144612
16.06.2020
956
8
0
Hilfe mit stunnel und putty
Hallo,
Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.
Der Einsatz beim Kunden bringt zwei Nachteile mit sich: ich muss immer meinen
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,
da die Proxies beim Kunden in der Regel Lotus Notes blockieren.
Ausserdem haben die Firmenproxies die unschöne Eigenschaft, auch bestimmte
Seiten zu blockieren.
Also habe ich mir folgende Lösung ausgedacht: ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet. Nun
verbinde ich über den Firmenproxy die vmware mit dem Rootserver über stunnel
auf Port 443. So sieht der Firmenproxy einen etwas länglichen https Request,
wo er seine Nase nicht wirklich reinstecken kann. Über den stunnel mache ich
nun mit Putty eine SSH Verbindung, die mittels dynamischen Portforwardings als
tunnel fungiert. Für die Programme auf der vmware verhält sich dieser tunnel
wie ein Socks5 Proxy.
Dieses Konstrukt hat jetzt über ein Jahr lang perfekt funktioniert - bis
letzten Freitag. Das Replizieren mit Lotus Notes funktioniert noch. Ich kann
auch über den Tunnel eine ssh Verbindung zu einem anderen Rechner im Internet
aufbauen, aber der Browser funktioniert nicht mehr, weder Firefox noch Chrome.
Durch testen habe ich herausgefunden, dass ein Request bei der eingegebenen
Adresse gar nicht ankommt. Da ich an keiner Konfiguration etwas geändert habe
bin ich etwas ratlos. Ich habe sowohl auf der vmware als auch auf dem
rootserver den log level für stunnel und ssh hochgedreht. Richtig geholfen
hat mir das aber nicht.
Hat jemand eine Idee, wie ich hier systematisch vorgehen kann?
Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.
Der Einsatz beim Kunden bringt zwei Nachteile mit sich: ich muss immer meinen
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,
da die Proxies beim Kunden in der Regel Lotus Notes blockieren.
Ausserdem haben die Firmenproxies die unschöne Eigenschaft, auch bestimmte
Seiten zu blockieren.
Also habe ich mir folgende Lösung ausgedacht: ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet. Nun
verbinde ich über den Firmenproxy die vmware mit dem Rootserver über stunnel
auf Port 443. So sieht der Firmenproxy einen etwas länglichen https Request,
wo er seine Nase nicht wirklich reinstecken kann. Über den stunnel mache ich
nun mit Putty eine SSH Verbindung, die mittels dynamischen Portforwardings als
tunnel fungiert. Für die Programme auf der vmware verhält sich dieser tunnel
wie ein Socks5 Proxy.
Dieses Konstrukt hat jetzt über ein Jahr lang perfekt funktioniert - bis
letzten Freitag. Das Replizieren mit Lotus Notes funktioniert noch. Ich kann
auch über den Tunnel eine ssh Verbindung zu einem anderen Rechner im Internet
aufbauen, aber der Browser funktioniert nicht mehr, weder Firefox noch Chrome.
Durch testen habe ich herausgefunden, dass ein Request bei der eingegebenen
Adresse gar nicht ankommt. Da ich an keiner Konfiguration etwas geändert habe
bin ich etwas ratlos. Ich habe sowohl auf der vmware als auch auf dem
rootserver den log level für stunnel und ssh hochgedreht. Richtig geholfen
hat mir das aber nicht.
Hat jemand eine Idee, wie ich hier systematisch vorgehen kann?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 579488
Url: https://administrator.de/contentid/579488
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
OK
Wo ist da genau der Nachteil? Ein Notebook bei sich zu haben ist doch nun wirklich nichts ausßergewöhnliches.
Dann ist das so.
Dann ist das so.
Kurz gesagt: Du umgehst auf einem Notebook, das Dir der Kunde zur Verfügung stellt, die Sicherheitseinstellungen des Kundennetzwerkes. Wenn wir Dein Kunde wären, wärest Du nicht mehr unser Dienstleister.
Liebe Grüße
Erik
Zitat von @144612:
Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.
Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.
OK
Der Einsatz beim Kunden bringt zwei Nachteile mit sich: ich muss immer meinen
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,
Wo ist da genau der Nachteil? Ein Notebook bei sich zu haben ist doch nun wirklich nichts ausßergewöhnliches.
da die Proxies beim Kunden in der Regel Lotus Notes blockieren.
Dann ist das so.
Ausserdem haben die Firmenproxies die unschöne Eigenschaft, auch bestimmte
Seiten zu blockieren.
Seiten zu blockieren.
Dann ist das so.
Also habe ich mir folgende Lösung ausgedacht: ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet.
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet.
Kurz gesagt: Du umgehst auf einem Notebook, das Dir der Kunde zur Verfügung stellt, die Sicherheitseinstellungen des Kundennetzwerkes. Wenn wir Dein Kunde wären, wärest Du nicht mehr unser Dienstleister.
Liebe Grüße
Erik
Ja... fahre in deine Firma, räume deinen Schreibtisch aus und melde dich beim nächsten Arbeitsamt.
Sorry - deine Aussagen sind zum teil einfach schon blödsinnig falsch - und auch in keiner Weise für einen "Berater" der im Geschützten Bereich eines Kunden arbeitet zu verstehen.
a) Man kann in HTTPS nicht reingucken? Hast du ne Ahnung... Schau dir mal an was heutige Firewalls spielend nebenbei machen -> und du wirst merken wie schnell das geht. Und selbst wenn ich dann die Verbindung ggf. nicht erkennen kann würde es eben auffallen um zu erkennen das es eben KEIN https-Traffic ist. Und nebenbei - selbst wenn ich den Traffic nicht entschlüssele fällt es auf weil die Verbindungsdauer auf normalen http-Seiten eher nicht nen ganzen Tag is und auch nich ständig zu einer bestimmten IP (oder DNS-Namen). Das einzige was du also schaffst wäre das man eben nicht sehen kann WAS du überträgst - aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
b) Du hast extra dafür ein Laptop bekommen...Oh, whow, du musst es tragen... Frage doch mal in deiner Firma nach ob die dir nich nen Praktikanten mitgeben können der dir das Laptop trägt und ggf. auch noch den Ar... abwischt...
c) Ja, Firmen-Proxys blockieren auch Seiten. Das ist keine unschöne Eigenschaft, das nennt sich Firmen-Policy. Wenn es dir nicht passt - dann nimm halt keinen Auftrag bei den Kunden an ODER nimm halt deinen LTE-Stick...achso, nee, da musst du ja das ganze Laptop schleppen, welche Anforderung für einen Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...
Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...
Ganz ehrlich - wenn ich soviel Unsinn lese frage ich mich wirklich welche Anforderungen an Berater gestellt werden. Im Sinne des Kunden handeln kann ich ja schon mal ausschließen....
Sorry - deine Aussagen sind zum teil einfach schon blödsinnig falsch - und auch in keiner Weise für einen "Berater" der im Geschützten Bereich eines Kunden arbeitet zu verstehen.
a) Man kann in HTTPS nicht reingucken? Hast du ne Ahnung... Schau dir mal an was heutige Firewalls spielend nebenbei machen -> und du wirst merken wie schnell das geht. Und selbst wenn ich dann die Verbindung ggf. nicht erkennen kann würde es eben auffallen um zu erkennen das es eben KEIN https-Traffic ist. Und nebenbei - selbst wenn ich den Traffic nicht entschlüssele fällt es auf weil die Verbindungsdauer auf normalen http-Seiten eher nicht nen ganzen Tag is und auch nich ständig zu einer bestimmten IP (oder DNS-Namen). Das einzige was du also schaffst wäre das man eben nicht sehen kann WAS du überträgst - aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
b) Du hast extra dafür ein Laptop bekommen...Oh, whow, du musst es tragen... Frage doch mal in deiner Firma nach ob die dir nich nen Praktikanten mitgeben können der dir das Laptop trägt und ggf. auch noch den Ar... abwischt...
c) Ja, Firmen-Proxys blockieren auch Seiten. Das ist keine unschöne Eigenschaft, das nennt sich Firmen-Policy. Wenn es dir nicht passt - dann nimm halt keinen Auftrag bei den Kunden an ODER nimm halt deinen LTE-Stick...achso, nee, da musst du ja das ganze Laptop schleppen, welche Anforderung für einen Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...
Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...
Ganz ehrlich - wenn ich soviel Unsinn lese frage ich mich wirklich welche Anforderungen an Berater gestellt werden. Im Sinne des Kunden handeln kann ich ja schon mal ausschließen....
Die Grundmotivation kann ich schon verstehen. Im Kundenprojekt irgendwo auswärts sein, Woche für Woche mit der überfüllten Bahn (oft ohne Sitzplatz) an- und abreisen, dabei Hemden-/Anzugtasche, Rollkoffer und drei Laptops (Kundenlaptop, Firmenlaptop, privater Laptop) mitschleppen, kann schon die Frusttoleranz kitzeln. Schlimmstenfalls sind die Kunden- und Firmenlaptops auch noch irgendwelche 3kg+ Monstren (der private vielleicht auch, aber da ist man dann selbst schuld).
Soviel zur verständlichen Grundmotivation.
Die obige "Lösung" ist komplett für die Tonne. Interne Daten deiner Firma haben nix auf dem Kundenrechner zu suchen. Basta.
(Ob du dann auch noch irgendwelche Proxies umgehst/durchtunnelst ist da sogar eher vernachlässigbar...)
Je nachdem, für was für eine Beratungsklitsche er/sie unterwegs ist, kommt von den Tagessätzen nicht allzuviel beim eigentlichen Berater an.
Soviel zur verständlichen Grundmotivation.
Die obige "Lösung" ist komplett für die Tonne. Interne Daten deiner Firma haben nix auf dem Kundenrechner zu suchen. Basta.
(Ob du dann auch noch irgendwelche Proxies umgehst/durchtunnelst ist da sogar eher vernachlässigbar...)
Zitat von @maretz:
(...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Eine eher optimistische Annahme, dass da überhaupt jemand reinguckt (...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Je nachdem, für was für eine Beratungsklitsche er/sie unterwegs ist, kommt von den Tagessätzen nicht allzuviel beim eigentlichen Berater an.
Zitat von @maretz:
Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...
Da bin ich absolut deiner Meinung.Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...
Zitat von @ziqz00ma:
Die Grundmotivation kann ich schon verstehen. Im Kundenprojekt irgendwo auswärts sein, Woche für Woche mit der überfüllten Bahn (oft ohne Sitzplatz) an- und abreisen, dabei Hemden-/Anzugtasche, Rollkoffer und drei Laptops (Kundenlaptop, Firmenlaptop, privater Laptop) mitschleppen, kann schon die Frusttoleranz kitzeln. Schlimmstenfalls sind die Kunden- und Firmenlaptops auch noch irgendwelche 3kg+ Monstren (der private vielleicht auch, aber da ist man dann selbst schuld).
Die Grundmotivation kann ich schon verstehen. Im Kundenprojekt irgendwo auswärts sein, Woche für Woche mit der überfüllten Bahn (oft ohne Sitzplatz) an- und abreisen, dabei Hemden-/Anzugtasche, Rollkoffer und drei Laptops (Kundenlaptop, Firmenlaptop, privater Laptop) mitschleppen, kann schon die Frusttoleranz kitzeln. Schlimmstenfalls sind die Kunden- und Firmenlaptops auch noch irgendwelche 3kg+ Monstren (der private vielleicht auch, aber da ist man dann selbst schuld).
Nun - das habe ich selbst auch einige Jahre lang gemacht. Es gibt einige Hotels (u.a. Radisson am Flughafen Hamburg) an dem ich wirklich JEDES Zimmer kenne, vom normalen bis zur 3-Zimmer-Suite (genauso wie einige meiner ehemaligen Kollegen auch). Ich habe selbst jetzt noch genug Bonuspunkte + nen Hotelstatus obwohl ich seid über 2 Jahren nicht mehr da arbeite, bei Kollegen die noch da sind die könnten sich vermutlich mit den Bonuspunkten nicht nen Zimmer sondern mal das ganze Hotel für nen paar Tage nehmen ;). Und selbst jetzt bin ich - wenns nich grad nen Virus gäbe - einige Monate im Jahr unterwegs. Wer das nicht will - Augen auf bei der Berufswahl! Sorry, aber das ist kein Grund - idR. erfährt man schon beim ersten Gespräch wenn viel Reisetätigkeit enthalten ist... Wenn man das nicht will - fein, es gibt auch andere Jobs.
Soviel zur verständlichen Grundmotivation.
Deshalb der Vorschlag mit dem Arbeitsamt - wenn ihm/ihr das zu viel ist dann haben die beim Arbeitsamt da Fachkräfte die helfen können (wenn man nicht selbst nen neuen Job suchen kann/will).
Zitat von @maretz:
(...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Eine eher optimistische Annahme, dass da überhaupt jemand reinguckt (...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Wenn nicht ist die Firewall nur nen Durchlauferhitzer und kann auch ganz weggelassen werden. Aber selbst in der Wochenstatistik (die ja dann gerne an die IT per Mail geht) fällt es ggf. schon auf wenn "unbekannte" Server in den Top-10 sind. Und natürlich - es fällt nich am ersten Tag auf... Nur WENN es auffällt hat es eben Konsequenzen. Hier ist es dann ganz einfach: Da ganz offentsichtlich das Firmensystem umgangen werden kann geht das bis zu dem Punkt das man Systeme ausmachen muss um erst mal zu prüfen was passiert ist -> all das kann der Person in Rechnung gestellt werden. Ob die eigene Firma dann noch dahinter steht ist fraglich - und ob man bei einem Konstrukt wie hier angegeben noch von "leicht fahrlässig" sprechen kann halte ich auch für sehr unwahrscheinlich... D.h. die Person kann im dümmsten Fall privat vollständig haftbar sein - viel Spass...
Je nachdem, für was für eine Beratungsklitsche er/sie unterwegs ist, kommt von den Tagessätzen nicht allzuviel beim eigentlichen Berater an.
Was interessiert es den Kunden was beim Berater ankommt? Der sieht was er zahlt - fertig... Und wenn der Berater pro Tag nur 5 Stockhiebe bekommt - dumm verhandelt, nich das Kundenproblem.
Guten Morgen,
die Hauptfrage des TO war ja:
Ich gehe davon aus das nach den Ratschlägen klar geworden ist, das er sich eine andere Strategie einfallen lassen muss.
Der erste Weg wäre jetzt mit seiner IT Kontakt aufnehmen und ein Lösung finden mit der er, seine IT und auch die Kunden IT umgehen kann.
Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.
brammer
die Hauptfrage des TO war ja:
Hat jemand eine Idee, wie ich hier systematisch vorgehen kann?
Ich gehe davon aus das nach den Ratschlägen klar geworden ist, das er sich eine andere Strategie einfallen lassen muss.
Der erste Weg wäre jetzt mit seiner IT Kontakt aufnehmen und ein Lösung finden mit der er, seine IT und auch die Kunden IT umgehen kann.
Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.
brammer
Moin,
Vielleicht liegt das ja daran, dass er nicht mehr antworten kann, weil Firmen- und Kundennotebook mittlerweile eingezogen wurden. Dass es nicht mehr geht, spricht ja ganz gewaltig dafür, dass es jemand gemerkt hat.
Liebe Grüße
Erik
Zitat von @brammer:
Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.
Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.
Vielleicht liegt das ja daran, dass er nicht mehr antworten kann, weil Firmen- und Kundennotebook mittlerweile eingezogen wurden. Dass es nicht mehr geht, spricht ja ganz gewaltig dafür, dass es jemand gemerkt hat.
Liebe Grüße
Erik