15
Clients hinter VPN Router automatisch in Firmennetzwerk einbinden
Liebes Forum,
aufgrund des vielen Homeoffices derzeit suchen wir in unserem kleinen Unternehmen nach einer Möglichkeit, Clients aus dem Homeoffice an das Firmennetzwerk anzubinden BEVOR auf diesen ein VPN Client aufgespielt werden kann (zwecks GPO Zuweisung, Updates vom WSUS, zuweisen von Profilen für Thinclients bei der Einrichtung, etc).
In unserer Firma läuft eine Sophos UTM, auf die sich die User (die bereits einen VPN Client am laufen haben) über openVPN verbinden können - soweit so gut.
Meine Überlegung war nun, einen eigenständigen, kleinen VPN Router (habe einfach zum testen mal den GL.iNet GL-MT300N-V2 bestellt) hinter mein Modem zu klemmen und mich mit diesem in die Firma zu verbinden. Allerdings holt sich in diesem Falle alles, was ich hinter den Router hänge, eine IP vom Router anstatt von dem DHCP. Die Firmen-internen Ressourcen erreiche ich dann zwar vom Endgerät, aber logischerweiße funktioniert der Weg andersrum nicht (wodurch Profilzuweisungen fehlschlagen usw).
Ich schätze mal, dass meine Grundidee schon einen Denkfehler hat und ich mein VPN-mini-Device nicht als Client ins Netz hängen muss sondern ein Site-to-Site Gerät brauche? Oder ist es in diesem Falle eine VPN Bridge? Habe jetzt schon 2 Tage lang Dokus gelesen aber steige nicht so ganz durch und könnte mal einen Schubs in die richtige Richung brauchen
Danke im Voraus
Cptn
aufgrund des vielen Homeoffices derzeit suchen wir in unserem kleinen Unternehmen nach einer Möglichkeit, Clients aus dem Homeoffice an das Firmennetzwerk anzubinden BEVOR auf diesen ein VPN Client aufgespielt werden kann (zwecks GPO Zuweisung, Updates vom WSUS, zuweisen von Profilen für Thinclients bei der Einrichtung, etc).
In unserer Firma läuft eine Sophos UTM, auf die sich die User (die bereits einen VPN Client am laufen haben) über openVPN verbinden können - soweit so gut.
Meine Überlegung war nun, einen eigenständigen, kleinen VPN Router (habe einfach zum testen mal den GL.iNet GL-MT300N-V2 bestellt) hinter mein Modem zu klemmen und mich mit diesem in die Firma zu verbinden. Allerdings holt sich in diesem Falle alles, was ich hinter den Router hänge, eine IP vom Router anstatt von dem DHCP. Die Firmen-internen Ressourcen erreiche ich dann zwar vom Endgerät, aber logischerweiße funktioniert der Weg andersrum nicht (wodurch Profilzuweisungen fehlschlagen usw).
Ich schätze mal, dass meine Grundidee schon einen Denkfehler hat und ich mein VPN-mini-Device nicht als Client ins Netz hängen muss sondern ein Site-to-Site Gerät brauche? Oder ist es in diesem Falle eine VPN Bridge? Habe jetzt schon 2 Tage lang Dokus gelesen aber steige nicht so ganz durch und könnte mal einen Schubs in die richtige Richung brauchen
Danke im Voraus
Cptn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 640520
Url: https://administrator.de/contentid/640520
Printed on: April 25, 2024 at 17:04 o'clock
15 Comments
Latest comment
Hi
Ich verstehe nicht so ganz ...
Ich verstehe nicht so ganz ...
an das Firmennetzwerk anzubinden BEVOR auf diesen ein VPN Client aufgespielt werden kann
Warum muss der VPN Client noch aufgespielt werden? Kaufen die ihre Rechner selber im Aldi? Warum spielt ihr die Software nicht in der Firma auf und gebt ihnen dann die Kiste mit?zwecks GPO Zuweisung,
Die kommt, wenn eine Netzwerkverbindung zum DC stehtUpdates vom WSUS
Das könnte man mit einem exposes WSUS machen, der dem Client die Updates freigibt, der lädt sie dann aber von MS runterzuweisen von Profilen für Thinclients bei der Einrichtung, etc).
Hä? Thinclients? Jetzt bin ich ganz verwirrt. Was haben die damit zu tun?In unserer Firma läuft eine Sophos UTM, auf die sich die User (die bereits einen VPN Client am laufen haben)
ahaüber openVPN verbinden
?!? Was ?Meine Überlegung war nun, einen eigenständigen, kleinen VPN Router .....
Die Firmen-internen Ressourcen erreiche ich dann zwar vom Endgerät, aber logischerweiße funktioniert der Weg andersrum nicht
Was du suchst ist eine Sophos RED. Die macht genau sowasDie Firmen-internen Ressourcen erreiche ich dann zwar vom Endgerät, aber logischerweiße funktioniert der Weg andersrum nicht
(wodurch Profilzuweisungen fehlschlagen usw).
Welche Profile ? GPOs werden ja nicht gepushed. Die holt der Client sich, wenn er eine Verbindung zum DC bekommt.Ich schätze mal, dass meine Grundidee schon einen Denkfehler hat
Joa ... und du wirfst viele sonderbare Dinge in den Raum die (IMHO) keinen Sinn ergebensondern ein Site-to-Site Gerät
Wenn du nur ein einzelnes Gerät anbinden willst? Nein eher nicht.
Bis auf eine Sache stimme ich dir zu
Die Sophos bringt einen VPN CLient mit, den Sophos SSL VPN Client... Das ist nichts weiter als ein gebrandeter OpneVPN Client. Also an dem Punkt habe ich verstanden was er vor hat und macht. Aber an den restlichen Punkte ergibnt sein ganzes Konstrukt wirklich keinen Sinn.
Richtige vorgehensweise ist: CLienbts kaufen, im Unternehmen in Betreib nehmen, VPN Client einrichten. Dann greift die GPO halt erst nach der VPN Anmeldung, aber wenn man es richtig macht unterbindet man ohnehin am Gerät das Surfen (nicht den Internetzugang, den brauchst du für die VPN Verbindung) und USB-Massenspeicher.
Ich befürchte aber fast, dass hier GEld gespart werden will und deswegen sollen die Mitarbeiter ihre privaten PCs nutzen.
über openVPN verbinden
?!? Was ?Die Sophos bringt einen VPN CLient mit, den Sophos SSL VPN Client... Das ist nichts weiter als ein gebrandeter OpneVPN Client. Also an dem Punkt habe ich verstanden was er vor hat und macht. Aber an den restlichen Punkte ergibnt sein ganzes Konstrukt wirklich keinen Sinn.
Richtige vorgehensweise ist: CLienbts kaufen, im Unternehmen in Betreib nehmen, VPN Client einrichten. Dann greift die GPO halt erst nach der VPN Anmeldung, aber wenn man es richtig macht unterbindet man ohnehin am Gerät das Surfen (nicht den Internetzugang, den brauchst du für die VPN Verbindung) und USB-Massenspeicher.
Ich befürchte aber fast, dass hier GEld gespart werden will und deswegen sollen die Mitarbeiter ihre privaten PCs nutzen.
Hallo,
wenn Du vom Firmennetzwerk direkt auf das Endgerät zugreifen möchtest gibt es dafür 2 Wege.
1. Software-VPN-Client auf dem Endgerät
2. VPN-Gateway welches als Site-2-Site-VPN funktioniert.
Stefan
wenn Du vom Firmennetzwerk direkt auf das Endgerät zugreifen möchtest gibt es dafür 2 Wege.
1. Software-VPN-Client auf dem Endgerät
2. VPN-Gateway welches als Site-2-Site-VPN funktioniert.
Stefan
Er möchte Methode 2. -> das ist zumindest aus seiner Überschrift heraus zu lesen.
Also, zunächst benötigt man in beiden Netzen unterschiedliche IP Bereiche - Details fehlen.
Dann benötigst du nicht nur die Route vom Remotenetzwerk ins Firmennetzwerk, sondern auch auf der Firmenseite im Sophos eine Einstellung für ein Routing vom Firmennetzwerk zurück ins Remote Netzwerk. Sonst kommen Antworten von Anfragen aus dem Remotenetzwerk nicht an/zurück.
Damit die Clients im Remotenetzwerk den Domain Controller finden, musst du DNS und Routing so einrichten, dass die domain.tld des Firmennetzwerks pingbar ist. Nicht der domaincontroller.domain.tld (bzw der auch, klar), sondern domain.tld muss pingbar sein.
Also, zunächst benötigt man in beiden Netzen unterschiedliche IP Bereiche - Details fehlen.
Dann benötigst du nicht nur die Route vom Remotenetzwerk ins Firmennetzwerk, sondern auch auf der Firmenseite im Sophos eine Einstellung für ein Routing vom Firmennetzwerk zurück ins Remote Netzwerk. Sonst kommen Antworten von Anfragen aus dem Remotenetzwerk nicht an/zurück.
Damit die Clients im Remotenetzwerk den Domain Controller finden, musst du DNS und Routing so einrichten, dass die domain.tld des Firmennetzwerks pingbar ist. Nicht der domaincontroller.domain.tld (bzw der auch, klar), sondern domain.tld muss pingbar sein.
Danke schonmal für eure Rückmeldungen. Zur genaueren Erklärung (ich wollte den Text kurz und knapp halten aber sehe jetzt, dass ich damit nur mehr Verwirrung gestiftet habe): Es geht nicht darum, eine Lösung für Endanwender zu finden. Diese bekomme natürlich nach erfolgreicher Einrichtung der Clients einen openVPN Client aufgespielt, mit dem sie sich aus dem Heimnetz zur Sophos verbinden können.
Worum es mir geht ist eine Sonderlösung für die Admins, welche ebenfalls mehr und mehr im Homeoffice arbeiten und z.B. neue Company-Images erstellen erstellen müssen (und in diesen WSUS Updates herunterladen können sollen, lange lange bevor ich so Software wie VPN CLients etc auspielen will -> Denn das Image wird nachher ggf. auch für VDIs verwendet, die ja keinen VPN Client brauchen).
Die Thinclients (IGELs) kommunizieren z.B mit einer internen Verwaltungseinheit ("UMS"), welche Ihnen Profile zuweisst ("Aktiviere WLAN" / "Aktiviere VPN Client" / ...). Diese Profile müssen den Client erreichen können, bevor VPN überhaupt eingesetzt werden kann, denn eines der Befehle ist ja gerade, dass VPN zB aktiviert wird. So verständlicher?
Und genau das geht eben nicht, denn die Admins sollen aufgrund Corona ebenfalls mehr aus dem Homeoffice schaffen. Genau da beisst sich die Katze in den Schw*nz, denn ich bräuchte quasi schon VPN um die Clients (und damit auch irgendwann VPN) einrichten zu können.
Die Sophos RED werde ich mir mal anschauen. VPN Gateway klingt nach dem, was ich gesucht habe.
Nochmal kurz und knapp: Ich möchte daheim einen Client in ein "VPN Gateway" (oder was auch immer) stecken und der Client soll dann vollständig über das Gateway (ohne eigene VPN Software) im Firmennetzwerk stehen, interne Ressourcen via Namen über den DNS erreichen, eine IP vom Firmen-DHCP bekommen (keine aus dem Heimnetz!) etc.
Worum es mir geht ist eine Sonderlösung für die Admins, welche ebenfalls mehr und mehr im Homeoffice arbeiten und z.B. neue Company-Images erstellen erstellen müssen (und in diesen WSUS Updates herunterladen können sollen, lange lange bevor ich so Software wie VPN CLients etc auspielen will -> Denn das Image wird nachher ggf. auch für VDIs verwendet, die ja keinen VPN Client brauchen).
Die Thinclients (IGELs) kommunizieren z.B mit einer internen Verwaltungseinheit ("UMS"), welche Ihnen Profile zuweisst ("Aktiviere WLAN" / "Aktiviere VPN Client" / ...). Diese Profile müssen den Client erreichen können, bevor VPN überhaupt eingesetzt werden kann, denn eines der Befehle ist ja gerade, dass VPN zB aktiviert wird. So verständlicher?
Zitat von @Doskias:
Richtige vorgehensweise ist: CLienbts kaufen, im Unternehmen in Betreib nehmen, VPN Client einrichten.
Richtige vorgehensweise ist: CLienbts kaufen, im Unternehmen in Betreib nehmen, VPN Client einrichten.
Und genau das geht eben nicht, denn die Admins sollen aufgrund Corona ebenfalls mehr aus dem Homeoffice schaffen. Genau da beisst sich die Katze in den Schw*nz, denn ich bräuchte quasi schon VPN um die Clients (und damit auch irgendwann VPN) einrichten zu können.
Die Sophos RED werde ich mir mal anschauen. VPN Gateway klingt nach dem, was ich gesucht habe.
Nochmal kurz und knapp: Ich möchte daheim einen Client in ein "VPN Gateway" (oder was auch immer) stecken und der Client soll dann vollständig über das Gateway (ohne eigene VPN Software) im Firmennetzwerk stehen, interne Ressourcen via Namen über den DNS erreichen, eine IP vom Firmen-DHCP bekommen (keine aus dem Heimnetz!) etc.
Das ist es genau das, was ich in meinem letzten Beitrag erklärt habe.
Dann leg mal los.
Übrigens:
Dann leg mal los.
Übrigens:
eine IP vom Firmen-DHCP bekommen
Er wird nicht eine IP aus dem internen Firmennetzwerk erhalten. Der Client erhält eine IP aus dem VPN Netzwerk, das etwas vom internen Firmennetzwerk abweicht. Anders geht es nicht bzw anders ist es auch nicht routbar.
Jo stimmt. Mit den vollständigen Informationen wäre hilfreich gewesen. Wobei ich mich grade über meine vielen Rechtschreibfehler im Zitat ärgere .
Also zum Thema zurück. Das geht mit einer Sophos RED ganz gut. Du schließt die Sophos RED beim Admin zuhause an und die baut dann automatisch eine VPN ins Netzwerk auf. Alle an der RED angeschlossenen Geräte werden dann wie Netzwerkgeräte behandelt (also ziehen sich beispielsweise auch die Computer GPOs vor dem Anmelden, da eine Verbindung ja bereits besteht).
Gruß
Doskias
.Also zum Thema zurück. Das geht mit einer Sophos RED ganz gut. Du schließt die Sophos RED beim Admin zuhause an und die baut dann automatisch eine VPN ins Netzwerk auf. Alle an der RED angeschlossenen Geräte werden dann wie Netzwerkgeräte behandelt (also ziehen sich beispielsweise auch die Computer GPOs vor dem Anmelden, da eine Verbindung ja bereits besteht).
Gruß
Doskias
Zitat von @NordicMike:
Er wird nicht eine IP aus dem internen Firmennetzwerk erhalten. Der Client erhält eine IP aus dem VPN Netzwerk, das etwas vom internen Firmennetzwerk abweicht. Anders geht es nicht bzw anders ist es auch nicht routbar.
Er wird nicht eine IP aus dem internen Firmennetzwerk erhalten. Der Client erhält eine IP aus dem VPN Netzwerk, das etwas vom internen Firmennetzwerk abweicht. Anders geht es nicht bzw anders ist es auch nicht routbar.
Ja das ist klar. Also auf der Sophos läuft ein DHCP Relay zum DC. Die IP kommt dann "vom Firmen-DHCP" aber die Adresse an sich ist natürlich eine aus dem VPN Netz
So sollte es jetzt passenGibt es eine günstigere Alternative zu den Sophos RED Geräten (mit vermutlich einigem an extra Aufwand in der Konfiguration)? Bin gerade mal am schauen ob nicht evtl sogar ein RasPi reicht (mit einem zweiten LAN-Adapter) oder ähnlichem.
Der Aufwand der Sophos RED hält sich in grenzen. Du musst nur die Sophos Red an der Sophos authentifizieren. Die VPN-Daten erhält sie dann wenn sie Zugriffs übers Internet zur Sophos and er die RED registriert ist hat. Ich glaube der Aufwand liegt bei ca. 3 Minuten.
Ich scheine mich heute echt nicht besonders verständlich auszudrücken^^ ich meinte: gibt es günstige Alternativen zu den REDs - vermutlich dann mit entsprechendem Konfigurationensaufwand verbunden.
Dass die REDs schnell eingerichtet sind ist mir klar, gehören ja zur Produktfamilie und deswegen sind sie vermutlich ja auch recht kostspielig ;)
Dass die REDs schnell eingerichtet sind ist mir klar, gehören ja zur Produktfamilie und deswegen sind sie vermutlich ja auch recht kostspielig ;)
Zitat von @CptnReynolds:
Ich scheine mich heute echt nicht besonders verständlich auszudrücken^^ ich meinte: gibt es günstige Alternativen zu den REDs - vermutlich dann mit entsprechendem Konfigurationensaufwand verbunden.
Ich scheine mich heute echt nicht besonders verständlich auszudrücken^^ ich meinte: gibt es günstige Alternativen zu den REDs - vermutlich dann mit entsprechendem Konfigurationensaufwand verbunden.
Naja. du brauchst ja theoretisch nur ein Gerät was eine VPN-Verbindung aufbaut für das gesamte dahinterliegende Netzwerk. Theoretisch kannst du das gerät mit 2 Netzwerkkarten und einem alten PC selber bauen und konfigurieren
Die günstige Alternative zu Red heisst openvpn :c)
Jap da habt ihr beide recht - aber in dem Dschungel an Fachbegriffen innerhalb der VPN Thematik hat mir einfach ein Gedankenansatz gefehlt, in welche Richtung ich überhaupt suchen muss 
Ich habe jetzt verstanden ich benötige tatsächlich ein VPN Gateway, dass ein site2site VPN mit der Sophos UTM aufbaut; das Sophos RED macht nichts anderes, nur eben in "einfach und automatisiert". Korrekt so? Dann weiß ich ja jetzt in welche Richtung ich mich einlesen muss =) Danke euch!
Ich habe jetzt verstanden ich benötige tatsächlich ein VPN Gateway, dass ein site2site VPN mit der Sophos UTM aufbaut; das Sophos RED macht nichts anderes, nur eben in "einfach und automatisiert". Korrekt so? Dann weiß ich ja jetzt in welche Richtung ich mich einlesen muss =) Danke euch!Zitat von @CptnReynolds:
das Sophos RED macht nichts anderes, nur eben in "einfach und automatisiert". Korrekt so?
das Sophos RED macht nichts anderes, nur eben in "einfach und automatisiert". Korrekt so?
Wenn man es auf den Satz runterbrechen will ja. Sie bietet dir noch mehr Möglichkeiten, wie WLAN mitgeben und andere Geschichten, die du bei deinen Anforderungen hier nicht geschrieben hast, aber ja. Es sollte mit jedem VPN-Gateway funktionieren.
Jap eben. In meinem Anwendungsbereich meinte ich Danke nochmals!
Danke nochmals!