sventej
Goto Top

Alles durch den C2S Tunnel - Verbindungsaufbau (Catch 22)

Hallo zusammen,
irgendwie habe ich einen Knoten im Hirn.

Folgendes Problem:
LANCOM Router mit VPN Zugang, Laptop mit VPN Client.

Der Nutzer ist - sagen wir mal wohlwollend - manchmal etwas unbedarft und unachtsam.

Aus dem Grund würde ich dem Laptop gerne ausschließlich über die VPN Verbindung ermöglichen, via VPN ins Netz zu gehen und dann von dort weiter ins Internet, Mail usw.

Die Frage die ich mir nun stelle (wie gesagt: Knoten im Hirn, Wald vor lauter Bäumen nicht...):
Wie kann ich dem Laptop den kompletten Traffic ins Internet verbieten, wenn er doch fürs VPN das Internet braucht.

Wo ist hier mein Denkfehler (außer das Problem zwischen den Ohren face-wink ) ?

S.

Content-ID: 668544

Url: https://administrator.de/forum/alles-durch-den-c2s-tunnel-verbindungsaufbau-catch-22-668544.html

Ausgedruckt am: 21.12.2024 um 17:12 Uhr

SvenTej
SvenTej 02.10.2024 um 10:33:57 Uhr
Goto Top
Sorry vergessen:
OS ist Win 10 bzw. soll demnächst auf Win 11.
kpunkt
kpunkt 02.10.2024 aktualisiert um 10:46:50 Uhr
Goto Top
Mit dem VPN Client kenn ich imch nicht aus.
Am Lancom würde ich das so lösen, dass ich da für das Laptop jeglichen Verkehr verbiete.
Und dann eine Regel erstellen, die für den Laptop VPN erlaubt.
Beides mit gleicher Prio und ziemlich hoch.
Ich hab aber jetzt schon ewig nix mehr mit Lancom gemacht

Schau dir das mal an.
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1263942.ht ...
SvenTej
SvenTej 02.10.2024 um 10:59:17 Uhr
Goto Top
Okay, ich sehe ich war zu unpräzise:
Der Lancom steht am VPN Ziel. Ist also der VPN "Eingang".

Der Laptop geht über den Router des Nutzers zuhause ins Netz (Fritzbox....), oder über nen WLAN Hotspots des Mobiltelefons, oder ein WLAN im Hotel...und da kann ich eben nix ändern.

Müsste also eine Einstellung auf dem Laptop sein in der Art "du darfst nur gerade so viel, um die VPN Verbindung zum LANCOM Router aufzubauen"

S.
aqui
aqui 02.10.2024 aktualisiert um 11:16:55 Uhr
Goto Top
Der TO hat ja leider nicht mitgeteilt welches der zahllosen VPN Protokolle er verwendet! Folglich kann man wie so oft nur die Kristallkugel befragen. face-sad
Nach der etwas wirren Schilderung kann man annehmen das der TO ein Gateway Redirect meint?! Sprich also das das Default Gateway auf die VPN Verbindung umgelegt wird sofern der VPN Tunnel aktiv ist und dann der gesamte Laptop Traffic durch den Tunnel geht?! Die Einrichtung dafür (VPN Gateway Redirect) ist, wie schon gesagt, immer VPN protokollspezifisch.
Oftmals ist das auch in der VPN Client Software einstellbar wie in den hiesigen VPN Tutorials hier, hier, und auch hier beschrieben ist. Stichwort: "Standardgateway für das remote Netzwerk..." (z.B. Winblows) oder hier bei MacOS.
redir
kpunkt
kpunkt 02.10.2024 aktualisiert um 11:23:43 Uhr
Goto Top
Firewall auf dem Laptop. Oder eigentlich eine Kindersicherung.
Ich weiß ja nicht, ob das zielführend wird.

Eher mit dem Kamraden reden, schulen und abmahnen, wenns wieder soweit ist, dass er auf Pr0n-Seiten rumschnüffelt.
Im Fall der Fälle dann Image neu aufspielen. Was weg ist, ist weg.
SvenTej
SvenTej 02.10.2024 um 12:03:56 Uhr
Goto Top
Okay,
was daran wirr ist verschließt sich mir etwas.
Dass das Protokoll relevant ist ebenso, aber um dem Wissendurst genüge zu tun: IKEv2 mit Zertifikat.

GW Redirect hilft nur bedingt weiter, da es eben VOR dem VPN Aufbau den vollen Internetzugang ermöglicht.

Wenn ich - hoffentlich weniger wirr - nochmal konkret formuliere:
Wie kann ich VOR dem VPN Aufbau den Traffic ins Internet verhindern und dennoch die VPN Verbindung aufbauen?

GGf. ist das mit dem Image der Plan B und Virenscanner usw. eben so viel wie möglich zudrehen.....

S.
pebcak7123
pebcak7123 02.10.2024 um 12:40:42 Uhr
Goto Top
Proxy im firmennetz aufsetzen und per intune / gpo die nutzung erzwingen.
kpunkt
kpunkt 02.10.2024 um 12:51:26 Uhr
Goto Top
Ich werf mal split tunneling in den Raum. Aber was der Lancom Client kann, musst du selber nachlesen oder eben bei Lancom nachfragen.
Ansonsten halt hart rangehen und Kiosk oder so, oder mit einer Whitelist arbeiten. Ist halt dann fast Kindergarten.
aqui
aqui 02.10.2024 aktualisiert um 13:14:15 Uhr
Goto Top
Ich werf mal split tunneling in den Raum.
Nein, das wäre gerade der falsche Weg, denn das routet allen, nicht relevanten remoten Traffic lokal und forwardet nur das ins VPN was remote ist. Zwar der effizienteste VPN Weg aus Performance Sicht aber genau das was der TO ja gerade nicht will! Er will allen Traffic in den VPN Tunnel routen was Split Tunneling eben genau nicht leistet sondern nur ein "Gateway Redirect". ST wäre also eine Sackgasse für die Anforderung des TOs.

was daran wirr ist verschließt sich mir etwas.
Das sind solch verschwurbelte Sätze wie z.B.
"ausschließlich über die VPN Verbindung ermöglichen, via VPN ins Netz zu gehen und dann von dort weiter ins Internet"
Da weiss man trotz 2mal lesen nicht genau welches "Netz" denn mit "...via VPN ins Netz zu gehen" gemeint ist und anderes. Aber egal...du kennst ja jetzt das Zauberwort zur einfachen Lösung! face-wink
GW Redirect hilft nur bedingt weiter, da es eben VOR dem VPN Aufbau den vollen Internetzugang ermöglicht.
Nein, oder du hast du den Sinn und Zweck von IP Routing nicht verstanden. Logischerweise braucht es dafür keinen "vollen" Internet Zugang sondern lediglich nur den Zugang auf eine einzige IP Adresse, nämlich den VPN Tunnelendpunkt. Alles andere blockierst du für den LAN und WLAN Port.
Du solltest dir wirklich in aller Ruhe noch einmal vor Augen führen WIE der IP Packet Flow aussieht für den Tunnelaufbau! Genug Zeit mit dem kommenden langen Wochenende hast du ja... face-wink
kpunkt
kpunkt 02.10.2024 um 13:20:24 Uhr
Goto Top
Zitat von @aqui:

denn das routet allen, nicht relevanten remoten Traffic lokal und forwardet nur das ins VPN was remote ist.
Ich wär der Meinung, genau das will er. Und eben alles was dann lokal ist sperren. Kann mich aber auch irren oder ich verstehe dann split tunneling nicht (was gut möglich ist).
Erst mal Traffic aufsplitten in was soll VPN und was soll lokal. Und dann das lokale gegen die Wand laufen lassen.
Kein Gebrowse durch den Tunnel, nur Zugriff auf Remote.
aqui
aqui 02.10.2024 um 14:19:29 Uhr
Goto Top
Kann mich aber auch irren
Kann man auch genau andersrum verstehen?! Deshalb ja die Bemerkung das es etwas wirr ist... face-wink
aqui
aqui 20.10.2024 um 11:14:04 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?