12
Alles durch den C2S Tunnel - Verbindungsaufbau (Catch 22)
Hallo zusammen,
irgendwie habe ich einen Knoten im Hirn.
Folgendes Problem:
LANCOM Router mit VPN Zugang, Laptop mit VPN Client.
Der Nutzer ist - sagen wir mal wohlwollend - manchmal etwas unbedarft und unachtsam.
Aus dem Grund würde ich dem Laptop gerne ausschließlich über die VPN Verbindung ermöglichen, via VPN ins Netz zu gehen und dann von dort weiter ins Internet, Mail usw.
Die Frage die ich mir nun stelle (wie gesagt: Knoten im Hirn, Wald vor lauter Bäumen nicht...):
Wie kann ich dem Laptop den kompletten Traffic ins Internet verbieten, wenn er doch fürs VPN das Internet braucht.
Wo ist hier mein Denkfehler (außer das Problem zwischen den Ohren
) ?
S.
irgendwie habe ich einen Knoten im Hirn.
Folgendes Problem:
LANCOM Router mit VPN Zugang, Laptop mit VPN Client.
Der Nutzer ist - sagen wir mal wohlwollend - manchmal etwas unbedarft und unachtsam.
Aus dem Grund würde ich dem Laptop gerne ausschließlich über die VPN Verbindung ermöglichen, via VPN ins Netz zu gehen und dann von dort weiter ins Internet, Mail usw.
Die Frage die ich mir nun stelle (wie gesagt: Knoten im Hirn, Wald vor lauter Bäumen nicht...):
Wie kann ich dem Laptop den kompletten Traffic ins Internet verbieten, wenn er doch fürs VPN das Internet braucht.
Wo ist hier mein Denkfehler (außer das Problem zwischen den Ohren
) ?S.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668544
Url: https://administrator.de/contentid/668544
Ausgedruckt am: 21.11.2024 um 10:11 Uhr
12 Kommentare
Neuester Kommentar
Sorry vergessen:
OS ist Win 10 bzw. soll demnächst auf Win 11.
OS ist Win 10 bzw. soll demnächst auf Win 11.
Mit dem VPN Client kenn ich imch nicht aus.
Am Lancom würde ich das so lösen, dass ich da für das Laptop jeglichen Verkehr verbiete.
Und dann eine Regel erstellen, die für den Laptop VPN erlaubt.
Beides mit gleicher Prio und ziemlich hoch.
Ich hab aber jetzt schon ewig nix mehr mit Lancom gemacht
Schau dir das mal an.
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1263942.ht ...
Am Lancom würde ich das so lösen, dass ich da für das Laptop jeglichen Verkehr verbiete.
Und dann eine Regel erstellen, die für den Laptop VPN erlaubt.
Beides mit gleicher Prio und ziemlich hoch.
Ich hab aber jetzt schon ewig nix mehr mit Lancom gemacht
Schau dir das mal an.
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1263942.ht ...
Okay, ich sehe ich war zu unpräzise:
Der Lancom steht am VPN Ziel. Ist also der VPN "Eingang".
Der Laptop geht über den Router des Nutzers zuhause ins Netz (Fritzbox....), oder über nen WLAN Hotspots des Mobiltelefons, oder ein WLAN im Hotel...und da kann ich eben nix ändern.
Müsste also eine Einstellung auf dem Laptop sein in der Art "du darfst nur gerade so viel, um die VPN Verbindung zum LANCOM Router aufzubauen"
S.
Der Lancom steht am VPN Ziel. Ist also der VPN "Eingang".
Der Laptop geht über den Router des Nutzers zuhause ins Netz (Fritzbox....), oder über nen WLAN Hotspots des Mobiltelefons, oder ein WLAN im Hotel...und da kann ich eben nix ändern.
Müsste also eine Einstellung auf dem Laptop sein in der Art "du darfst nur gerade so viel, um die VPN Verbindung zum LANCOM Router aufzubauen"
S.
Der TO hat ja leider nicht mitgeteilt welches der zahllosen VPN Protokolle er verwendet! Folglich kann man wie so oft nur die Kristallkugel befragen. 
Nach der etwas wirren Schilderung kann man annehmen das der TO ein Gateway Redirect meint?! Sprich also das das Default Gateway auf die VPN Verbindung umgelegt wird sofern der VPN Tunnel aktiv ist und dann der gesamte Laptop Traffic durch den Tunnel geht?! Die Einrichtung dafür (VPN Gateway Redirect) ist, wie schon gesagt, immer VPN protokollspezifisch.
Oftmals ist das auch in der VPN Client Software einstellbar wie in den hiesigen VPN Tutorials hier, hier, und auch hier beschrieben ist. Stichwort: "Standardgateway für das remote Netzwerk..." (z.B. Winblows) oder hier bei MacOS.
Nach der etwas wirren Schilderung kann man annehmen das der TO ein Gateway Redirect meint?! Sprich also das das Default Gateway auf die VPN Verbindung umgelegt wird sofern der VPN Tunnel aktiv ist und dann der gesamte Laptop Traffic durch den Tunnel geht?! Die Einrichtung dafür (VPN Gateway Redirect) ist, wie schon gesagt, immer VPN protokollspezifisch.
Oftmals ist das auch in der VPN Client Software einstellbar wie in den hiesigen VPN Tutorials hier, hier, und auch hier beschrieben ist. Stichwort: "Standardgateway für das remote Netzwerk..." (z.B. Winblows) oder hier bei MacOS.
Firewall auf dem Laptop. Oder eigentlich eine Kindersicherung.
Ich weiß ja nicht, ob das zielführend wird.
Eher mit dem Kamraden reden, schulen und abmahnen, wenns wieder soweit ist, dass er auf Pr0n-Seiten rumschnüffelt.
Im Fall der Fälle dann Image neu aufspielen. Was weg ist, ist weg.
Ich weiß ja nicht, ob das zielführend wird.
Eher mit dem Kamraden reden, schulen und abmahnen, wenns wieder soweit ist, dass er auf Pr0n-Seiten rumschnüffelt.
Im Fall der Fälle dann Image neu aufspielen. Was weg ist, ist weg.
Okay,
was daran wirr ist verschließt sich mir etwas.
Dass das Protokoll relevant ist ebenso, aber um dem Wissendurst genüge zu tun: IKEv2 mit Zertifikat.
GW Redirect hilft nur bedingt weiter, da es eben VOR dem VPN Aufbau den vollen Internetzugang ermöglicht.
Wenn ich - hoffentlich weniger wirr - nochmal konkret formuliere:
Wie kann ich VOR dem VPN Aufbau den Traffic ins Internet verhindern und dennoch die VPN Verbindung aufbauen?
GGf. ist das mit dem Image der Plan B und Virenscanner usw. eben so viel wie möglich zudrehen.....
S.
was daran wirr ist verschließt sich mir etwas.
Dass das Protokoll relevant ist ebenso, aber um dem Wissendurst genüge zu tun: IKEv2 mit Zertifikat.
GW Redirect hilft nur bedingt weiter, da es eben VOR dem VPN Aufbau den vollen Internetzugang ermöglicht.
Wenn ich - hoffentlich weniger wirr - nochmal konkret formuliere:
Wie kann ich VOR dem VPN Aufbau den Traffic ins Internet verhindern und dennoch die VPN Verbindung aufbauen?
GGf. ist das mit dem Image der Plan B und Virenscanner usw. eben so viel wie möglich zudrehen.....
S.
Proxy im firmennetz aufsetzen und per intune / gpo die nutzung erzwingen.
Ich werf mal split tunneling in den Raum. Aber was der Lancom Client kann, musst du selber nachlesen oder eben bei Lancom nachfragen.
Ansonsten halt hart rangehen und Kiosk oder so, oder mit einer Whitelist arbeiten. Ist halt dann fast Kindergarten.
Ansonsten halt hart rangehen und Kiosk oder so, oder mit einer Whitelist arbeiten. Ist halt dann fast Kindergarten.
Ich werf mal split tunneling in den Raum.
Nein, das wäre gerade der falsche Weg, denn das routet allen, nicht relevanten remoten Traffic lokal und forwardet nur das ins VPN was remote ist. Zwar der effizienteste VPN Weg aus Performance Sicht aber genau das was der TO ja gerade nicht will! Er will allen Traffic in den VPN Tunnel routen was Split Tunneling eben genau nicht leistet sondern nur ein "Gateway Redirect". ST wäre also eine Sackgasse für die Anforderung des TOs.was daran wirr ist verschließt sich mir etwas.
Das sind solch verschwurbelte Sätze wie z.B."ausschließlich über die VPN Verbindung ermöglichen, via VPN ins Netz zu gehen und dann von dort weiter ins Internet"
Da weiss man trotz 2mal lesen nicht genau welches "Netz" denn mit "...via VPN ins Netz zu gehen" gemeint ist und anderes. Aber egal...du kennst ja jetzt das Zauberwort zur einfachen Lösung!
GW Redirect hilft nur bedingt weiter, da es eben VOR dem VPN Aufbau den vollen Internetzugang ermöglicht.
Nein, oder du hast du den Sinn und Zweck von IP Routing nicht verstanden. Logischerweise braucht es dafür keinen "vollen" Internet Zugang sondern lediglich nur den Zugang auf eine einzige IP Adresse, nämlich den VPN Tunnelendpunkt. Alles andere blockierst du für den LAN und WLAN Port.Du solltest dir wirklich in aller Ruhe noch einmal vor Augen führen WIE der IP Packet Flow aussieht für den Tunnelaufbau! Genug Zeit mit dem kommenden langen Wochenende hast du ja...
Zitat von @aqui:
denn das routet allen, nicht relevanten remoten Traffic lokal und forwardet nur das ins VPN was remote ist.
Ich wär der Meinung, genau das will er. Und eben alles was dann lokal ist sperren. Kann mich aber auch irren oder ich verstehe dann split tunneling nicht (was gut möglich ist).denn das routet allen, nicht relevanten remoten Traffic lokal und forwardet nur das ins VPN was remote ist.
Erst mal Traffic aufsplitten in was soll VPN und was soll lokal. Und dann das lokale gegen die Wand laufen lassen.
Kein Gebrowse durch den Tunnel, nur Zugriff auf Remote.
Kann mich aber auch irren
Kann man auch genau andersrum verstehen?! Deshalb ja die Bemerkung das es etwas wirr ist...
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
