18
Firmen VPN per VM sicher?
Hallo zusammen,
aktuell bin ich in Homeoffice.
Die VPN Software "Cisco Anyconnect" wurde in einer VM (mit Win 10) installiert und verbinde mich dort in das Firmennetzwerk.
Ich wollte nämlich mein Privaten PC von der Fimennetzwerk abschotten, dadurch laufe ich bestimmte gefahren nicht etc und privat bleibt privat.
Die Tatsache, dass ich im Homeoffice bin liegt an Corona. Die Firme konnte daher nicht in kürzester zeigt Laptops austellen etc.
Aber das stört mich halt nicht.
Wichtig ist, dass private von beruflichen abgeschottet wird.
Oder laufe ich trotzdem Gefahr, dass ich auf meinem Hauptsystem ins Fimennetz komme?
Es geht mir darum, das wenn ich eine Seite auf meinem Haupsystem öffnen, nicht über das Firmennetz routet.
Das sind die Netzwerkeinstellungen der VM:
aktuell bin ich in Homeoffice.
Die VPN Software "Cisco Anyconnect" wurde in einer VM (mit Win 10) installiert und verbinde mich dort in das Firmennetzwerk.
Ich wollte nämlich mein Privaten PC von der Fimennetzwerk abschotten, dadurch laufe ich bestimmte gefahren nicht etc und privat bleibt privat.
Die Tatsache, dass ich im Homeoffice bin liegt an Corona. Die Firme konnte daher nicht in kürzester zeigt Laptops austellen etc.
Aber das stört mich halt nicht.
Wichtig ist, dass private von beruflichen abgeschottet wird.
Oder laufe ich trotzdem Gefahr, dass ich auf meinem Hauptsystem ins Fimennetz komme?
Es geht mir darum, das wenn ich eine Seite auf meinem Haupsystem öffnen, nicht über das Firmennetz routet.
Das sind die Netzwerkeinstellungen der VM:
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 640121
Url: https://administrator.de/contentid/640121
Ausgedruckt am: 18.11.2024 um 07:11 Uhr
18 Kommentare
Neuester Kommentar
Welche Art von Bridge hast du eingestellt?
Die NEtzwerkeinstellung für die VM ist NAT.
Oderwas genau meinst du?
Oderwas genau meinst du?
Ich glaube, ich hab grad etwaws gepatzt! Ich bin davon ausgegangen, das du HyperV benutzt (weil du Windows geschrieben hattest, da denk ich automatisch als erstes an HyperV)
Wenns HyperV ist, erstellt der als aller erstes eine Virtual Bridge, die hat dann wiederrum verschiedene Modi (privat, shared) was dann steuert, ob deine VM den Host erreichen kann oder nicht. Du bräuchtest dann eine VM, die den Host nicht erreicht und ausschliesslich nur den VPN Port als Gateway nutzt.
Wenns HyperV ist, erstellt der als aller erstes eine Virtual Bridge, die hat dann wiederrum verschiedene Modi (privat, shared) was dann steuert, ob deine VM den Host erreichen kann oder nicht. Du bräuchtest dann eine VM, die den Host nicht erreicht und ausschliesslich nur den VPN Port als Gateway nutzt.
Wenn du meine Meinung zu dem Problem wissen willst: Die Firma soll dir einen Laptop zuschicken. Es ist nicht deine Pflicht, dass du Arbeitsmittel stellst. Ausserdem stellen sich da für die Firma Fragen bzgl. des Datenschutzes und der Konfigurationshoheit, des Versicherungsschutzes und der Haftung.
Das ist VMware Workstation oder?
Ja, VMWare Workstation 16 Player
versuch mal die ip deines host's von der vm aus anzupingen.
Wenn die öffentliche IP zwischen den zwei Vergleiche per wieistmeineip.de, dann ist du unterschiedlich.
Heißt es es läuft getrennt?
Heißt es es läuft getrennt?
das deutet drauf hin, das deine vm den vpn nutzt aber beantwortet noch nicht, ob host und vm sich erreichen
Unter ipconfig hat er zwei Netzwerkadapter.
Das eine wurde wahrscheinlich durch installieren der von Cisco AnyConnect VPN hinzugeführt.
Wenn ich diese IP anpinge auf den Hauptsystem dann ist sie nicht erreichbar.
Wenn ich die Ip aud dem anderen Adaper anpinge, dann kommt Zeitüberschreitung.
Das eine wurde wahrscheinlich durch installieren der von Cisco AnyConnect VPN hinzugeführt.
Wenn ich diese IP anpinge auf den Hauptsystem dann ist sie nicht erreichbar.
Wenn ich die Ip aud dem anderen Adaper anpinge, dann kommt Zeitüberschreitung.
bei aktivem vpn client oder wenn das vpn deaktiviert ist?
vpn clients verhalten sich meistens so, dass sie die netzwerkeinstellungen beim start so konfigurieren, dass sie sämtlichen datenverkehr über das vpn leiten. da du aber sicherheitsaspekte als motivation genannt hast, stellt sich die frage was passiert, wenn du deinen vpn client deaktivierst.
vpn clients verhalten sich meistens so, dass sie die netzwerkeinstellungen beim start so konfigurieren, dass sie sämtlichen datenverkehr über das vpn leiten. da du aber sicherheitsaspekte als motivation genannt hast, stellt sich die frage was passiert, wenn du deinen vpn client deaktivierst.
Nach dem lesen des Wiki-Eintrags denke ich, NAT ist soweit sicher:
...Der Gast bekommt eine IP in einem von VMware dafür eingerichteten privaten Netz, das sich vom physischen Netz des Hostrechners unterscheidet...
https://de.wikipedia.org/wiki/VMware_Workstation#Netzwerkkonfiguration
...Der Gast bekommt eine IP in einem von VMware dafür eingerichteten privaten Netz, das sich vom physischen Netz des Hostrechners unterscheidet...
https://de.wikipedia.org/wiki/VMware_Workstation#Netzwerkkonfiguration
Wenn ich VPN deaktivere, dann ist er per Ping erreichbar.
Es geht mir aber nur darum, dass sämtliche Internetaufrufe und Transationen, die ich auf meinem Hauptsystem ausführe, nicht übers Firmennetz geroutet wird.
Aber wenn du meinst, dass man den Hauptsystem und VM-System noch weiter einschränken soll, dann müsste sich die Netzwerkeinstellung
Bridge und Replicate physi. network connection state haben siehe Bild, oder?
Es geht mir aber nur darum, dass sämtliche Internetaufrufe und Transationen, die ich auf meinem Hauptsystem ausführe, nicht übers Firmennetz geroutet wird.
Aber wenn du meinst, dass man den Hauptsystem und VM-System noch weiter einschränken soll, dann müsste sich die Netzwerkeinstellung
Bridge und Replicate physi. network connection state haben siehe Bild, oder?
Welche Art von Bridge hast du eingestellt?
VPNs sind immer geroutet...tzzzWichtig ist, dass private von beruflichen abgeschottet wird.
Kleiner 20 Euro Router mit Firewall und schon ist dein privates Netz mit Frau und Kids vom Dienstlichen getrennt und du kannst ruhig schlafen. Eigentlich sollte deine Firma viel mehr Angst haben das über deine privaten Gadgets Viren und Verschlüsselungstrojaner aufs Firmennetz kommen und das lahmlegen...Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mit der richtigen HW in max. 20 Minuten erledigt.
Versteh mich da nicht falsch - meine Meinung zu deinem Problem ist, dass dein Arbeitgeber dir einen Rechner zur Verfügung stellen sollte.
Aber ich finde das Szenario, was du vorhast aus technischer Sicht recht interessant. Auch deshalb, weil ich mich selbst mit Virtuellen Maschinen beschäftige und da weiter Erfahrung sammeln will.
Solange du deinen Privatrechner nicht anweist, dass er in irgendeiner Form deine VM als Gateway benutzen soll (Routing) geht dein privater Netzwerkverkehr über deinen Router ins Internet und damit auch die HTTP(s) anfragen.
Ich glaube, ich hatte da dann doch was falsch Verstanden gehabt. Ich dachte du willst ausschließen, dass Bsp-weise deine NAS durch die VM nicht erreichbar ist oder so.
Bild? Welches Bild?
Aber ich finde das Szenario, was du vorhast aus technischer Sicht recht interessant. Auch deshalb, weil ich mich selbst mit Virtuellen Maschinen beschäftige und da weiter Erfahrung sammeln will.
Zitat von @DennisWeber:
Es geht mir aber nur darum, dass sämtliche Internetaufrufe und Transationen, die ich auf meinem Hauptsystem ausführe, nicht übers Firmennetz geroutet wird.
Es geht mir aber nur darum, dass sämtliche Internetaufrufe und Transationen, die ich auf meinem Hauptsystem ausführe, nicht übers Firmennetz geroutet wird.
Solange du deinen Privatrechner nicht anweist, dass er in irgendeiner Form deine VM als Gateway benutzen soll (Routing) geht dein privater Netzwerkverkehr über deinen Router ins Internet und damit auch die HTTP(s) anfragen.
Ich glaube, ich hatte da dann doch was falsch Verstanden gehabt. Ich dachte du willst ausschließen, dass Bsp-weise deine NAS durch die VM nicht erreichbar ist oder so.
Zitat von @DennisWeber:
Aber wenn du meinst, dass man den Hauptsystem und VM-System noch weiter einschränken soll, dann müsste sich die Netzwerkeinstellung
Bridge und Replicate physi. network connection state haben siehe Bild, oder?
Aber wenn du meinst, dass man den Hauptsystem und VM-System noch weiter einschränken soll, dann müsste sich die Netzwerkeinstellung
Bridge und Replicate physi. network connection state haben siehe Bild, oder?
Bild? Welches Bild?
Zitat von @aqui:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mit der richtigen HW in max. 20 Minuten erledigt.
Welche Art von Bridge hast du eingestellt?
VPNs sind immer geroutet...tzzzWichtig ist, dass private von beruflichen abgeschottet wird.
Kleiner 20 Euro Router mit Firewall und schon ist dein privates Netz mit Frau und Kids vom Dienstlichen getrennt und du kannst ruhig schlafen. Eigentlich sollte deine Firma viel mehr Angst haben das über deine privaten Gadgets Viren und Verschlüsselungstrojaner aufs Firmennetz kommen und das lahmlegen...Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mit der richtigen HW in max. 20 Minuten erledigt.
Das VPN ist wahrscheinlich geroutet, die virtual Bridge des Hypervisors aber nicht zwingend und die hatte ich hier gemeint. Wenn sich die Firma was emotet-mäßiges einfängt und er den VPN Client herunter fährt (und damit die Routingeinstellungen zurückgesetzt werden), wärend selbiges auf der VM wütet, könnte es zu einem interessant-unangenehmen Szenario führen. Das Szenario lässt sich auch umdrehen, man fängt sich privat was ein, es wütet in der VM und dann fährt man den VPN Client hoch.
Damit war das Bild oben in der Frage gemeint
Ah, ok. Danke.
Na was mich jetzt etwas wundert ist, dass im Wiki-Eintrag das VMWare NAT so geschildert wird, dass der Host nicht erreichbar sein dürfte, du aber geschrieben hattest, dass du den Host von der VM aus anpingen kannst, wenn das VPN abgeschaltet ist.
Das widerspricht sich woraus sich die Frage ergibt, wo der Fehler liegt. Den Wiki-Artikel muss ich erstmal so hinnehmen. Hast du von der Vm aus deinen Host angepingt (also den Rechner, auf dem die VM läuft)?
Na was mich jetzt etwas wundert ist, dass im Wiki-Eintrag das VMWare NAT so geschildert wird, dass der Host nicht erreichbar sein dürfte, du aber geschrieben hattest, dass du den Host von der VM aus anpingen kannst, wenn das VPN abgeschaltet ist.
Das widerspricht sich woraus sich die Frage ergibt, wo der Fehler liegt. Den Wiki-Artikel muss ich erstmal so hinnehmen. Hast du von der Vm aus deinen Host angepingt (also den Rechner, auf dem die VM läuft)?
