nicht angemeldet
VPN-Verbindung einschränken
0 0 0 
Der Martin
0 0 Der Martin
0 0 Der Martin
0 0 Der Martin
0 0 Der Martin
0
0
VPN-Verbindung einschränken
Moin
unter Windows (7) wähle ich mich von zuhause aus per VPN ins Firmennetzwerk ein um Zugriff auf meine Daten und Mails zu haben.
Wenn ich nun im Internet unterwegs bin, wird dazu auch die Verbindung über das Firmennetzwerk hergestellt, was das Surfen sehr langsam macht. Bei Recherchearbeit ist das nicht sehr angenehm.
Lässt sich (ohne weitere Netzwerkkarte) festlegen, dass nur die Verbindung zu quasi-"lokalen" Servern aus dem Firmennetzwerk die der VPN-Tunnel genutzt wird und ansonsten eine direkte Verbindung?
Oder lässt sich die VPN-Verbindung auf einzelne Ports beschränken, sodass ich Samba, SSH/FTP per VPN nutze und HTTP auf direktem Wege?
Fällt euch eine andere Lösung ein - außer weitere Netzwerkkarte?
-
Moin
Wenn ich nun im Internet unterwegs bin, wird dazu auch die Verbindung über das Firmennetzwerk hergestellt, was das Surfen sehr langsam macht.
In diesem Fall wird Deine Internetverbindung über VPN getunnelt, Du gehst da über die Firma ins Internet und das ist freilich langsamer. Sofern VPN aufgebaut ist, gibt es nur eine Verbindung, nämlich die über VPN, jede weitere IP-Konfiguration Deines PCs ist nicht wirksam, auch wenn eine weitere Netzkarte eingebaut ist. Das ist bei VPN so, daran kannst du nichts ändern.
Wenn Du Deinen eigenen Internetzugang nutzen willst, darf VPN nicht aufgebeut sein.
Hotti
-
Hier würde ich widersprechen. Bin auf meinem alten Ubuntu-Rechner mit 2 Netzwerkkarten einmal im VPN und mit der anderen Karte direkt verbunden.
Sowohl an der Geschwindigkeit spürbar, als auch an der IP auf ipcheck.de o.ä. ersichtlich.
Und dazu braucht es nichtmal einen Proxy, der über einen anderen Port "raustelefoniert".-
Hier würde ich widersprechen. Bin auf meinem alten Ubuntu-Rechner mit 2 Netzwerkkarten einmal im VPN und mit der anderen Karte direkt verbunden.
Ja, schon, aber nicht gleichzeitig, prüf das mal genauer. Es wäre aus VPN-Sicht eine Sicherheitslücke, wenn das so ist.
Hotti
-
Tach,
Es wäre aus VPN-Sicht eine Sicherheitslücke, wenn das so ist.
äh wieso?
mfg
Woodfighter
-
-
-
Hallo,
Sofern VPN aufgebaut ist, gibt es nur eine Verbindung, nämlich die über VPN, jede weitere IP-Konfiguration Deines PCs ist nicht wirksam, auch wenn eine weitere Netzkarte eingebaut ist. Das ist bei VPN so, daran kannst du nichts ändern.
wie bescheuert ist das denn? Besteht diese Krankheit nur beim Windows-VPN-Client? Ich hab das bisher immer so verstanden, dass der VPN-Tunnel wie eine gewöhnliche weitere (virtuelle) Netzwerkkarte behandelt wird.
So long,
Martin--
Time's an illusion. Lunchtime doubly so.
(Douglas Adams, "The Hitchhiker's Guide To The Galaxy")
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Hallo,
Sofern VPN aufgebaut ist, gibt es nur eine Verbindung, nämlich die über VPN, jede weitere IP-Konfiguration Deines PCs ist nicht wirksam, auch wenn eine weitere Netzkarte eingebaut ist. Das ist bei VPN so, daran kannst du nichts ändern.
wie bescheuert ist das denn? Besteht diese Krankheit nur beim Windows-VPN-Client?
Die Krankheit nennt sich Security und ist unabhängig vom OS.
Ich hab das bisher immer so verstanden, dass der VPN-Tunnel wie eine gewöhnliche weitere (virtuelle) Netzwerkkarte behandelt wird.
Ja, das ist richtig. Mit der Einschränkung, dass über dieses virtuelle Interface keine weitere Netzkopplung erlaubt ist. Vermutlich hast du VPN noch nicht genutzt, sonst würdest Du Letzteres kennen ;-)
Hotti
-
Hi,
Sofern VPN aufgebaut ist, gibt es nur eine Verbindung, nämlich die über VPN, jede weitere IP-Konfiguration Deines PCs ist nicht wirksam, auch wenn eine weitere Netzkarte eingebaut ist. Das ist bei VPN so, daran kannst du nichts ändern.
wie bescheuert ist das denn? Besteht diese Krankheit nur beim Windows-VPN-Client?
Die Krankheit nennt sich Security und ist unabhängig vom OS.hmm, das heißt, ich muss irgendwo im VPN-Quellcode rumwühlen, bevor das für mich sinnvoll nutzbar wird. Wenn ich Glück habe, lässt sich das vielleicht auch per Konfiguration heilen.
Ich hab das bisher immer so verstanden, dass der VPN-Tunnel wie eine gewöhnliche weitere (virtuelle) Netzwerkkarte behandelt wird.
Ja, das ist richtig. Mit der Einschränkung, dass über dieses virtuelle Interface keine weitere Netzkopplung erlaubt ist. Vermutlich hast du VPN noch nicht genutzt, ...Nein, wollte ich aber demnächst. Mit dieser Einschränkung wird es jedoch nahezu sinnlos bzw. ist zumindest mit deutlichen Einbußen verbunden.
Ich wollte mir auf meinem Notebook und auf dem Heimserver openvpn installieren, um so von unterwegs auf meine heimischen Netzwerkressourcen einschließlich e-Mail zugreifen zu können. Selbstverständlich möchte ich dabei trotzdem in der Lage sein, weiter "ganz normal" aufs Internet zugreifen zu können. Das heißt ja noch lange nicht, dass mein Notebook zwischen diesen beiden Netzen routen soll (denn das wäre IMO das einzige, was "Security" beeinträchtigen könnte). Es sollen nur je nach Ziel unterschiedliche Netzwerkinterfaces genutzt werden.Ciao,
Martin--
Die letzten Worte der Challenger-Crew:
Lasst doch mal die Frau ans Steuer!
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Hi Martin,
Ich wollte mir auf meinem Notebook und auf dem Heimserver openvpn installieren, um so von unterwegs auf meine heimischen Netzwerkressourcen einschließlich e-Mail zugreifen zu können. Selbstverständlich möchte ich dabei trotzdem in der Lage sein, weiter "ganz normal" aufs Internet zugreifen zu können. Das heißt ja noch lange nicht, dass mein Notebook zwischen diesen beiden Netzen routen soll (denn das wäre IMO das einzige, was "Security" beeinträchtigen könnte).
Die Securitate in einer IT-Firma sieht das anders: Wenn auf einer Maschine 2 oder mehr Netze zusammenlaufen, ist das eine Netzkopplung, auch wenn da noch kein Router dazwischen ist. Es gab schonmal Ärger, weil ein Drucker per USB an einem Netz und per Parallelkabel an einer Kiste im anderen Netz betrieben wurde ;-)
Ergo: VPN ein und alles was IP spricht geht nur da lang. Zu testen mit ifconfig, ipconfig, traceroute, ping, nslookup und wie die Tools alle heißen mögen.
Btw., mich selbst hat dieser Sachverhalt auch ein bischen überrascht, zumal ich vor der VPN-Lösung den Remote-Access in die Firma administrierte, da war Netzkopplung möglich auf PCs die im RAS eingeloggt waren. Bezüglich Security habe ich in der Firma dann Einiges dazugelernt, wir waren ein wundervolles und starkes Team und son Cheffe finde ich nie wieder... Mann, KA war die beste Zeit in meinem Berufsleben, Netzzeugs, Serverzeugs, Secutity und Programmieren, Kundennähe und Support, da bin ich gerne hingefahren!
Hotti
-
Hi,
[...] Das heißt ja noch lange nicht, dass mein Notebook zwischen diesen beiden Netzen routen soll (denn das wäre IMO das einzige, was "Security" beeinträchtigen könnte).
Die Securitate in einer IT-Firma sieht das anders: Wenn auf einer Maschine 2 oder mehr Netze zusammenlaufen, ist das eine Netzkopplung, auch wenn da noch kein Router dazwischen ist.das wäre ein Grund, so ein gegenseitiges Ausschlussverfahren als Defaultkonfiguration zu setzen; es muss aber immer auch abschaltbar sein. Und was dirk2 andeutet, lässt mich vermuten, dass das auch so ist.
Andernfalls müsste ich mich wirklich in die Sources einlesen. Das Deaktivieren eines anderen Interfaces sollte ja eine Operation sein, die leicht zu finden sein müsste ...Es gab schonmal Ärger, weil ein Drucker per USB an einem Netz und per Parallelkabel an einer Kiste im anderen Netz betrieben wurde ;-)
Witzbolde. Der einzige Ärger, der da auftreten kann, sind Ausgleichsströme über die Masseleitungen, die schlimmstenfalls eine der Schnittstellen erlegen.
Ergo: VPN ein und alles was IP spricht geht nur da lang. Zu testen mit ifconfig, ipconfig, traceroute, ping, nslookup und wie die Tools alle heißen mögen.
Dann besteht in dem Punkt Handlungsbedarf.
Ciao,
Martin--
Lieber Blödeleien als blöde Laien.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
hi,
Witzbolde. Der einzige Ärger, der da auftreten kann, sind Ausgleichsströme über die Masseleitungen, die schlimmstenfalls eine der Schnittstellen erlegen.
Tatsächlich gabs Probleme, wahrscheinlich aus den von Dir genannten Gründen, mit USB-Stecker raus/rein hats dann immer funktioniert ;-)
Ergo: VPN ein und alles was IP spricht geht nur da lang. Zu testen mit ifconfig, ipconfig, traceroute, ping, nslookup und wie die Tools alle heißen mögen.
Dann besteht in dem Punkt Handlungsbedarf.
Ja, VPN ist ein sehr komplexes Thema. In meiner Firma haben wir damals die Aufgaben geteilt, ich hab mich auf Netzzeugs und Mangagement spezialisiert und bez. VPN war ich nur noch ein Anwender. Security war jedoch stets ein Thema bis zum Schluss ;-)
Hotti
-
Hallo,
das wäre ein Grund, so ein gegenseitiges Ausschlussverfahren als Defaultkonfiguration zu setzen; es muss aber immer auch abschaltbar sein.
anscheinend ist die Implementierung doch nicht so schlimm, wie du es darstellst, sondern erlaubt die friedliche Koexistenz des VPN-Tunnels mit anderen IP-Verbindungen - so wie ich es eigentlich auch erwarten würde.
Im Manual heißt es unter "VPN Address Setup":Once the VPN is established, you have essentially created a secure alternate path between the two hosts ...
*alternate* ist das Zauberwort, das mich hier versöhnt. Und im nächsten Satz wird das noch bestätigt:
You can control which network traffic passes between the hosts (a) over the VPN or (b) independently of the VPN, by choosing whether to use (a) the VPN endpoint address or (b) the public internet address
Ich kann also sehr wohl alternativ IP-Verbindungen aufbauen, die nicht über den VPN-Tunnel gehen. Hätte mich auch wirklich gewundert.
Ciao,
Martin--
Hannes würfelt abends immer, ob er den Abend mit seiner Frau zuhause verbringt oder in die Kneipe geht. Wenn er eine 6 würfelt, geht er in die Kneipe.
Gestern musste er 37mal würfeln.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Hallo,
hier nochmal ein Zitat vom Anfang:
unter Windows (7) wähle ich mich von zuhause aus per VPN ins Firmennetzwerk ein
Ich kann also sehr wohl alternativ IP-Verbindungen aufbauen, die nicht über den VPN-Tunnel gehen. Hätte mich auch wirklich gewundert.
Wenn Du die Firma bist, kannst Du natürlich konfigurieren was Du möchtest. Eine Firma, der sichere Netze was bedeuten, wird das nicht zulassen, davon bin ich ausgegangen.
Schöne Grüße aus Oppenheim,
Hotte--
Wenn der Kommentar nicht zum Code passt, kann auch der Code falsch sein.-
Hi,
Wenn Du die Firma bist, kannst Du natürlich konfigurieren was Du möchtest.
dann erzähl mir doch nicht erst, das sei nicht möglich:
Sofern VPN aufgebaut ist, gibt es nur eine Verbindung, nämlich die über VPN, jede weitere IP-Konfiguration Deines PCs ist nicht wirksam, auch wenn eine weitere Netzkarte eingebaut ist. Das ist bei VPN so, daran kannst du nichts ändern.
Was du hier schreibst, ist "das geht nicht" - das ist etwas ganz anderes als "manche IT-Leute mögen das nicht".
Eine Firma, der sichere Netze was bedeuten, wird das nicht zulassen, davon bin ich ausgegangen.
Sagen wir's mal so: Jemand, der einen VPN-Zugang zur Verfügung stellt, muss davon ausgehen, dass er an dieser Stelle mit der Außenwelt verbunden ist - auch, dass an der Stelle eine nicht erwünschte Verbindung in andere Netze bestehen könnte.
Wenn die Firma dem Arbeitnehmer ein Firmenhandy zur Verfügung stellt, muss sie auch einkalkulieren, dass gelegentlich die Ehefrau oder die Kinder das Handy benutzen, oder sogar dass der Mitarbeiter das Handy verliert und jemand Wildfremdes das Gerät findet und benutzt.Wenn du mich nochmal so verunsicherst ... ;-)
So long,
Martin--
Idealismus wächst mit der Entfernung zum Problem.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:( -
Hallo,
Wenn Du die Firma bist, kannst Du natürlich konfigurieren was Du möchtest. Eine Firma, der sichere Netze was bedeuten, wird das nicht zulassen, davon bin ich ausgegangen.
Ja ne, is klar. Was ist daran so schlimm zuzugeben, dass du das nicht wusstest? Sowas sollte doch echt kein Problem darstellen eigentlich..
mfg
marko
-
-
-
-
-
-
-
-
Hi,
hm, ich glaube ich verstehe hier etwas falsch oo
Ich bin via OpenVPN mit dem Netz einer Firma verbunden, und es werden ausschlieszlich Anfragen auf deren Server ueber VPN geregelt, alle anderen laufen ueber meine lokale Verbindung. Das laesst sich doch in der Config seitens des Servers einstellen..Grusz,
dirk
-