Andere Lösung für VPN Zugriff möglich?
Dune 08.02.2021 - 08:21 4379 32
dio
Here to stay
|
Eigene Installation in eine VM für die Arbeit wäre doch das geschickteste oder
|
Dune
dark mode lover
|
Eigene Installation in eine VM für die Arbeit wäre doch das geschickteste oder Das klingt wirklich nach ner sexy Lösung, danke! Downsides?
|
userohnenamen
leider kein name
|
dann machst jetzt einmal mit globalprotect und einmal ohne jeweils ein "route print" und vergleichst du beiden sachen und schaust dir an welche routen dazukommen mit vpn dann gehst her und löschst die dazugekommenen routen per route delete x.y.z.destination dann fügst die notwendige route auf deine VM oder auch die kompletten firmennetze wieder hinzu route add 1.2.3.4 mask 255.255.255.0 5.6.7.8 [1.2.3.4] ist das zielnetz bzw. zielhost, je nachdem dann halt auch bitte die mask anpassen [5.6.7.8] ist die ip vom globalprotect vpn adapter bei dir lokal, kannst dir auch aus den bestehenden routen rauslesen was hier eingetragen ist edit: die VM ist aber sicher die sauberere lösung
|
davebastard
Vinyl-Sammler
|
edit: die VM ist aber sicher die sauberere lösung weiß nicht, find ich etwas overkill, ich würde die lösung mit den routen bevorzugen und "sauberer" finden... edit: normalerweise müsste das halt am vpn client selbst einzustellen sein. aber wenn das gesperrt wurde durch die firma gehts halt nur so
Bearbeitet von davebastard am 08.02.2021, 10:20
|
Dune
dark mode lover
|
weiß nicht, find ich etwas overkill Warum denn das? VPN ist doch relativ straight forward? aber wenn das gesperrt wurde durch die firma gehts halt nur so Wo könnte man das einstellen? In den VPN Settings finde ich dazu nichts
|
davebastard
Vinyl-Sammler
|
Warum denn das? VPN ist doch relativ straight forward? ich hab mich darauf bezogen dass man eine eigene windows VM nur für VPN anlegt.. Wo könnte man das einstellen? In den VPN Settings finde ich dazu nichts die einstellung muss es ermöglichen routen zu setzen. oder "allow local lan access" oder so gibts auch öfters. sonst... siehe post von uon
|
daisho
SHODAN
|
Ich wollte manuell routes erstellen letztens um eben auch wieder intern in mein Netzwerk zu können (das alte VPN meiner Firma hat netterweise die komplette 10.x.x.x range ins VPN gelegt ...), da habe ich dann aber bemerkt dass die Client-Software ihre Routes mit einer Priority anlegt welche unter der liegt die man manuell einrichten kann (zumindest mit MS Hausmittel scheinbar?).
Hab das dann aber nicht mehr weiter verfolgt weil sie sowieso auf eine neuere Version umgestiegen sind wo dann die Routes besser (feiner) definiert wurden.
|
Dune
dark mode lover
|
Ein kleines Feedback nochmal von unserer IT (wenn man mit Lego in ein Gespräch einsteigt, werden sie irgendwann weich und hören sich doch meine "Probleme" an ). Es ist leider so gewollt. D.h. kurz ein Setting ändern oder umdrahn, wird's nicht spielen. Wir haben sensitive Daten, die nicht raus dürfen, sie hätten einfach Angst dass die Brücke in beide Richtungen genutzt werden kann. Über die VM habe ich auch kurz gegequascht, da hätte er nichts dagegen. Allerdings hat er auf die potenzielle Probleme hingewiesen. Ich nutze Bluetoothaudio (Mikro und Wiedergabe) für Teams vom Privatrechner zum Firmenrechner per RDP. Wenn ich da noch zusätzlich eine zusätzliche VM Maschine laufen lassen, könnte es eventuell Schwierigkeiten geben. Wie seht ihr das, ist da ein KO-Kriterium für die VM? Sonst fand ich die Lösung wirklich fein. Den Route irgendwie zu umgehen oder einen anderen verwenden zu können finde ich als Laie ein bisschen gefährlich. Ich möchte wieder irgendwie Firmentraffic raus lassen noch meine privaten Actionpornos in die Firma schicken (metaphorisch gesprochen). Also ich hätte das schon gerne relativ "sauber" gelöst. Vielleicht lässt das die Lösung durch aus zu, aber mir fehlt einfach der Einblick.
|
Viper780
Er ist tot, Jim!
|
Ich versteh nicht wie das gewollt sein kann. Wenn der gesamte Traffic über die Firma rennt (auch wenn er nicht dort hon gehört) macht er sich ja ein weiteres Scheunentor auf.
Wenn ihr mit wirklich sensiblen Daten arbeitet dann dürftest du keinen VPN und RDP vom Privatrechner nutzen dürfen. Damit machst du zu einem potentiell untrusted device ein Scheunentor auf.
Die sauberste Lösung ist nach wie vor die Route so einzustellen dass nur die RDP verbindung übers VPN geht und alles andere direkt ins Internet.
Du kannst das zusätzlich mit einer VM absichern - ich sehe da drinnen für beide Seiten wenig Gewinn (im Vergleich der vorhandenen Risken).
Sehe aber jetzt auch kein Problem mit der VM. Du gibst ja nicht das BT Device weiter sondern nur die beiden Audio Streams. Wenns über VPN und RDP klappt, ist die VM dazwischen auch schon wurscht.
|
.Gh#Z7
Addicted
|
VMs und Audio ist meiner Erfahrung nach etwas, das funktionieren kann, oder eben auch nicht :P
Ich hatte beruflich auch immer eine VM am laufen (Linux Host + Windows Guest), für Skype/... war die 'beste' Lösung das USB Headset an die VM durchzureichen. Mit der Umstellung auf Teams konnte ich das dann aber direkt im Linux laufen lassen und brauchte die VM/Audio Spielereien gottseidank nicht mehr.
Tendenziell kommt mir die Unterstützung für Shared-Audio bei VMware besser vor als VBox, allerdings war das auch nicht immer bastelfrei. Ich würde es einfach mal ausprobieren, dann hast du die saubere Trennung zwischen den beiden Welten.
|
Dune
dark mode lover
|
Aber wäre die Latenz von Dunedesk zu VM zu RDP nicht hardcore? Da hab ich irgendwie Bedenken
|
davebastard
Vinyl-Sammler
|
ich glaub dass das schon ausreichend funktionieren müsste... aber klar ist es eine fehlerquelle mehr. ich würde jedoch den audiostream durchreichen und nicht das bluetooth gerät.und vmware workstation. was ich nicht verstanden habe: reichst du den audiostream jetzt auchs chon über rdp weiter ? das würde ich nämlich ohnehin nicht empfehlen sondern die telefonie app lokal installieren
Bearbeitet von davebastard am 09.02.2021, 10:16
|
.Gh#Z7
Addicted
|
Teams lokal wäre natürlich audiotechnisch das Beste, bin aber davon ausgegangen, dass das auch nicht erwünscht ist.
|
Dune
dark mode lover
|
Teams lokal geht wiederum nicht, weil Dunedesk nicht auf den Konzern Exchange (oder wie der Teamsklump heißt) kommt, die Idee habe ich vor Monaten mal probiert
|
davebastard
Vinyl-Sammler
|
warum nicht wenn du vpn hast ?
edit: ok ok wsl ein eigenes netz was nicht hindarf... selten dämlich
|