media0815
Goto Top

Fortigate VPN Verbindung von anderem Rechner aus initiieren

Hallo,
folgendes Szenario:
- Ein Mitarbeiter sitzt im Homeoffice und arbeitet (hoffentlich).
- Wenn er eine Software verwenden will, wofür interner Netzwerkzugriff notwendig ist, verbindet er sich bei Bedarf über einen Fortigate VPN Client mit Username + Passwort + 2FA (Email Token an separate, nur hierfür verwendete Emailadresse, die nur auf seinem Smartphone hinterlegt ist).

Das funktioniert soweit gut.

Nun möchte ich gerne als Admin die Möglichkeit haben, von meinem Rechner aus, die VPN Verbindung am Laptop des Kollegen zu initiieren. Und den 2FA-Token einzugeben (auf den ich bereits Zugriff habe).

Sinn der Sache ist, dass ich gerne eine Remotedesktopsitzung initiieren will, auch wenn der Kollege gerade nicht am Rechner sitzt, zum Beispiel Abends.

Also es wäre spannend, ob euch hier irgendeine Möglichkeit einfällt, das Umzusetzen. Ein Herstellen der VPN-Verbindung nur bei Bedarf und mit Email-2FA-Token würde ich gerne beibehalten.

[Hintergrund:
Wir waren gerade dabei, hierfür anydesk auszurollen, als der aktuelle Hack publik wurde. Haben das dann sofort wieder von allen Maschinen runter geworfen. Daher hab ich jetzt wirklich keine Lust mehr auf Anydesk, Teamviewer und Co!]

Content-ID: 21821912584

Url: https://administrator.de/forum/fortigate-vpn-verbindung-von-anderem-rechner-aus-initiieren-21821912584.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

aqui
aqui 09.02.2024 um 12:29:29 Uhr
Goto Top
chgorges
chgorges 09.02.2024 um 13:23:30 Uhr
Goto Top
Rustdesk mit eigenem Vermittlungsserver ist dann wohl die beste Alternative.
Franz-Josef-II
Franz-Josef-II 09.02.2024 aktualisiert um 13:28:40 Uhr
Goto Top
Hello

Du willst Dich also irgendwie per rdp aud den Laptop schmeißen und von dort per vpn in die Firma?

Du von zuhause vielleicht noch ungesichert über rdp auf den Laptop und von dort .....? oder:
Du von der Firma aus per irgendwas auf den Laptop und von dort die vpn-Verbindung aufbauen, damit Du am ....?

Hat der Kollege eine fixe oder eine wechselnde WAN-IP?

Was auch denkbar wäre: Die vpn Verbindung wird bei jedem Abmelden bzw Neustart aufgebaut, der User kann sie aber deaktivieren. Somit ist sie "bei Bedarf" und Du kannst, wenn der Rechner im Leerlauf ist, von der Firma aus auch drauf ..... außer er ist abgedreht oder zumindest abgesteckt 😊
Deepsys
Deepsys 09.02.2024 um 13:30:52 Uhr
Goto Top
Hi,

ich denke du bist hier auf einem falschen Weg und solltest eher mal in Richtung Softwareverteilung gucken.
Vermutlich läuft es auf Software Updates heraus, oder?

Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.
Alles andere geht auch in der Arbeitszeit.

Das wird eh nicht funktionieren wenn das Notebook heruntergefahren ist face-wink

VG
Deepsys
Franz-Josef-II
Franz-Josef-II 09.02.2024 aktualisiert um 13:40:01 Uhr
Goto Top
Hello
Zitat von @Deepsys:
Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.

Ich auch nicht, ist aber nicht mein Problem, er wird schon wissen warum er das will.

Zitat von @Deepsys:
Alles andere geht auch in der Arbeitszeit.

Nicht wenn das Ding gerade in Verwendung ist.

Zitat von @Deepsys:
Das wird eh nicht funktionieren wenn das Notebook heruntergefahren ist face-wink

.... oder wenn es gerade die WAN-IP gewechselt hat. Wenn der Kollege gerade in der Karibik am Strand liegt .... 😂
media0815
media0815 09.02.2024 aktualisiert um 18:16:35 Uhr
Goto Top
Danke für eure Antworten!

Außerhalb der Arbeitszeit, weil ich a) die Kollegen nicht bei der arbeit stören will und b) Arbeite ich normalerweise eh Abends / Nachts, aus persönlicher Präferenz.

Kreativ Gedacht / frei gesponnen, hatte ich in folgende Richtung gedacht:
  • Wenn die VPN-Verbindung aufgebaut werden soll, schicke ich ein (verschlüsseltes) Email oder eine Chatnachricht oder ähnliches an den Computer des Kollegen.
  • Das Email enthält username und pw zum Herstellen der VPN-Verbindung.
  • Ein kleines programm auf dem Rechner des Kollegen liest dieses aus und startet den Fortigate client, fügt username und PW ein und drückt auf Verbinden.
  • (Alternativ könnte VPN-user und PW auch nur lokal beim Kollegen gespeichert sein, so dass lediglich ein Befehl "stelle VPN-Verbindung her" übermittelt werden muss.)
  • Ich rufe nun auf meiner Seite den 2FA-Token ab und sende ein zweites Mail mit dem Token hinterher.
  • Das Programm fügt auch den Token ein und bestätigt. Und siehe da, die VPN-Verbindung steht. Ich kann dann ab sofort per Windows Remotedesktop weiter machen.

Klingt das wirklich so völlig abwegig?

Vorteil:
- VPN-Verbindung wird nach wie vor nur bei Bedarf aufgebaut.
- Ich würde das als ziemlich sicher ansehen (auch gegen Man-in-the-middle), insbesondere wenn VPN-user und PW lokal auf dem Rechner gespeichert sind, also nicht mit verschickt werden oder ein zusätzliches Client-Zertifikat verwendet wird.
- ohne 2FA-Token kann niemand die Verbindugn aufbauen.

Meine Hoffnung war, dass es da ein tool dafür geben könnte oder dass man sowas scripten kann mit Powershell / Batch oder so. Aber vermutlich ist der Empfang des Signals /Auslösen der Aktion hier die Herausforderung...
niraxx
niraxx 10.02.2024 um 09:50:16 Uhr
Goto Top
Das hört sich ziemlich komplex an in der Umsetzung.
Hat der Mitarbeiter vielleicht einen Router mit VPN Funktion zu Hause rumstehen? Dann könntest du dich bei Bedarf dort einwählen und dann wieder per RDP auf den Rechner
Franz-Josef-II
Franz-Josef-II 10.02.2024 um 15:54:44 Uhr
Goto Top
Der Rechner muß eh laufen, somit kann auch der Forticlient ......
ARaction
ARaction 03.03.2024 um 02:17:26 Uhr
Goto Top
Hallo Zusammen,
wir haben vor kurzem genau für diesen Zweck eine kleines Open Source Programm geschrieben:

https://github.com/ar-ml/VPNremoteSignup

Ich freue mich, wenn jemand Interesse hat, sich das anzuschauen / zu testen und Feedback zu geben!