Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec VPN Lancom Split Tunnel verhindern?

Mitglied: UnbekannterNR1

UnbekannterNR1 (Level 1) - Jetzt verbinden

26.06.2019 um 14:56 Uhr, 209 Aufrufe, 4 Kommentare

Hallo,
wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind hauptsächlich für VPN da, neben wenigen Festverbindungen stellen diese Router auch Einwahlzugänge für Mobile Devices (Android und Iphone) bereit.
Alle Verbindungen sind über IKeV2 realisiert die Einwahl und Verbindung funktioniert auch ohne Probleme. Geräte bekommen IP Adresse aus Lokalem Netzwerk und können richtig kommunizieren.
Allerdings nur Lokal was auch so gewollt ist, da wir online ausschließlich über einen Proxy Server gehen. Und der ist logischer weise auf mobilen Geräten nicht eingetragen.
Wir richten die mobilen Geräte noch von Hand ein, sind auch nur fünf bis sechs. Ein MDM habe ich bereits angedacht aber wie so üblich noch kein Geld dafür bekommen und auch noch kein Produkt im Sinn. Vorschläge sind willkommen.

Jetzt zur eigentlichen Frage basierend auf Sicherheitsbedenken. Kann ich irgendwie verhindern das die Benutzer in den VPN Einstellungen das Subnetz der Firma eintragen und so SplitTunneling aktivieren? Momentan ist es ja so, sobald die VPN geöffnet ist sind die quasi Geräte Offline. Dafür können Sie jetzt die Firmenmails abrufen. Aber sobald einer herausfindet das es möglich wäre beides gleichzeitig zu nutzen habe ich in kürzester Zeit fünf Geräte die als Bridge zum Internet fungieren und ein Smartphone ist ja doch eher nicht geeignet für eine Netzkopplung.
Schön wäre halt wenn der Router das irgendwie erkennen könnte, wenn das default Gateway nicht mehr auf Ihn zeigt und somit die VPN nicht zu Stande kommt. Ich habe auch schon so ziemlich alle Einstellungen durch Probiert und die Anleitungen im Internet sehen so ein Szenario einfach nicht vor.


Geräte sind ISG-1000 im vrrp Verbund.
Und die bedenken liegen halt darin das ggf. eine Schadsoftware gleichzeitig zugriff auf Internet und das Firmennetz hat. Und das könnte böse enden wie wir wissen.


Vielen Dank schon mal fürs Lesen.
Mitglied: aqui
26.06.2019 um 16:05 Uhr
Die Geräte der Benutzer beschränken sich auf iPhone und Android only ?
Bitte warten ..
Mitglied: UnbekannterNR1
26.06.2019 um 16:34 Uhr
Zitat von aqui:

Die Geräte der Benutzer beschränken sich auf iPhone und Android only ?

Jup in diesem Fall schon. Ipad ist auch dazwischen aber das sollte ja mit Iphone Identisch sein?!?
Bitte warten ..
Mitglied: tikayevent
26.06.2019 um 20:33 Uhr
Solange der Benutzer Zugriff auf die Konfiguration ist es eher schwierig. Auch wenn ich sehr massiv LANCOM bei uns einsetze, habe ich mich damals gegen die Benutzung für die Clientanbindung ausgesprochen. Das gesamte VPN-Subsystem von LANCOM ist für die Standortvernetzung ausgelegt, Client-VPN ist nur ein Abfallprodukt. Eine richtige Client-VPN-Lösung verfügt auch über eine Richtliniensystem mit Überwachung und Erzwingung.

Also entweder den Benutzern den Zugriff auf die Einstellungen wegnehmen, die Möglichkeit für den VPN-Zugriff ersatzlos streichen oder eine Alternative suchen. Bei uns läuft seit längerer Zeit eine Cisco ASA, um die Aufgabe, und nur die, zu übernehmen. Mehrere Versuche mit einer Fortigate haben nur bedingt funktioniert.
Bitte warten ..
Mitglied: FA-jka
26.06.2019 um 21:36 Uhr
Hallo,

kann man das nicht mit den Firewallregeln im LANCOM abfrühstücken?

Gruß,
Jörg
Bitte warten ..
Ähnliche Inhalte
Windows 10
IKEv2 Split Tunnel Probleme
gelöst Frage von MrPfiffWindows 106 Kommentare

Hallo Zusammen, ich habe leider ein sehr merkwürdiges Problem, mit dem IKEv2-VPN Tunnel, welches sich in Windows 10 1709, ...

Netzwerke
Ipsec VPN Tunnel RV110W - Bintec Be.IP
Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

LAN, WAN, Wireless

FortiGate VPN mit Apple FortiClient Version 6 (Split Tunnel)

Frage von K-ist-KLAN, WAN, Wireless7 Kommentare

Hallo, ich hab eine FortiGate 50E, wo VPN konfiguriert ist (IPSEC) Mit Windows FortiClient kann ich mich verbinden. Wenn ...

Router & Routing

Routingproblem IPsec Tunnel

gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

Neue Wissensbeiträge
Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 1 TagWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 2 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 3 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 4 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server34 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android25 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Netzwerkgrundlagen
Neue Serverumgebung von 0 aufbauen
Frage von JacareNetzwerkgrundlagen19 Kommentare

Hallo zusammen, ich bin noch nicht lange hier und weiß nicht, ob meine Frage daher etwas ungewöhnlich ist. Ich ...

Windows Server
Verbindunsproblem zwischen Klient und Wsus-Server
Frage von flashgordon78Windows Server16 Kommentare

Liebe Forum Besucher! Ich habe ein Wsus_Server (Win Server 2016) erstellt und die Update sind herunterladen worden. Aber ich ...