Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec VPN Lancom Split Tunnel verhindern?

Mitglied: UnbekannterNR1

UnbekannterNR1 (Level 1) - Jetzt verbinden

26.06.2019 um 14:56 Uhr, 797 Aufrufe, 4 Kommentare

Hallo,
wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind hauptsächlich für VPN da, neben wenigen Festverbindungen stellen diese Router auch Einwahlzugänge für Mobile Devices (Android und Iphone) bereit.
Alle Verbindungen sind über IKeV2 realisiert die Einwahl und Verbindung funktioniert auch ohne Probleme. Geräte bekommen IP Adresse aus Lokalem Netzwerk und können richtig kommunizieren.
Allerdings nur Lokal was auch so gewollt ist, da wir online ausschließlich über einen Proxy Server gehen. Und der ist logischer weise auf mobilen Geräten nicht eingetragen.
Wir richten die mobilen Geräte noch von Hand ein, sind auch nur fünf bis sechs. Ein MDM habe ich bereits angedacht aber wie so üblich noch kein Geld dafür bekommen und auch noch kein Produkt im Sinn. Vorschläge sind willkommen.

Jetzt zur eigentlichen Frage basierend auf Sicherheitsbedenken. Kann ich irgendwie verhindern das die Benutzer in den VPN Einstellungen das Subnetz der Firma eintragen und so SplitTunneling aktivieren? Momentan ist es ja so, sobald die VPN geöffnet ist sind die quasi Geräte Offline. Dafür können Sie jetzt die Firmenmails abrufen. Aber sobald einer herausfindet das es möglich wäre beides gleichzeitig zu nutzen habe ich in kürzester Zeit fünf Geräte die als Bridge zum Internet fungieren und ein Smartphone ist ja doch eher nicht geeignet für eine Netzkopplung.
Schön wäre halt wenn der Router das irgendwie erkennen könnte, wenn das default Gateway nicht mehr auf Ihn zeigt und somit die VPN nicht zu Stande kommt. Ich habe auch schon so ziemlich alle Einstellungen durch Probiert und die Anleitungen im Internet sehen so ein Szenario einfach nicht vor.


Geräte sind ISG-1000 im vrrp Verbund.
Und die bedenken liegen halt darin das ggf. eine Schadsoftware gleichzeitig zugriff auf Internet und das Firmennetz hat. Und das könnte böse enden wie wir wissen.


Vielen Dank schon mal fürs Lesen.
Mitglied: aqui
26.06.2019 um 16:05 Uhr
Die Geräte der Benutzer beschränken sich auf iPhone und Android only ?
Bitte warten ..
Mitglied: UnbekannterNR1
26.06.2019 um 16:34 Uhr
Zitat von aqui:

Die Geräte der Benutzer beschränken sich auf iPhone und Android only ?

Jup in diesem Fall schon. Ipad ist auch dazwischen aber das sollte ja mit Iphone Identisch sein?!?
Bitte warten ..
Mitglied: tikayevent
26.06.2019 um 20:33 Uhr
Solange der Benutzer Zugriff auf die Konfiguration ist es eher schwierig. Auch wenn ich sehr massiv LANCOM bei uns einsetze, habe ich mich damals gegen die Benutzung für die Clientanbindung ausgesprochen. Das gesamte VPN-Subsystem von LANCOM ist für die Standortvernetzung ausgelegt, Client-VPN ist nur ein Abfallprodukt. Eine richtige Client-VPN-Lösung verfügt auch über eine Richtliniensystem mit Überwachung und Erzwingung.

Also entweder den Benutzern den Zugriff auf die Einstellungen wegnehmen, die Möglichkeit für den VPN-Zugriff ersatzlos streichen oder eine Alternative suchen. Bei uns läuft seit längerer Zeit eine Cisco ASA, um die Aufgabe, und nur die, zu übernehmen. Mehrere Versuche mit einer Fortigate haben nur bedingt funktioniert.
Bitte warten ..
Mitglied: FA-jka
26.06.2019 um 21:36 Uhr
Hallo,

kann man das nicht mit den Firewallregeln im LANCOM abfrühstücken?

Gruß,
Jörg
Bitte warten ..
Ähnliche Inhalte
Windows 10
IKEv2 Split Tunnel Probleme
gelöst Frage von MrPfiffWindows 106 Kommentare

Hallo Zusammen, ich habe leider ein sehr merkwürdiges Problem, mit dem IKEv2-VPN Tunnel, welches sich in Windows 10 1709, ...

Netzwerke
VPN-IPsec Lancom hinter Opnsense
Frage von dirkschwarzNetzwerke1 Kommentar

Guten Tag, versuche eine IPsec Verbindung mit einem Lancom-Router hinter einer Opnsense Firewall aufzubauen. Folgende Einstellungen habe ich in ...

Netzwerke
Ipsec VPN Tunnel RV110W - Bintec Be.IP
Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

LAN, WAN, Wireless

FortiGate VPN mit Apple FortiClient Version 6 (Split Tunnel)

Frage von K-ist-KLAN, WAN, Wireless7 Kommentare

Hallo, ich hab eine FortiGate 50E, wo VPN konfiguriert ist (IPSEC) Mit Windows FortiClient kann ich mich verbinden. Wenn ...

Neue Wissensbeiträge
Datenschutz
Datenschutzproblem?
Information von Penny.Cilin vor 1 TagDatenschutz5 Kommentare

Hallo, gerade im Heise Newsticker gefunden: Frage: Warum wurden die Akten nicht ordnungsgemäß gesichert bzw. aufbewahrt? Patientenakten sind 30 ...

Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 2 TagenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 3 TagenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 3 TagenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Heiß diskutierte Inhalte
Microsoft
Zugriffsprobleme Festplatte
Frage von MiMa89Microsoft40 Kommentare

Hallo Zusammen, ich hoffe Ihr könnt mir bei folgendem Problem helfen. Ich habe eine externe Festplatte die nicht mehr ...

Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!! VOL 2
Frage von MysticFoxDEMicrosoft19 Kommentare

Liebe Freunde der Präzision und der Norm, ich möchte in diesem Beitrag konstruktiv an den folgenden Vorgängerbeitrag anschliessen, der ...

SAN, NAS, DAS
Entscheidungshilfe Storage für Netzwerkupgrade
Frage von m-jelinskiSAN, NAS, DAS14 Kommentare

Hallo zusammen, unsere Server und Storage-Systeme sind nun 6 Jahre alt und überfällig ausgetauscht zu werden. Daher haben wir ...

Microsoft
USB-Ports sperren mit Software
Frage von trabajadorMicrosoft10 Kommentare

Hallo, gesucht wird eine Software, welche alle USB-Ports sperrt bis auf für Maus, Tastatur und einem Admin-USB-Stick. Verwendet wird ...