4
IPSec VPN Lancom Split Tunnel verhindern?
Hallo,
wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind hauptsächlich für VPN da, neben wenigen Festverbindungen stellen diese Router auch Einwahlzugänge für Mobile Devices (Android und Iphone) bereit.
Alle Verbindungen sind über IKeV2 realisiert die Einwahl und Verbindung funktioniert auch ohne Probleme. Geräte bekommen IP Adresse aus Lokalem Netzwerk und können richtig kommunizieren.
Allerdings nur Lokal was auch so gewollt ist, da wir online ausschließlich über einen Proxy Server gehen. Und der ist logischer weise auf mobilen Geräten nicht eingetragen.
Wir richten die mobilen Geräte noch von Hand ein, sind auch nur fünf bis sechs. Ein MDM habe ich bereits angedacht aber wie so üblich noch kein Geld dafür bekommen und auch noch kein Produkt im Sinn. Vorschläge sind willkommen.
Jetzt zur eigentlichen Frage basierend auf Sicherheitsbedenken. Kann ich irgendwie verhindern das die Benutzer in den VPN Einstellungen das Subnetz der Firma eintragen und so SplitTunneling aktivieren? Momentan ist es ja so, sobald die VPN geöffnet ist sind die quasi Geräte Offline. Dafür können Sie jetzt die Firmenmails abrufen. Aber sobald einer herausfindet das es möglich wäre beides gleichzeitig zu nutzen habe ich in kürzester Zeit fünf Geräte die als Bridge zum Internet fungieren und ein Smartphone ist ja doch eher nicht geeignet für eine Netzkopplung.
Schön wäre halt wenn der Router das irgendwie erkennen könnte, wenn das default Gateway nicht mehr auf Ihn zeigt und somit die VPN nicht zu Stande kommt. Ich habe auch schon so ziemlich alle Einstellungen durch Probiert und die Anleitungen im Internet sehen so ein Szenario einfach nicht vor.
Geräte sind ISG-1000 im vrrp Verbund.
Und die bedenken liegen halt darin das ggf. eine Schadsoftware gleichzeitig zugriff auf Internet und das Firmennetz hat. Und das könnte böse enden wie wir wissen.
Vielen Dank schon mal fürs Lesen.
wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind hauptsächlich für VPN da, neben wenigen Festverbindungen stellen diese Router auch Einwahlzugänge für Mobile Devices (Android und Iphone) bereit.
Alle Verbindungen sind über IKeV2 realisiert die Einwahl und Verbindung funktioniert auch ohne Probleme. Geräte bekommen IP Adresse aus Lokalem Netzwerk und können richtig kommunizieren.
Allerdings nur Lokal was auch so gewollt ist, da wir online ausschließlich über einen Proxy Server gehen. Und der ist logischer weise auf mobilen Geräten nicht eingetragen.
Wir richten die mobilen Geräte noch von Hand ein, sind auch nur fünf bis sechs. Ein MDM habe ich bereits angedacht aber wie so üblich noch kein Geld dafür bekommen und auch noch kein Produkt im Sinn. Vorschläge sind willkommen.
Jetzt zur eigentlichen Frage basierend auf Sicherheitsbedenken. Kann ich irgendwie verhindern das die Benutzer in den VPN Einstellungen das Subnetz der Firma eintragen und so SplitTunneling aktivieren? Momentan ist es ja so, sobald die VPN geöffnet ist sind die quasi Geräte Offline. Dafür können Sie jetzt die Firmenmails abrufen. Aber sobald einer herausfindet das es möglich wäre beides gleichzeitig zu nutzen habe ich in kürzester Zeit fünf Geräte die als Bridge zum Internet fungieren und ein Smartphone ist ja doch eher nicht geeignet für eine Netzkopplung.
Schön wäre halt wenn der Router das irgendwie erkennen könnte, wenn das default Gateway nicht mehr auf Ihn zeigt und somit die VPN nicht zu Stande kommt. Ich habe auch schon so ziemlich alle Einstellungen durch Probiert und die Anleitungen im Internet sehen so ein Szenario einfach nicht vor.
Geräte sind ISG-1000 im vrrp Verbund.
Und die bedenken liegen halt darin das ggf. eine Schadsoftware gleichzeitig zugriff auf Internet und das Firmennetz hat. Und das könnte böse enden wie wir wissen.
Vielen Dank schon mal fürs Lesen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 465728
Url: https://administrator.de/contentid/465728
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
Die Geräte der Benutzer beschränken sich auf iPhone und Android only ?
Jup in diesem Fall schon. Ipad ist auch dazwischen aber das sollte ja mit Iphone Identisch sein?!?
Solange der Benutzer Zugriff auf die Konfiguration ist es eher schwierig. Auch wenn ich sehr massiv LANCOM bei uns einsetze, habe ich mich damals gegen die Benutzung für die Clientanbindung ausgesprochen. Das gesamte VPN-Subsystem von LANCOM ist für die Standortvernetzung ausgelegt, Client-VPN ist nur ein Abfallprodukt. Eine richtige Client-VPN-Lösung verfügt auch über eine Richtliniensystem mit Überwachung und Erzwingung.
Also entweder den Benutzern den Zugriff auf die Einstellungen wegnehmen, die Möglichkeit für den VPN-Zugriff ersatzlos streichen oder eine Alternative suchen. Bei uns läuft seit längerer Zeit eine Cisco ASA, um die Aufgabe, und nur die, zu übernehmen. Mehrere Versuche mit einer Fortigate haben nur bedingt funktioniert.
Also entweder den Benutzern den Zugriff auf die Einstellungen wegnehmen, die Möglichkeit für den VPN-Zugriff ersatzlos streichen oder eine Alternative suchen. Bei uns läuft seit längerer Zeit eine Cisco ASA, um die Aufgabe, und nur die, zu übernehmen. Mehrere Versuche mit einer Fortigate haben nur bedingt funktioniert.
Hallo,
kann man das nicht mit den Firewallregeln im LANCOM abfrühstücken?
Gruß,
Jörg
kann man das nicht mit den Firewallregeln im LANCOM abfrühstücken?
Gruß,
Jörg
