichten, daß die VPN-Verbindung einfach dazukommt -- aber im Zweifel geh davon aus, daß wenn die VPN-Verbindung aktiv ist, Du Dich in allen relevanten Dingen in Deinem Firmennetz befindest, so als ob Du tatsächlich im Büro sitzen würdest.

Ergo, keine fragwürdigen Sites ansurfen und auch sonst nix machen, was Du auch im Büro nicht machen würdest.

 

[Raijin]

man kann das problemlos auch so einrichten, daß die VPN-Verbindung einfach dazukommt -- aber im Zweifel geh davon aus, daß wenn die VPN-Verbindung aktiv ist, Du Dich in allen relevanten Dingen in Deinem Firmennetz befindest, so als ob Du tatsächlich im Büro sitzen würdest.

This!

VPN ist nicht gleich VPN. Ein VPN ist wie ein Kabel, das du von deinem PC quer durch die Stadt in deine Firma legst. Wie dieses Kabel genutzt wird, ist eine Frage der Konfiguration der VPN-Verbindung. Es kann sein, dass ausschließlich die Daten zwischen deinem PC und dem Büro-Netzwerk über das VPN gehen, aber es kann eben auch sein, dass vom PC buchstäblich alles in Richtung Büro geschickt wird. Wenn du dir nicht sicher bist, nutze die VPN-Verbindung ausschließlich für berufliche Zwecke und surfe nicht wild in der Gegend rum, während die Verbindung aktiv ist.

 

[fuyuhasugu]

Note, ein ordentlich konfiguriertes VPN terminiert alle(!) Netzwerkverbindungen außer der VPN-Verbindung selber

„Alle“ wohl hoffentlich nicht. Sonst läuft auch im lokalen Netz nichts mehr. Genau genommen sind ja selbst Verbindungen zu localhost Netzwerkverbindungen. Ansonsten ist der Hinweis zum Surfverhalten natürlich absolut berechtigt.

 

[RalphS]

Doch, alle. Nur der Vpn Link bleibt aktiv. Auch lan ist raus. Nur der Pc und das Zielnetz.

 

[fuyuhasugu]

Doch, alle. Nur der Vpn Link bleibt aktiv. Auch lan ist raus. Nur der Pc und das Zielnetz.

Nope. Einfach mal selber ausprobieren oder schreiben, bei welchem VPN dies die Standardeinstellung ist.

Das kann übrigens zu Problemen führen, falls das physisch lokale Netzwerk und das lokale Netzwerk hinter dem VPN das gleiche Subnet nutzen.

 

[RalphS]

Nix "nope". Ich hab damit genug zu tun, ich kenne VPN und weiß was von VPN"Anbietern" zu halten ist.

Der Anspruch ist auch nicht technisch. Er ist natürlich. Wenn verlangt wird, daß zB der Home Office-PC NUR und AUSSCHLIEßLICH mit dem Firmennetz verbunden ist und eben NICHT mit dem PC des Sohnemanns, den der MA natürlich auch hat und der sich natürilch physisch im selben Netzsegment befinden kann, dann IST das eben so, fertig, dann ist das sicherzustellen und nicht mit "nope" abzutun.

Eine Option dafür, so machen wir das, ist via L2TP+IPsec. Die Verbindung ist verschlüsselt und außer der mit diesem Zertifikat verschlüsselten Verbindung wird nichts zugelassen, das reicht prinzipiell für den Anwendungsfall schon. Es gibt aber auch andere Möglichkeiten.
Wie das am Ende technisch abläuft, sprich wer sich in welchem physischen Segment befindet, ist irrelevant. Natürlich wird es Probleme geben für den (praktisch unbedeutenden) Fall, daß zufällig das fremde Segment gleich dem lokalen Segment ist. Aber selbst das läßt sich ausreichend zuverlässig ausschließen, zB indem man für das VPN auf IPv6 setzt. Da ist es faktisch ausgeschlossen, daß "rein zufällig" das eine mit dem anderen kollidiert.


Wie @Raijin bereits anmerkte: VPN ist NICHT gleich VPN. Nur weil heutzutage jeder und sein Neffe irgendwem Geld in den Rachen wirft, um einen "VPN Service" nutzen zu können, heißt das nicht, daß ein grundlegendes Verständnis für VPN da ist.

Und wie ebenfalls angemerkt ist es natürlich keine inhärente Eigenschaft von VPN, so zu funktionieren - üblicherweise kommt einfach eine Verbindung dazu, die man nutzen kann, und das reicht auch für solche Fälle, wo es eben NICHT interessiert, ob auf die Firmendaten auf dem Heim-PC per lokaler Verbindung im Heimnetzwerk zugegriffen werden kann oder nicht.

Aber das ist nicht überall der Fall, und wenn der Anspruch da ist, dann muß er umgesetzt werden, und unter der Annahme, daß dies mit VPN nicht machbar wäre, müßte man eben einen anderen Ansatz finden. "Geht nicht" gibt es in der IT nicht.

 

[fuyuhasugu]

Die Firmen-IT wird den TE auf dem heimischen PC wohl kaum ein VPN einrichten lassen, wie du es beschreibst. Dass so etwas nicht ginge, hat ja auch keiner behauptet. ☮ ☮

Wenn verlangt wird, daß zB der Home Office-PC NUR und AUSSCHLIEßLICH mit dem Firmennetz verbunden ist und eben NICHT mit dem PC des Sohnemanns, den der MA natürlich auch hat und der sich natürilch physisch im selben Netzsegment befinden kann, dann IST das eben so, fertig, dann ist das sicherzustellen und nicht mit "nope" abzutun.

Bestimmt drückt die Firmen-IT mit diesen gestellten Anforderungen dem TE einen USB-Stick mit VPN-Installations- und Konfigurationsprogramm für den heimischen PC in die Hand. Und der wendet sich dann fragend ans cb-Forum. So muss IT!

Die Verbindung ist verschlüsselt und außer der mit diesem Zertifikat verschlüsselten Verbindung wird nichts zugelassen, das reicht prinzipiell für den Anwendungsfall schon.

Its zwar OT, aber wenn du meinst ... Zum Glück ist das Netz nicht regellos, weshalb es auch genug "geht (so) nicht" in der IT gibt. Aber o.g geht definitiv, insbesondere wenn sich die Absicherung auf das Beschriebene beschränkt.

Nur weil heutzutage jeder und sein Neffe irgendwem Geld in den Rachen wirft, um einen "VPN Service" nutzen zu können, heißt das nicht, daß ein grundlegendes Verständnis für VPN da ist.

Ach, wie gut tut doch der Nerd-Seele so ein bisschen Lästerei über die vielen DAUs da draußen!

das reicht auch für solche Fälle, wo es eben NICHT interessiert, ob auf die Firmendaten auf dem Heim-PC per lokaler Verbindung im Heimnetzwerk zugegriffen werden kann oder nicht.

Nun ja, was ein Mal raus ist, ist raus aus dem Firmennetz, da kannst du dein VPN noch so verriegeln und verrammeln. Aber das weißt du hoffentlich (und bestimmt.)

p.s. Bist bestimmt ein echter Könner alias Mann vom Fach.