media0815
Goto Top

Fortigate VPN Verbindung von anderem Rechner aus initiieren

Hallo,
folgendes Szenario:
- Ein Mitarbeiter sitzt im Homeoffice und arbeitet (hoffentlich).
- Wenn er eine Software verwenden will, wofür interner Netzwerkzugriff notwendig ist, verbindet er sich bei Bedarf über einen Fortigate VPN Client mit Username + Passwort + 2FA (Email Token an separate, nur hierfür verwendete Emailadresse, die nur auf seinem Smartphone hinterlegt ist).

Das funktioniert soweit gut.

Nun möchte ich gerne als Admin die Möglichkeit haben, von meinem Rechner aus, die VPN Verbindung am Laptop des Kollegen zu initiieren. Und den 2FA-Token einzugeben (auf den ich bereits Zugriff habe).

Sinn der Sache ist, dass ich gerne eine Remotedesktopsitzung initiieren will, auch wenn der Kollege gerade nicht am Rechner sitzt, zum Beispiel Abends.

Also es wäre spannend, ob euch hier irgendeine Möglichkeit einfällt, das Umzusetzen. Ein Herstellen der VPN-Verbindung nur bei Bedarf und mit Email-2FA-Token würde ich gerne beibehalten.

[Hintergrund:
Wir waren gerade dabei, hierfür anydesk auszurollen, als der aktuelle Hack publik wurde. Haben das dann sofort wieder von allen Maschinen runter geworfen. Daher hab ich jetzt wirklich keine Lust mehr auf Anydesk, Teamviewer und Co!]

Content-Key: 21821912584

Url: https://administrator.de/contentid/21821912584

Printed on: May 21, 2024 at 20:05 o'clock

Member: aqui
aqui Feb 09, 2024 at 11:29:29 (UTC)
Goto Top
Member: chgorges
chgorges Feb 09, 2024 at 12:23:30 (UTC)
Goto Top
Rustdesk mit eigenem Vermittlungsserver ist dann wohl die beste Alternative.
Member: Franz-Josef-II
Franz-Josef-II Feb 09, 2024 updated at 12:28:40 (UTC)
Goto Top
Hello

Du willst Dich also irgendwie per rdp aud den Laptop schmeißen und von dort per vpn in die Firma?

Du von zuhause vielleicht noch ungesichert über rdp auf den Laptop und von dort .....? oder:
Du von der Firma aus per irgendwas auf den Laptop und von dort die vpn-Verbindung aufbauen, damit Du am ....?

Hat der Kollege eine fixe oder eine wechselnde WAN-IP?

Was auch denkbar wäre: Die vpn Verbindung wird bei jedem Abmelden bzw Neustart aufgebaut, der User kann sie aber deaktivieren. Somit ist sie "bei Bedarf" und Du kannst, wenn der Rechner im Leerlauf ist, von der Firma aus auch drauf ..... außer er ist abgedreht oder zumindest abgesteckt ­čśŐ
Member: Deepsys
Deepsys Feb 09, 2024 at 12:30:52 (UTC)
Goto Top
Hi,

ich denke du bist hier auf einem falschen Weg und solltest eher mal in Richtung Softwareverteilung gucken.
Vermutlich läuft es auf Software Updates heraus, oder?

Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.
Alles andere geht auch in der Arbeitszeit.

Das wird eh nicht funktionieren wenn das Notebook heruntergefahren ist face-wink

VG
Deepsys
Member: Franz-Josef-II
Franz-Josef-II Feb 09, 2024 updated at 12:40:01 (UTC)
Goto Top
Hello
Zitat von @Deepsys:
Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.

Ich auch nicht, ist aber nicht mein Problem, er wird schon wissen warum er das will.

Zitat von @Deepsys:
Alles andere geht auch in der Arbeitszeit.

Nicht wenn das Ding gerade in Verwendung ist.

Zitat von @Deepsys:
Das wird eh nicht funktionieren wenn das Notebook heruntergefahren ist face-wink

.... oder wenn es gerade die WAN-IP gewechselt hat. Wenn der Kollege gerade in der Karibik am Strand liegt .... ­čśé
Member: media0815
media0815 Feb 09, 2024 updated at 17:16:35 (UTC)
Goto Top
Danke für eure Antworten!

Außerhalb der Arbeitszeit, weil ich a) die Kollegen nicht bei der arbeit stören will und b) Arbeite ich normalerweise eh Abends / Nachts, aus persönlicher Präferenz.

Kreativ Gedacht / frei gesponnen, hatte ich in folgende Richtung gedacht:
  • Wenn die VPN-Verbindung aufgebaut werden soll, schicke ich ein (verschlüsseltes) Email oder eine Chatnachricht oder ähnliches an den Computer des Kollegen.
  • Das Email enthält username und pw zum Herstellen der VPN-Verbindung.
  • Ein kleines programm auf dem Rechner des Kollegen liest dieses aus und startet den Fortigate client, fügt username und PW ein und drückt auf Verbinden.
  • (Alternativ könnte VPN-user und PW auch nur lokal beim Kollegen gespeichert sein, so dass lediglich ein Befehl "stelle VPN-Verbindung her" übermittelt werden muss.)
  • Ich rufe nun auf meiner Seite den 2FA-Token ab und sende ein zweites Mail mit dem Token hinterher.
  • Das Programm fügt auch den Token ein und bestätigt. Und siehe da, die VPN-Verbindung steht. Ich kann dann ab sofort per Windows Remotedesktop weiter machen.

Klingt das wirklich so völlig abwegig?

Vorteil:
- VPN-Verbindung wird nach wie vor nur bei Bedarf aufgebaut.
- Ich würde das als ziemlich sicher ansehen (auch gegen Man-in-the-middle), insbesondere wenn VPN-user und PW lokal auf dem Rechner gespeichert sind, also nicht mit verschickt werden oder ein zusätzliches Client-Zertifikat verwendet wird.
- ohne 2FA-Token kann niemand die Verbindugn aufbauen.

Meine Hoffnung war, dass es da ein tool dafür geben könnte oder dass man sowas scripten kann mit Powershell / Batch oder so. Aber vermutlich ist der Empfang des Signals /Auslösen der Aktion hier die Herausforderung...
Member: niraxx
niraxx Feb 10, 2024 at 08:50:16 (UTC)
Goto Top
Das hört sich ziemlich komplex an in der Umsetzung.
Hat der Mitarbeiter vielleicht einen Router mit VPN Funktion zu Hause rumstehen? Dann könntest du dich bei Bedarf dort einwählen und dann wieder per RDP auf den Rechner
Member: Franz-Josef-II
Franz-Josef-II Feb 10, 2024 at 14:54:44 (UTC)
Goto Top
Der Rechner muß eh laufen, somit kann auch der Forticlient ......
Member: ARaction
ARaction Mar 03, 2024 at 01:17:26 (UTC)
Goto Top
Hallo Zusammen,
wir haben vor kurzem genau für diesen Zweck eine kleines Open Source Programm geschrieben:

https://github.com/ar-ml/VPNremoteSignup

Ich freue mich, wenn jemand Interesse hat, sich das anzuschauen / zu testen und Feedback zu geben!