ComputerBase Hauptmenü
Aktuelles

VPN

H

hjdt

Newbie
Registriert
März 2019
Beiträge
2
Hallo,
vielleicht hat jemand eine Idee oder Lösung für folgendes Problem:
ich muss mich öfters per VPN in verschiedene Netze einwählen. Bis dato war es egal von welcher IP ich das gemacht habe, dies hat sich nun geändert und ich kann mich nur noch von einer definierten IP einwählen. Da ich aber viel unterwegs bin, macht mir das seitdem große Probleme. Ich wähle mich also per VPN auf der Fest-IP ein und starte dann einen zweiten VPN Tunnel zum jeweiligen Netz. Je nach VPN Client, geht das aber nicht.

Notebook <-----------> definierte FEST-IP<--------------------->Entferntes Netz

Hat jemand eine Idee?

Gruß,
Boris
 
Hi,

ja, mit der betreffenden IT sprechen, wieso man so etwas macht. Bei einem VPN per Client ist es doch genau das schicke, dass ich eben nicht an einem festen Standort sein muss um mich zu verbinden. Wenn das wegfällt ist es ja fast ein Site-to-Site VPN.

Gibt es irgendeinen Grund für diese Konstellation?

Je nach VPN Client, geht das aber nicht.
Zum Vergrößern anklicken....

und jetzt bitte noch kurz schreiben, was wann wo mit welchem Client "geht" oder "nicht geht" und was "geht nicht" genau bedeutet.

VG,
Mad
 
  • Gefällt mir
Reaktionen: UNDERESTIMATED
Das ist ein Sicherheitsfeature und dafür da um der Gegenstelle die sich einwählen will ein wenig mehr vertrauen zu können. Wenn man das anders torpedieren könnte wäre sie nutzlos. Wenn es eine Client VPN ist die z.B. nur im Home Office erlaubt ist dann ist das eben so, sprich mit den Verantwortlichen andere Wege wie deinen aktuellen gibt es nicht.
 
Bau dir auch eine eigene private cloud und betreibe da drin entsprechene virtuelle Desktops mit entsprechenden vpn clients.
 
shuikun schrieb:
Bau dir auch eine eigene private cloud und betreibe da drin entsprechene virtuelle Desktops mit entsprechenden vpn clients.
Zum Vergrößern anklicken....

Das habe ich mittels VMware auch gemacht, allerdings ist das sehr lässtig und unhandlich...z.B. Copy and Paste, Datei Austausch, etc.
Ergänzung ()

Madman1209 schrieb:
Hi,

ja, mit der betreffenden IT sprechen, wieso man so etwas macht. Bei einem VPN per Client ist es doch genau das schicke, dass ich eben nicht an einem festen Standort sein muss um mich zu verbinden. Wenn das wegfällt ist es ja fast ein Site-to-Site VPN.

Gibt es irgendeinen Grund für diese Konstellation?



und jetzt bitte noch kurz schreiben, was wann wo mit welchem Client "geht" oder "nicht geht" und was "geht nicht" genau bedeutet.

VG,
Mad
Zum Vergrößern anklicken....

Wie jemand bereits schrieb, ist das einSicherheitsfeature und wird nicht mehr geändert.
Die Clients, die ich überwiegend verwende sind der LanCom Advanced Cleint, Ciso Anyconnect, Fortigate Client, Shrewsoft und OpenVPN. Fortigate und Cisco machen am meisten Probleme.
 
Hi,

das ist kein Sicherheitsfeature, wenn man dann solche Konstrukte fahren muss. Eine statische IP erhöht die Sicherheit nur, wenn ich sicherstellen kann, dass das Netz dieser IP auch sicher ist. Das ist in so einer Bastellösung vermutlich nicht mehr der Fall.

Zertifikate und Benutzerauthentifizierung reichen als Sicherheit mehr als aus.

machen am meisten Probleme
Zum Vergrößern anklicken....

und nochmal: das bedeutet was genau?

VG,
Mad
 
Madman1209 schrieb:
das ist kein Sicherheitsfeature, wenn man dann solche Konstrukte fahren muss. Eine statische IP erhöht die Sicherheit nur, wenn ich sicherstellen kann, dass das Netz dieser IP auch sicher ist. Das ist in so einer Bastellösung vermutlich nicht mehr der Fall.

Zertifikate und Benutzerauthentifizierung reichen als Sicherheit mehr als aus.
Zum Vergrößern anklicken....

Das kann man nur so unterschreiben. Sowas nennt man gerne auch "Security by obscurity". Standardports von SSH & Co. ändern, damit die nicht mehr von Bots abgehört werden können, sowas halt ^^
 
  • Gefällt mir
Reaktionen: Madman1209
hjdt schrieb:
Wie jemand bereits schrieb, ist das einSicherheitsfeature und wird nicht mehr geändert.
Zum Vergrößern anklicken....
Sagt wer? Ist das ein Firmen-VPN und die Firmen-IT sagt nein? Wenn dem so ist, dann ist es Sache des Chefs, auf die IT dahingehend einzuwirken, dass sich die Mitarbeiter auch von unterwegs aus mit dem VPN verbinden können. Wenn dieses vermeintliche Sicherheitsfeature so gewollt ist und de facto nicht geändert wird, solltest du vorsichtig sein, wenn du dies aktiv umgehst. Offenbar will die Firma dann nicht, dass du auch von unterwegs Zugriff auf das VPN hast - aus welchen Gründen auch immer. Umgeht man solche Restriktionen, kann das unangenehme Folgen haben, wenn es auffliegt.
 
  • Gefällt mir
Reaktionen: Madman1209
Die Source IP fest zu definieren macht grundsätzlich schon Sinn, aber nicht einfach pauschal.
Z.B. ist die Source IP praktisch um zu sagen: Wenn das Berliner Office mit seiner festen IP sich hier meldet, dann spar die 2-Factor Authentification.

Was "bei dir" umgesetzt wurde ist einfach Unsinn.

Mögliche Ansätze:
Teamviewer oder Anydesk auf einen Host mit fester IP, von dort weiter per VPN Tunnel.

M2M SIM-Karte mit fester IPv6. Aber ich befürchte wer so einen Sche*ssdreck einrichtet hat auch keinen Plan von IPv6 VPN.

So wie ich das lese bist du Freelancer / Consultant / Dienstleister und musst dich zu verschiedenen Kunden einwählen?
 
Nur weil man es umgehen könnte und sich Zugang in entsprechende erlaubte IP Netze verschaffen kann macht es das etwa nicht zu einer zusätzlichen Sicherheitsstufe? Natürlich hängen am Ende immernoch XAuth und Zertifikat oder PSK dahinter dennoch ist jede Schwelle mehr ein Zugewinn. Das man beim Aufbau einer VPN Strecke für Sicherheit auf beiden Seiten zu sorgen hat versteht sich von selbst das hat mit dem eigentlichen Tunnel nichts zu tun, zum Rest wurde bereits alles gesagt. Basteln um etwas zum umgehen worüber sich aus Sicherheitsgründen jemand etwas gedacht hat innerhalb der eigenen Firma macht grundsätzlich nie Sinn und bringt immer Ärger oder schlimmstenfalls Abmahnungen/Kündigungen mit sich.

Einen guten Gedankengang für eure IT als grundsätzlichen Vorschlag hat h00bi ja schon gebracht. Möglichkeiten ungleich dessen was man darf, das sollte man nicht vergessen. Infrastrukturelle Eingriffe nicht zu besprechen ist wie an dem Ast zu sägen auf dem man sitzt.
 
Zuletzt bearbeitet:
Hi,

ich sehe hier Null Zugewinn an Sicherheit, nur mehr Probleme für die Leute, die es nutzen müssen. Ich hatte ja auch geschrieben: bei einem Site-to-Site VPN macht sowas durchaus Sinn. Aber nicht bei einem VPN, wo sich externe Mitarbeiter per Client anmelden sollen. Das ist in meinen Augen absolut sinnbefreit. Und macht, wie man sieht, mehr Probleme als sonst was.

VG,
Mad
 
Sehe ich ganz ähnlich. Der einzige vermeintliche Sicherheitsgewinn läge darin, dass im Falle eines kompromittierten Zertifikats niemand von anderswo mit diesem eine Verbindung aufbauen kann, weil das VPN an die IP von Standort xy gekoppelt ist.

So oder so muss hier das Gespräch mit der Führungsebene und/oder der IT gesucht werden. Entweder haben sie keinen wirklich Grund für diese Restriktion oder es ist ganz bewusst so gestrickt damit zB ein Mitarbeiter mit Homeoffice sein Home nicht plötzlich an den Pool eines Hotels auf Mallorca verlegt - was eigentlich egal sein sollte, wenn der Mitarbeiter dennoch 10% Leistung erbringt, aber sei's drum. Wurde diese Einschränkung mit Absicht eingebaut - aus welchen Gründen auch immer - ist es riskant, dies aktiv zu umgehen. Das kann eine Abmahnung zur Folge haben.

Vergisst man beispielsweise, das "Vor-VPN" zu starten bevor man das eigentliche VPN startet, kommt in der Firma bereits eine Verbindung rein, wird aber abgelehnt - laut Geodaten liegt die Quelle am anderen Ende des Landes. Kurz darauf kommt erneut eine Verbindung rein, wie durch Zauberhand wieder von daheim. Wenn ein Admin nicht ganz blöd ist, kann er das durchaus im Log nachvollziehen, wenn er genauer hinsieht oder ggfs sogar von der Firewall über geblockte VPN-Verbindungen informiert wird.
 
  • Gefällt mir
Reaktionen: Madman1209
Madman1209 schrieb:
...Aber nicht bei einem VPN, wo sich externe Mitarbeiter per Client anmelden sollen. ...
Zum Vergrößern anklicken....

Dem Stimme ich zu, ich bezog mich auf allgemeine IPSec Tunnel. Viele geben ihren Mitarbeitern im Home Office auch einen Site to Site Tunnel dort wäre es ebenfalls sinnvoll. Details wie die VPN Architektur hier aussieht haben wir auch nicht (logischerweise) sollte keine Diskussion über sinnhaftigkeit auslösen ;).

Ich denke wir haben das gleiche gedacht nur aneinander vorbei geschrieben.

Würde eine Firma ihren Mitarbeitern Client Tunnel aufs Notebook packen und diese nur von einer dezidierten IP erlauben hätte sie spätestens nach einer Woche 100 Tickets weil sich gar keiner einwählen könnte, das würde ich daher mal ausschließen :D.
 
Zuletzt bearbeitet:
Hi,

Viele geben ihren Mitarbeitern im Home Office auch einen Site to Site Tunnel dort wäre es ebenfalls sinnvoll.
Zum Vergrößern anklicken....

ist hier aber nicht der Fall, und um diesen konkreten Fall geht es nunmal :)

Würde eine Firma ihren Mitarbeitern Client Tunnel aufs Notebook packen und diese nur von einer dezidierten IP erlauben hätte sie spätestens nach einer Woche 100 Tickets weil sich gar keiner einwählen könnte, das würde ich daher mal ausschließen
Zum Vergrößern anklicken....

also, so wie ich das Problem hier verstehe geht es aber doch genau darum: (externer) Mitarbeiter bekommt VPN Zugang, kann aber nur von einer dedizierten IP zugreifen!

VG,
Mad
 
Deshalb war für mich die Home Office Variante noch im Hinterkopf -> User bekommt einen Internetanschluss auf Firmenkosten mit fester IP gelegt und hat den dafür passenden Tunnel auf seinem Gerät. Diese Konstellation ist gar nicht so selten wie man denken würde, manche sogar per DDNS angebunden um den Privatanschluss nutzen zu können sofern der Router von der Firma kommt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
  • Frage Frage
Tailscale + kommerzielles VPN
Antworten
13
Aufrufe
975
NJay
NJay
daspossum
Router für unterwegs / VPN?
3 4 5
Antworten
85
Aufrufe
3.776
daspossum
daspossum
Surtia
Duckier VPN
2
Antworten
21
Aufrufe
2.105
Piktogramm
Piktogramm
O
VPN für ein Gerät
Antworten
12
Aufrufe
769
Ole739
O
H
VPN von IPv4 zu IPv6
2
Antworten
25
Aufrufe
1.526
keinFischBitte
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz