"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Andere Lösung für VPN Zugriff möglich?

Dune 08.02.2021 - 08:21 3913 32
Posts

dio

Here to stay
Registered: Nov 2002
Location: Graz
Posts: 4761
Eigene Installation in eine VM für die Arbeit wäre doch das geschickteste oder

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Zitat aus einem Post von dio
Eigene Installation in eine VM für die Arbeit wäre doch das geschickteste oder

Das klingt wirklich nach ner sexy Lösung, danke! Downsides?

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15840
dann machst jetzt einmal mit globalprotect und einmal ohne jeweils ein "route print" und vergleichst du beiden sachen und schaust dir an welche routen dazukommen mit vpn

dann gehst her und löschst die dazugekommenen routen per

route delete x.y.z.destination

dann fügst die notwendige route auf deine VM oder auch die kompletten firmennetze wieder hinzu
route add 1.2.3.4 mask 255.255.255.0 5.6.7.8

[1.2.3.4] ist das zielnetz bzw. zielhost, je nachdem dann halt auch bitte die mask anpassen
[5.6.7.8] ist die ip vom globalprotect vpn adapter bei dir lokal, kannst dir auch aus den bestehenden routen rauslesen was hier eingetragen ist

edit: die VM ist aber sicher die sauberere lösung :)

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11471
Zitat
edit: die VM ist aber sicher die sauberere lösung :)

weiß nicht, find ich etwas overkill, ich würde die lösung mit den routen bevorzugen und "sauberer" finden...

edit: normalerweise müsste das halt am vpn client selbst einzustellen sein. aber wenn das gesperrt wurde durch die firma gehts halt nur so
Bearbeitet von davebastard am 08.02.2021, 10:20

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Zitat aus einem Post von davebastard
weiß nicht, find ich etwas overkill

Warum denn das? VPN ist doch relativ straight forward?

Zitat aus einem Post von davebastard
aber wenn das gesperrt wurde durch die firma gehts halt nur so

Wo könnte man das einstellen? In den VPN Settings finde ich dazu nichts :(

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11471
Zitat
Warum denn das? VPN ist doch relativ straight forward?

ich hab mich darauf bezogen dass man eine eigene windows VM nur für VPN anlegt..

Zitat
Wo könnte man das einstellen? In den VPN Settings finde ich dazu nichts :(

die einstellung muss es ermöglichen routen zu setzen. oder "allow local lan access" oder so gibts auch öfters. sonst... siehe post von uon

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Ich wollte manuell routes erstellen letztens um eben auch wieder intern in mein Netzwerk zu können (das alte VPN meiner Firma hat netterweise die komplette 10.x.x.x range ins VPN gelegt ...), da habe ich dann aber bemerkt dass die Client-Software ihre Routes mit einer Priority anlegt welche unter der liegt die man manuell einrichten kann (zumindest mit MS Hausmittel scheinbar?).

Hab das dann aber nicht mehr weiter verfolgt weil sie sowieso auf eine neuere Version umgestiegen sind wo dann die Routes besser (feiner) definiert wurden.

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Ein kleines Feedback nochmal von unserer IT (wenn man mit Lego in ein Gespräch einsteigt, werden sie irgendwann weich und hören sich doch meine "Probleme" an ;)). Es ist leider so gewollt. D.h. kurz ein Setting ändern oder umdrahn, wird's nicht spielen. Wir haben sensitive Daten, die nicht raus dürfen, sie hätten einfach Angst dass die Brücke in beide Richtungen genutzt werden kann.

Über die VM habe ich auch kurz gegequascht, da hätte er nichts dagegen. Allerdings hat er auf die potenzielle Probleme hingewiesen. Ich nutze Bluetoothaudio (Mikro und Wiedergabe) für Teams vom Privatrechner zum Firmenrechner per RDP. Wenn ich da noch zusätzlich eine zusätzliche VM Maschine laufen lassen, könnte es eventuell Schwierigkeiten geben.

Wie seht ihr das, ist da ein KO-Kriterium für die VM? Sonst fand ich die Lösung wirklich fein.

Den Route irgendwie zu umgehen oder einen anderen verwenden zu können finde ich als Laie ein bisschen gefährlich. Ich möchte wieder irgendwie Firmentraffic raus lassen noch meine privaten Actionpornos in die Firma schicken (metaphorisch gesprochen). Also ich hätte das schon gerne relativ "sauber" gelöst. Vielleicht lässt das die Lösung durch aus zu, aber mir fehlt einfach der Einblick.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Ich versteh nicht wie das gewollt sein kann. Wenn der gesamte Traffic über die Firma rennt (auch wenn er nicht dort hon gehört) macht er sich ja ein weiteres Scheunentor auf.

Wenn ihr mit wirklich sensiblen Daten arbeitet dann dürftest du keinen VPN und RDP vom Privatrechner nutzen dürfen. Damit machst du zu einem potentiell untrusted device ein Scheunentor auf.

Die sauberste Lösung ist nach wie vor die Route so einzustellen dass nur die RDP verbindung übers VPN geht und alles andere direkt ins Internet.

Du kannst das zusätzlich mit einer VM absichern - ich sehe da drinnen für beide Seiten wenig Gewinn (im Vergleich der vorhandenen Risken).

Sehe aber jetzt auch kein Problem mit der VM. Du gibst ja nicht das BT Device weiter sondern nur die beiden Audio Streams. Wenns über VPN und RDP klappt, ist die VM dazwischen auch schon wurscht.

.Gh#Z7

Addicted
Registered: May 2005
Location: AdW
Posts: 487
VMs und Audio ist meiner Erfahrung nach etwas, das funktionieren kann, oder eben auch nicht :P

Ich hatte beruflich auch immer eine VM am laufen (Linux Host + Windows Guest), für Skype/... war die 'beste' Lösung das USB Headset an die VM durchzureichen. Mit der Umstellung auf Teams konnte ich das dann aber direkt im Linux laufen lassen und brauchte die VM/Audio Spielereien gottseidank nicht mehr.

Tendenziell kommt mir die Unterstützung für Shared-Audio bei VMware besser vor als VBox, allerdings war das auch nicht immer bastelfrei. Ich würde es einfach mal ausprobieren, dann hast du die saubere Trennung zwischen den beiden Welten.

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Aber wäre die Latenz von Dunedesk zu VM zu RDP nicht hardcore? Da hab ich irgendwie Bedenken :)

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11471
ich glaub dass das schon ausreichend funktionieren müsste... aber klar ist es eine fehlerquelle mehr. ich würde jedoch den audiostream durchreichen und nicht das bluetooth gerät.und vmware workstation.
was ich nicht verstanden habe: reichst du den audiostream jetzt auchs chon über rdp weiter ? das würde ich nämlich ohnehin nicht empfehlen sondern die telefonie app lokal installieren
Bearbeitet von davebastard am 09.02.2021, 10:16

.Gh#Z7

Addicted
Registered: May 2005
Location: AdW
Posts: 487
Teams lokal wäre natürlich audiotechnisch das Beste, bin aber davon ausgegangen, dass das auch nicht erwünscht ist.

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Teams lokal geht wiederum nicht, weil Dunedesk nicht auf den Konzern Exchange (oder wie der Teamsklump heißt) kommt, die Idee habe ich vor Monaten mal probiert :)

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11471
warum nicht wenn du vpn hast ?

edit: ok ok wsl ein eigenes netz was nicht hindarf... selten dämlich
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz