smodohadl
Goto Top

Bei VPN feststellen ob man sich im Ausland befindet

Hallo,

gibt es eine Möglichkeit fest zu stellen, ob sich ein Mitarbeiter im Ausland befindet, wenn er ein Netzt aufgebaut hat, das komplett über einen VPN läuft?


- Der komplette Netzwerkverkehr wird von Router 2, der sich im Ausland befindet zu Router 1, der sich in Deutschland befindes z.B. durch Wireguard VPN geroutet.

- Der Mitarbeiter verbindet sich mit dem Wlan oder per LAN von Router 2 (Router im Ausland) und baut durch den bestehenden VPN-Tunnel einen weiteren VPN-Tunnel in das Firmennetzwerk.

Ist dies irgendwie nachvollziehbar, dass der Mitarbeiter sich nicht in Deutschland befindet?

Viele Grüße

Smodo

Content-ID: 3296139372

Url: https://administrator.de/forum/bei-vpn-feststellen-ob-man-sich-im-ausland-befindet-3296139372.html

Ausgedruckt am: 21.12.2024 um 18:12 Uhr

maretz
maretz 26.11.2023 um 11:03:29 Uhr
Goto Top
Am VPN Server von dir solltest du ja die IP sehen von wo das VPN aufgebaut wurde.
smodohadl
smodohadl 26.11.2023 um 11:16:51 Uhr
Goto Top
Wie meinst du das? Wenn ich es richtig verstehe, sehe ich doch nur die IP, von der aus der Router 1 (der in DEU) ins Netzt geht, oder nicht?
8030021182
8030021182 26.11.2023 aktualisiert um 11:48:53 Uhr
Goto Top
Ist dies irgendwie nachvollziehbar, dass der Mitarbeiter sich nicht in Deutschland befindet?
Nein, außer der Arbeitgeber klingelt ein paar mal beim Mitarbeiter zu Hause und niemand macht auf, oder die nette ausländische Stimme die ran geht wenn du im Ausland und nicht erreichbar bist.

Willst du Homeoffice über Weihnachten auf den Kanaren machen und den Arbeitgeber betuppen ? 🤪

Gruß Katrin
maretz
maretz 26.11.2023 um 11:29:17 Uhr
Goto Top
ok - hab ich falsch verstanden. Du meinst also praktisch ein VPN im VPN? Dann würdest du es nicht erkennen können (zumindest nicht soo einfach, man könnte höchstens "raten").

Andersrum: Warum sollte man sich dafür interessieren? Zumindest bei uns ist es so das es meinen Chef nich interessieren würde von WO ich arbeite solang der Job erledigt wird. Und andersrum würde man es ja auch ggf. über andere Wege mitbekommen - zB. wenn das Telefon permanent auf Roaming ist....
MirkoKR
MirkoKR 26.11.2023 um 13:55:08 Uhr
Goto Top
@maretz hat m.E. schon Recht:
Der VPN-Server kennt die Ursprungs-IP-Adresse des VPN-Clients ...

Das der Traffic letztlich an dieser vorbei läuft, istceine andere Sache ...
LordGurke
LordGurke 26.11.2023 um 15:26:22 Uhr
Goto Top
Du kannst die Latenzzeiten vom VPN-Client und der IP, von der er bei euch eingewählt ist, vergleichen.
Wenn ich z.B. auf Island sitze, habe ich nach Deutschland ca. 50ms Latenz.
Baue ich einen Tunnel nach DE auf und wähle mich darüber in das Firmennetz ein, siehst du meinen Anschluss in DE z.B. mit 20ms, meinen VPN-Client denn mit 70ms.
Wenn sein Router in DE nicht auf Ping reagiert, vergleicht mit ein paar benachbarten IP-Adressen aus dem selben /24 resp. dem selben /48 bei IPv6.

Das kann man aber erst halbwegs sicher bei deutlich mehr als 20ms Latenzunterschied sagen - alles andere wäre noch mit wilden WLAN-Repater-über-Powerline-Konstrukten zu erklären.
Außerdem könnte der Client sich bei weniger als 20ms auch durchaus innerhalb Deutschlands mit dem doppelten VPN verbunden haben.
Und das gilt auch nur, wenn die Einwahl nicht von einer Mobilfunk-IP erfolgt, da kannst du den Vergleich ebenfalls vergessen.

Ich entnehme der Fragestellung, dass ihr nicht wollt dass eure Mitarbeiter aus dem Ausland arbeiten.
Und scheinbar weiß der Mitarbeiter auch dass das nicht gewünscht ist, sonst würde er wohl kaum solche Stunts mit mehrfachen VPNs veranstalten.
Wenn du das wirklich beweisen willst muss irgendwer persönlich zu ihm hin und ihn während er arbeitet kurz sprechen wollen.
Alternativ ein "Einschreiben eigenhändig" schicken und gucken, ob und wann es ankommt.
maretz
maretz 26.11.2023 um 16:01:01 Uhr
Goto Top
Nur ist das mit der Ping-Zeit eben nur das was als "schätzen" ist. Denn z.B. wenn Kiddys lustig übers Internet Videos gucken o.ä. kann das eben auch runtergehen. Oder weils mitm WLAN in der Küche "grenzwertig" ist und man viel Loss hat.

Das persönlich hinfahren dürfte zum einen schon sehr übergriffig für den Arbeitgeber werden - und zum anderem wäre auch das schwachsinn. Ich hab die Tür nicht aufgemacht? Natürlich, da die Nachbarskinder in den letzten 2 Wochen täglich 5-10x nen Klingelstreich machen geh ich nich mehr hin... oder war grad aufm Klo weil ich bei so nem Verhalten kot..en musste. Warum sollte ich denn bitte im Homeoffice einfach die Tür aufmachen? (Und nebenbei stellt sich dann die Frage warum überhaupt meine privat-Adresse ohne Anlass verwendet wurde - hier glaube ich das der Datenschutz schon ein Problem damit hat wenn du einfach zu den privatadressen der Mitarbeiter fährst da die Adresse ja schon vertraulich wäre).

Am Ende is es ganz einfach: Wenn ich zu solchen Mitteln greifen würde dann sollte ich einfach Remote-Arbeit komplett untersagen und die Leute müssen ins Office. Aber alles andere würde ich schon ziemlich grenzwertig finden - und überwachung von Mitarbeitern führt idR nicht zu mehr Produktivität oder Zufriedenheit...
LordGurke
LordGurke 26.11.2023 um 16:20:49 Uhr
Goto Top
Zitat von @maretz:

Nur ist das mit der Ping-Zeit eben nur das was als "schätzen" ist. Denn z.B. wenn Kiddys lustig übers Internet Videos gucken o.ä. kann das eben auch runtergehen. Oder weils mitm WLAN in der Küche "grenzwertig" ist und man viel Loss hat.

Dann stimmen aber die Latenzzeiten zwischen der internen IP, die der VPN-Client bekommen hat und der IP, von der aus er sich einwählt, weiterhin ziemlich genau überein.
Mir geht es nur um eine sehr große Differenz zwischen diesen beiden Werten, denn das ist ein starker Hinweis darauf dass der VPN-Client nicht aus dem lokalen Netz des Anschlusses verbunden wurde.


Am Ende is es ganz einfach: Wenn ich zu solchen Mitteln greifen würde dann sollte ich einfach Remote-Arbeit komplett untersagen und die Leute müssen ins Office. Aber alles andere würde ich schon ziemlich grenzwertig finden - und überwachung von Mitarbeitern führt idR nicht zu mehr Produktivität oder Zufriedenheit...

Die Zufriedenheit geht auch runter, wenn alle Mitarbeiter darunter leiden weil sich einer nicht an die Reglen hält.

Hinfahren ist tatsächlich beim zweiten Mal drüber nachdenken schwierig. Aber ein "Einschreiben eigenhändig" mit einer ggf. aktualisierten Vereinbarung für Home-Office, die man bitte unterschreiben soll, ist durchaus machbar.
Man sieht zum einen, ob/wann das Einschreiben abgeholt wurde (und ob das ggf. von einer bevollmächtigten Person). Auf der anderen Seite hat man dann tatsächlich sehr explizit darauf hingewiesen, dass Remote-Arbeit im Ausland nicht erlaubt ist und kann, wenn sowas nachweisbar ist (und irgendwann platzt sowas immer) auch deutlich besser dagegen vorgehen. Seien es Abmahnungen oder die Erlaubnis für Remote-Arbeit.
maretz
maretz 26.11.2023 um 16:47:09 Uhr
Goto Top
Wie soll die Ping-Zeit im VPN denn gleich bleiben wenn die Leitung ausgelastet ist? Wenn also das "verschlüsstelte" Paket ka. 200ms braucht hast du intern trotzdem 50ms? Glaube ich irgendwie grad nicht...

Einschreiben ist dasselbe wie hinfahren. Eher sogar noch besser da der Postbote ggf. einfach nicht geklingelt hat, ...

Daher wäre nur das Verbot von Remote-Arbeit generell (und wenn nur Ausnahmen zulassen).

Bei mir wäre es auf jeden Fall bei all dem Vorgehen ein Punkt wo ich über nen Firmenwechsel nachdenken würde... und solange auch eben nur GENAU das vertragliche Minimum machen würde. Ist darin festgelegt das von 12 - 13 Uhr mittagspause ist u. der wichtige Kunde ruft um 12:59 an? Doof gelaufen... Ganz ehrlich - keine Ahnung wo ihr so arbeitet, wenn mein Chef so meint mich kontrollieren zu müssen würden wir ganz andere Probleme haben...
LordGurke
LordGurke 26.11.2023 aktualisiert um 18:20:07 Uhr
Goto Top
Zitat von @maretz:

Wie soll die Ping-Zeit im VPN denn gleich bleiben wenn die Leitung ausgelastet ist? Wenn also das "verschlüsstelte" Paket ka. 200ms braucht hast du intern trotzdem 50ms? Glaube ich irgendwie grad nicht...

Mitarbeiter wählt sich ein, bekommt im VPN-Tunnel die IP 1.2.3.4.
Die pinge ich an: 80ms.
Jetzt gucke ich nach, von wo er sich eingewählt hat: Ein DSL-Zugang der Telekom.
Diese IP pinge ich auch an: 15ms.
Und diese 65ms Differenz sind das, was verräterisch ist.

Wenn ich die Tunnel-IP und den DSL-Zugang anpinge und beide Male 80ms rauskommen ist das OK, dann ist einfach der Anschluss ausgelastet.

Es geht nicht darum, dass sich die Zeiten nicht ändern (dann hätte ich nämlich "Jitter" statt "Latenz" geschrieben), es geht darum dass zum gleichen Zeitpunkt die Latenzzeiten zwischen Tunnel und einwählender IP nicht so stark voneinander abweichen dürfen.
smodohadl
smodohadl 26.11.2023 um 18:24:43 Uhr
Goto Top
Super, vielen Dank für eure Antworten, denen ich entnehme, dass es sehr schwer sein Dürfte zu erfahren, ob der Mitarbeiter im Ausland ist oder nicht.
Das ist doch schon mal eine Aussage, die ich so weitergeben kann.
Ich denke auch, das Vertrauen in die Mitarbeiter sollte da sein, dass es egal ist, von wo aus sie arbeiten.
LordGurke
LordGurke 26.11.2023 um 18:29:23 Uhr
Goto Top
Das hat nicht nur mit Vertrauen zu tun.
Frag mal deinen Chef ob er weiß wie das rechtlich mit Mitarbeitern aussieht, die längere Zeit im Ausland arbeiten. Oder gar außerhalb der EU.
Versicherung, Arbeitserlaubnis in Drittstaaten, Steuern, Datenschutz...
maretz
maretz 26.11.2023 um 18:46:36 Uhr
Goto Top
Zu deinem Beispiel: Das ganze sagt dir einfach immer noch nix aus woraus du auch nur ansatzweise sicher was sagen könntest um nen MA was vorzuwerfen. Ich sitze in der Küche, WLAN Signal is eher schlecht... Du kannst meinen Router noch 200x pingen, trotzdem hab ich ggf. ne deutlich schlechtere Verbindung. Oder mein internes Netz ist einfach besch... eingerichtet,... WENN dann könnte man hier eben nur sagen der MA muss zB. das Firmentel. als Hotspot nutzen (oder ne Sim ins Laptop), dann würde man das wieder übers roaming sehen... und feststellen das der MA ggf. dank Abdeckung in DE besser ins Ausland fährt weil er/sie/es von da deutlich schneller arbeiten könnte ;)

Der restliche Teil von dir: Versicherung usw. gilt ja nur wenn es sich um eine Entsendung handelt - das gilt aber ja nicht wenn der Mitarbeiter einfach zB. ne Woche früher in den Urlaub fährt (ohne das der Chef da überhaupt was von weiss). Dann hat ggf. der MITARBEITER ein Problem (speziell bei Aufenthalt ohne Arbeitserlaubnis). Für Steuern spielt das zB. keine Rolle da du die an deinem Wohnsitz zahlst (wird speziell bei Grenzgängern nämlich lustig - wg. Doppelbesteuerung, 60 Tage Regel,...). Hier muss der Arbeitnehmer eben nachweisen wie oft der im Ausland war (bzw Dienstreise).... Wenn der MA das aber ohne Wissen/Erlaubnis macht steht der halt am ende ggf. doof da...