Tailscale VPN

unbelanglos
Goto Top
Ich bin vor ein paar Minuten auf Tailscale VPN aufmerksam geworden.

https://tailscale.com/

Ich bin mit ein paar Smartphone, Linux und Windows Server Mal schnell ins VPN gekoppelt über meinen Google und Microsoft Account.

Nun bin ich völlig geflasht und von den Socken wie leistungsfähig das ist und wie simpel es einfach nur funktioniert.
Besonders die eigene Domain "MagicDNS" mit dem eigenen Subnetz ist genial.

Dringende Empfehlung sich das anzugucken und das Potenzial zu verstehen.
Ich bereite morgen die Einführung im Konzern vor!

Content-Key: 3166658137

Url: https://administrator.de/contentid/3166658137

Ausgedruckt am: 19.08.2022 um 12:08 Uhr

Mitglied: C.R.S.
C.R.S. 24.06.2022 um 14:52:55 Uhr
Goto Top
Zitat von @unbelanglos:

Ich bin vor ein paar Minuten auf Tailscale VPN aufmerksam geworden.
...
Ich bereite morgen die Einführung im Konzern vor!

Der Ansatz kommt mir irgendwie bekannt vor.
Mitglied: unbelanglos
unbelanglos 24.06.2022 um 14:55:48 Uhr
Goto Top
Sind dir auch gleich unzählige Szenarien eingefallen?
Ich schicke morgen den Einkauf los, die Enterprise-Lizenz anzufragen.
Mitglied: unbelanglos
unbelanglos 24.06.2022 um 15:19:01 Uhr
Goto Top
PS C:\Program Files (x86)\Tailscale IPN> tailscale up --authkey tskey-geheim

Läuft so auch für Windows Server Core 2022. Ist in der Online-Doku nicht erwähnt.
Linux, wie dokumentiert, nach dem selben Prinzip.
Mitglied: unbelanglos
unbelanglos 24.06.2022 um 18:15:14 Uhr
Goto Top
Habe zwei Simatic HMI damit versehen und eine Servicefunktion für den Schichtleiter hinterlegt. Beim Drücken des Anforderungsknopfes geht das HMI "online" und der externe Programmierbetrieb bekommt seinen VPN Zugang aktiviert und er kann sich mit dem HMI verbinden, als wäre er im Werk.
Die API Möglichkeiten werden nächste Woche geprüft.
Mitglied: Visucius
Visucius 25.06.2022 um 06:15:00 Uhr
Goto Top
Der Ansatz kommt mir irgendwie bekannt vor.
Habe gerade nachgesehen ob @unbelanglos evtl. nen SPAM-Account ist 😁

Der Vollständigkeit halber hier noch ein Vergleich zu Zerotier - aus Tailscale-Sicht:
https://tailscale.com/kb/1139/tailscale-vs-zerotier/
Mitglied: unbelanglos
unbelanglos 25.06.2022 um 12:23:48 Uhr
Goto Top
Warum soll ich ein Spammer sein? Hast Du hier im Forum schon Mal einen Thread angeguckt, wenn die Admin zu Juristen werden und Verschwörungstheorien verbreiteten?
Mitglied: Visucius
Visucius 25.06.2022 um 12:38:30 Uhr
Goto Top
Nicht doch 😉

Ging eher um die Jubelperserei. Das kenne ich sonst nur von Gadgets die „im Sturm die Welt erobern“ und – selbstredend – Penis- bzw. Haarverlängerungen.
Mitglied: unbelanglos
unbelanglos 25.06.2022 um 13:05:21 Uhr
Goto Top
Die Software samt Konzept ist nun mal wirklich genial. Ich kannte diese nicht vorher und ärgere mich über den großen Aufwand, denn wir für SSL VPN betreiben, damit Hinz und Kunz sich zu uns verbinden kann. Wir haben über 4000 Zugänge im AD und davon sind seit 02.02.22 auch fast 1800 genutzt.

Die Betreuung des VPN bedarf mehr als eine Vollzeitstelle. Grund ist, dass die Externen überfordert sind mit VPN und Netzwerk und weil die noch einige andere VPN Clients haben.

Der Support hat gestern schon unsere Bedürfnisse aufgenommen und wir bauen die Software samt APIs aus.
Schwerpunkt liegt vorerst auf Authentifizierung.
Mitglied: Drohnald
Drohnald 25.06.2022 um 13:11:59 Uhr
Goto Top
Werd ich mir nächste Woche mal ansehen.
Aber ich muss zugeben:
Ich bin vor ein paar Minuten auf Tailscale VPN aufmerksam geworden.
und
Ich bereite morgen die Einführung im Konzern vor!
klang für mich auch nach "Schau mal, der absolute Heilsbringer, das Superfood aller VPNs!" und ich bin maximal skeptisch geworden.
Mitglied: Visucius
Visucius 25.06.2022 um 13:20:20 Uhr
Goto Top
Sag noch einer die Evaluierung sicherheitskritischer Infrastruktur würde in diesem Land ewig dauern 😂
Mitglied: C.R.S.
C.R.S. 25.06.2022 um 15:24:12 Uhr
Goto Top
Zitat von @unbelanglos:

Die Software samt Konzept ist nun mal wirklich genial.

Das schon, aber sie hat doch für den Anwender offenkundige Sicherheits- und Architektur-Implikationen, die geprüft und gegen Alternativen abgewogen werden müssen. In der Regel wird man in bestehenden, komplexeren Netzen zu anderen Lösungen kommen, etwa weil die nach taditionellen Architekturmodellen aufgesetzt sind und weiter entwickelt werden können, aber nicht 1:1 ersetzt, oder weil ein Mesh von Endgeräten den Sicherheitsanforderungen nicht genügt.
Mitglied: maretz
maretz 26.06.2022 aktualisiert um 17:14:29 Uhr
Goto Top
Whow - du hast es dir PRIVAT einen Tag angeguckt und willst es gleich mal im Betrieb einführen? Ganz neben der kleinen Tatsache das dein zentraler Server also dann von jemand unbekannten gestellt wird und du nur darauf HOFFST das der die zentrale Sicherheit für deine Firma so macht - natürlich kannst du auch schon Aussagen über Stabilität usw nach einem Tag treffen...

Jap - sauber organisierte IT-Leute sind doch was schönes...

Kleines Edit: Wenn solche Leute schwärmen - ich könnte dir auch für ca. 5000/E Monat ein VPN anbieten... muss halt nich stabil sein, dafür läufts aber auf grün-blauen Strom... Scheint ja bei dir nen bisserl blinki-blinki zu reichen um gleich ins Lob zu verfallen... Eigentlich solltest du im Marketing und nich in der IT arbeiten...
Mitglied: unbelanglos
unbelanglos 26.06.2022 um 21:33:40 Uhr
Goto Top
Du hast ganz offenbar nicht verstanden um was es geht.
Aber gut, der Clown von Freitag tritt auch Sonntag auf
Danke für die Vorstellung.
Mitglied: maretz
maretz 27.06.2022 um 07:25:50 Uhr
Goto Top
Zitat von @unbelanglos:

Du hast ganz offenbar nicht verstanden um was es geht.
Aber gut, der Clown von Freitag tritt auch Sonntag auf
Danke für die Vorstellung.

Nun - es mag sein das ich nicht verstanden habe worum es geht... Denn bei mir würde ich nicht mal ansatzweise auf die Idee kommen etwas so schnell für eine Einführung in einem "Konzern" vorzubereiten und eigentlich kann man für den Konzern nur hoffen das du gar nicht in der Position bist das zu entscheiden.

Whow - du hast nen paar Mobil-Geräte zusammengeschlossen. Ich bin fassungslos, sowas geht? Mit nem Provider der damit zumindest den zentralen Teil der Infrastruktur macht den du nicht kennst, bei dem du nicht weisst wie der deine Daten behandelt und - am ende - du nicht mal weisst wie dessen Infrastruktur wirklich ist (siehe anderer Thread mit nem Serverprovider der mal kurz ne Downtime hatte....). Ich mein, das ist wirklich was komplexes sowas zu bauen - so komplex das es selbst ne Fritzbox, OpenVPN oder nahezu jedes NAS heute schafft.

Und ja - es gibt ne eigene Domain... whooohooo... Ich zahle für meine Domain bestimmt 2-3 Euro PRO JAHR. Ein Kostenfaktor der für einen Konzern vermutlich kaum zu stemmen ist. Selbst zusammen mit meinem Server liege ich bei knapp über 30E/Monat (und das drüber nur weil die grad die Preise wg. Stromkosten etwas erhöht haben). Dafür hat man die Daten weiterhin in eigener Hand (wenn man jetzt mal annimmt das der Provider nicht mittels Boot-CD den Server hackt o.ä.).

Also - ich mag nicht verstanden haben worum es geht. Gut, aber ich denke zumindest im Bereich IT-Administration usw. scheinen bei dir noch einige Lücken auf zu sein...
Mitglied: Visucius
Visucius 27.06.2022 aktualisiert um 08:07:59 Uhr
Goto Top
Mit nem Provider der damit zumindest den zentralen Teil der Infrastruktur macht den du nicht kennst, bei dem du nicht weisst wie der deine Daten behandelt und - am ende - du nicht mal weisst wie dessen Infrastruktur wirklich ist

Naja, das lässt sich doch schnell klären! Einen Moment, raschel, raschel …. hüstl:

Tailscale - Toronto - Kanada - Five eyes Mitglied (das sind „die Guten“ - 4000 Meilen hinter den DSGVO-Bergen) 😉
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 09:05:43 Uhr
Goto Top
Zitat von @maretz:

Zitat von @unbelanglos:

Du hast ganz offenbar nicht verstanden um was es geht.
Aber gut, der Clown von Freitag tritt auch Sonntag auf
Danke für die Vorstellung.

Nun - es mag sein das ich nicht verstanden habe worum es geht... Denn bei mir würde ich nicht mal ansatzweise auf die Idee kommen etwas so schnell für eine Einführung in einem "Konzern" vorzubereiten und eigentlich kann man für den Konzern nur hoffen das du gar nicht in der Position bist das zu entscheiden.

Whow - du hast nen paar Mobil-Geräte zusammengeschlossen. Ich bin fassungslos, sowas geht? Mit nem Provider der damit zumindest den zentralen Teil der Infrastruktur macht den du nicht kennst, bei dem du nicht weisst wie der deine Daten behandelt und - am ende - du nicht mal weisst wie dessen Infrastruktur wirklich ist (siehe anderer Thread mit nem Serverprovider der mal kurz ne Downtime hatte....). Ich mein, das ist wirklich was komplexes sowas zu bauen - so komplex das es selbst ne Fritzbox, OpenVPN oder nahezu jedes NAS heute schafft.

Und ja - es gibt ne eigene Domain... whooohooo... Ich zahle für meine Domain bestimmt 2-3 Euro PRO JAHR. Ein Kostenfaktor der für einen Konzern vermutlich kaum zu stemmen ist. Selbst zusammen mit meinem Server liege ich bei knapp über 30E/Monat (und das drüber nur weil die grad die Preise wg. Stromkosten etwas erhöht haben). Dafür hat man die Daten weiterhin in eigener Hand (wenn man jetzt mal annimmt das der Provider nicht mittels Boot-CD den Server hackt o.ä.).

Also - ich mag nicht verstanden haben worum es geht. Gut, aber ich denke zumindest im Bereich IT-Administration usw. scheinen bei dir noch einige Lücken auf zu sein...

Hast Du schon Mal drüber nachgedacht dir Hilfe zu suchen?
Deine Vorstellung von Sicherheit hat eine enge Verbindung zu deiner Obsession, die wiederum scheint Krankheitswert Richtung Pseudologia phantastica zu haben.
Mitglied: unbelanglos
Lösung unbelanglos 27.06.2022 um 09:07:55 Uhr
Goto Top
Zitat von @Visucius:

Mit nem Provider der damit zumindest den zentralen Teil der Infrastruktur macht den du nicht kennst, bei dem du nicht weisst wie der deine Daten behandelt und - am ende - du nicht mal weisst wie dessen Infrastruktur wirklich ist

Naja, das lässt sich doch schnell klären! Einen Moment, raschel, raschel …. hüstl:

Tailscale - Toronto - Kanada - Five eyes Mitglied (das sind „die Guten“ - 4000 Meilen hinter den DSGVO-Bergen) 😉

Natürlich sind all die Kritikpunkte für die persönlich präferierten Hersteller bekannt, wahrhaftig und sicher.
Auch müssen sich die Geliebten nicht an deutsches Recht halten.

Ansonsten vielleicht auch Mal auf die Couch legen.
Mitglied: Visucius
Visucius 27.06.2022 aktualisiert um 11:22:20 Uhr
Goto Top
Das Ende klingt irgendwie nach ner Diskussion mit den besonders erweckten:
Mähh, der hat keine Gendersternchen benutzt -> Mit Na..is red ich nicht! 😂

PS: Ich sehe das prinzipiell sehr entspannt und bin da liberal. Jeder wie er will. Nur Dein Überschwang der Gefühle (mit den Konsequenzen für diesen "Konzern") scheint mir etwas "kurz gesprungen". Aber vielleicht muss das so in den heutigen Zeiten.

PPS: Letzte Woche lernte ich im besten Deutschland aller Zeiten(TM), dass ein Personal-Recruiter als Fileserver für die Kandidaten-Unterlagen ne Dropbox einsetzt. Man muss da heutzutage offenbar einfach mit der Zeit gehen ... 😁
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 11:52:52 Uhr
Goto Top
Der Konzern hat über 100.000 Mitarbeiter und gibt über 100 Millionen im Jahr für IT aus. Das nennt man Konzern.

Wenn wir eine neue Produktionen bauen, dann kommen aus der ganzen Welt neue Lieferanten, die alle Zugriff auf ihre Hardware brauchen. Wir haben versucht durchzusetzen, dass alle unseren SSL VPN Zugang nutzen. Nur in Deutschland, dessen Geschäft ich verantworte, haben wir über 4000 AD-gestützte Zugänge zu unseren Netzwerken. Wir könnten uns den Lieferanten gegenüber Prima durchsetzen, weil wir am Ende der Nahrungskette stehen und haben unterm Strich nur neue ABMs aufgemacht. Davon haben wir genug und ich will mein Personal nicht zum debuggen von VPN Problemen einsetzen.

Vor 10 Jahren gab es vielleicht 20 VPN Zugänge für eine Teilproduktion, heutzutage sind es hunderte. Selbst die Waschmaschine die die Bolzen wäscht und dann abkühlt bevor der Roboter just in time die verschraubt, hat eine dauerhafte IOT Funktion, weil die Teile auch in den USA auf der Straße landen und alles just in Time ist. Da muss dann jeder Diensthabende des Lieferanten ein VPN haben und wir möchten nur exklusive Nutzung des Zugangs, nicht in der Belegschaft.

Das Konzept von Tailscale eliminiert das grundlegende Problem, weil es erst gar nicht diese Büchse aufmacht, die die viele Arbeit verursacht.

Tailscale hat noch am Wochende auf unsere Fragen reagiert und grundsätzlich die Umsetzung zugesagt.
Wenn kommerzielles geklärt ist, der Chef meiner Einkaufssparte ist übrigens von der Qualifikation Volljurist, dann bauen wir unsere Bedürfnisse an SSO und API.

Im Moment, wenn es so klappt wie wir es uns vorstellen, dann sparen wir nicht nur Geld, was nicht der limitierende Faktor ist, sondern ich bekomme mein Personal zurück für neue Sachen und muss nicht über eine Stelle für VPN Themen im Helpdesks sich ständig wiederholende Themen opfern.

Ich muss auch immer wieder feststellen, dass hier von rechtlichen Aspekten geschwurbelt wird, ohne Sinn und Verstand. Ganz besonders, weil niemand weiß, welche rechtlichen Hürden wir weltweit täglich nehmen. Das ist echt schlimm und ausgeprägt in diesem Forum hier. Immer an der Grenze zum Verstoß gegen das Rechtsberatungsgesetz.

Wir haben IT Probleme, die mit der Größe der Unternehmung skalieren und sind auf neue Ideen aus, weil das Personal nicht mehr leisten kann.
Ich empfinde es gerade zu lächerlich für eine neue Sache eine Kontraposition einzunehmen nur weil man die Details nicht kennt oder kennen kann oder kennen will. Das beißt sich eigentlich mit dem Beruf eines IT-lers.
Man spinnt sich dann immer irgendetwas zurecht über Datenschutz und nicht vertrauenswürdig und gleichzeitig vertraut man einem nicht auditierten Lieferanten aus z. B. Litauen. Oder schwört auf Cisco, nach denen die meisten Schnittstellen und Funktionen benannt sind, die in der westlichen Welt als Abhörschnittstellen bekannt sind und bei jeweiligen LKA oder BKA münden.
Aber ein Anbieter, der die angloamerikanischen Hürden genommen hat, der ist dann per se nicht vertrauenswürdig, weil Schremm und EuGH? Sorry, das ist Querdenker-Niveau.
Ich glaube hier hat noch niemand sich in den USA oder Kanada eine Spezifikation geholt? In Deutschland korrigieren wir mit den Behörden die Anträge, dass die Genehmigungen erteilt werden in den USA sind zig Anwälte fällig.

Am bestens die Hälfte der Truppe hier wechselt den Beruf.
Mitglied: Visucius
Visucius 27.06.2022 um 12:43:14 Uhr
Goto Top
der ist dann per se nicht vertrauenswürdig,

Hat das jemand geschrieben? Es ging doch eher darum, wie schnell diese, Deine Entscheidung getroffen wurde.
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 12:59:45 Uhr
Goto Top
Zitat von @Visucius:

der ist dann per se nicht vertrauenswürdig,

Hat das jemand geschrieben? Es ging doch eher darum, wie schnell diese, Deine Entscheidung getroffen wurde.

Was soll ich jetzt lange zögern? Da wird ein Projekt draus gemacht und dann sehen wir weiter. Das Potential ist ja sehr groß und wir haben richtig Arbeit wegen VPN.
Mitglied: maretz
maretz 27.06.2022 um 13:45:59 Uhr
Goto Top
Oh - ich bin beeindruckt... Mit 100.000 Mitarbeitern... und über 100 Mio Euro/Jahr als Budget. Möchtest du versuchen noch mehr aus deiner Marketing-Schublade zu zaubern um wichtig rüberzukommen?

Grade in einem solchem Konzern sollte eigentlich die Sicherheit bei remote-zugriffen eine Rolle spielen. Und du wirst es nicht glauben - ich komme sogar aus einem Konzern bei dem sowas durchaus gemacht wurde.

Aber ganz ehrlich - deine Art zu argumentieren und hier jeden gleich mentale Probleme zu unterstellen lässt einiges auf dich schließen. Und auf dem Level WILL ich mit Leuten wie dir nicht wirklich reden. Du bist von deiner Lösung überzeugt - schön, viel Spass. Ändert nix daran das ein Konzern in der von dir genannten Grösse sogar _eigentlich_ wissen sollte das es da durchaus Angriffsgründe gibt und man somit zentrale Dinge nicht einfach komplett aus der Hand gibt ohne zu wissen was der Dienstleister da macht (und über Datenschutz usw. reden wir da gar nicht erst). Ich denke du wirst eh nur deine Meinung zulassen und bist grad ein wenig beleidigt weil deine ach-so-super-Lösung hier nicht in nem Forum von Leuten die sowas täglich machen jubelnd aufgenommen wurde (genauso wie vergleichbare Systeme wie NordVPN usw...). Und bevor du dich jetzt weinend in die Ecke stellst nimm halt die Lösung und viel Spass beim Umsetzen...
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 14:03:47 Uhr
Goto Top
Genau. Mentale Probleme. In diese Richtung geht es ganz klar, weil...

Du unterstellst und unterstellt und unterstellst, dabei gehst Du von deinem persönlichen Horizont aus.

Welche "Angriffsgründe" sollte es geben, die nicht bei jedem von Verfahren da sind?

Falls du es nicht verstanden hast, selbst die vollständige Kontrolle von Tailscale durch einen Dritten ist kein nennenswertes Risiko, weil Tailscale keine Authentifizierung macht. Prinzipbedingt nicht im Code vorhanden. Tailscale hat eine sehr interessante Interpretation von wireguard-basierten Mesh -VPN, dass eine gute Auswahl an Authentifizierungsprovidern hat. Der Code ist offensichtlich.
Anstatt du hier deine Diagnose auslebst, ließ dich in der Zeit das Repository und trage zur Steigerung der Qualität des Projektes bei. Oder geht es dir um was anderes?
Mitglied: maretz
maretz 27.06.2022 um 14:27:48 Uhr
Goto Top
Nun - du scheinst es nicht zu begreifen -> auf dem level der pers. Angriffe werde ich nicht weiter diskutieren. Das mag dein Level sein, das mag auch dein normaler Umgangston sein. Das kann und will ich nicht beurteilen. Eine Diskussion mit dir ist jedoch in dem Fall sinnlos.
Mitglied: Drohnald
Drohnald 27.06.2022 um 14:32:12 Uhr
Goto Top
Schade, man hätte hier quasi eine ausgiebige Risikoanalyse von Tailscale mit jede Menge unterschiedlicher Hintergründe und Erfahrungen machen können, eben weil die Hintergründe der Admins so unterschiedlich sind (vom Einzelkämpfer bis zum Großkonzernadmin).

Hätte mir gefallen und wäre sicher hilfreich gewesen. Dann halt nicht.
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 14:34:50 Uhr
Goto Top
Du hast doch bis jetzt nichts zur beigetragen, was einer Diskussion würdig ist.
Das Produkt und Konzept passt dir nicht. Okay, ich bin auch nicht ganz zufrieden.

Dann erfindest Du Märchen, als Argumente. Beschwerst dich aber über meine Gesprächsführung. Okay, ich beschwere mich auch:
Ich beschweren mich, dass pauschal mit Argumenten hantiert wird, die nach Sicherheit, Recht usw riechen sollen obwohl sie stinken.

Die Lösung wäre einfach, dass du das weiter machst, was du schon immer gemacht hast, vielleicht damit sogar erfolgreich warst. Vielleicht musst du dich dann an dem Punkt auch nicht mehr verändern und kannst deinem Umfeld deinen Blödsinn auftischen? Veränderung im Sinne von Weiterentwicklung.
Natürlich spielt der Glaube eine große Rolle dabei.
Ich glaube zum Beispiel, das Administratoren die nicht regelmäßig sich weiterentwickeln können keine guten Mitarbeiter sind. Besonders die nicht, die "Gründe" dafür haben.
Alles was neu ist ist böse. Cloud Böse, Zero irgendwas von böse... Alles nicht sicher. Kommt aus dem Ausland? Muss böse sein, überall arbeiten Geheimagenten die auf meine P0rn-Sammmlung aus sind.
Mitglied: C.R.S.
C.R.S. 27.06.2022 um 14:39:20 Uhr
Goto Top
Welches Problem genau löst denn nun Tailscale in dem Zusammenhang?

Die Externen müssen dann doch statt eures Clients Tailscale installieren, und ihr müsst weiterhin das Nutzer-/Zugangsprofil und Authentifizierungsmittel verwalten. Dem gegenüber steht, dass man es entweder wie beworben umsetzen kann, und damit den Blick der vorhandenen Netzwerksicherheit auf die Kommunikation zweier Endpunkte verliert, einer davon in diesem Fall extern. Oder man vermeidet das durch die Integration als Gateway und hat nichts gewonnen außer einen Lieferanten und Komplexität.
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 14:39:56 Uhr
Goto Top
Zitat von @Drohnald:

Schade, man hätte hier quasi eine ausgiebige Risikoanalyse von Tailscale mit jede Menge unterschiedlicher Hintergründe und Erfahrungen machen können, eben weil die Hintergründe der Admins so unterschiedlich sind (vom Einzelkämpfer bis zum Großkonzernadmin).

Hätte mir gefallen und wäre sicher hilfreich gewesen. Dann halt nicht.

Ja, gerne.
Wir haben bis jetzt keine Einwände.

Die Kommunikation wird sauber erkannt und ausgewertet.
Ein Behelfstask startet die Anwendung, öffnet das Gateway und stellt den Token zur Verfügung.
Unsere Problemuser, die bisher am Test teilgenommen haben, sind ohne Probleme online gekommen.
Wir konnten kleine Meshs erstellen zum gemeinsamen arbeiten und sind stand jetzt mit 11 Geräten im Test.

Die meisten Wünsche haben wir bezüglich der API bis jetzt zusammen getragen. Die Implementierung unsere Wünsche an die Authentifizierung will der Support noch im Juni zur Verfügung stellen.
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 14:52:59 Uhr
Goto Top
Zitat von @C.R.S.:

Welches Problem genau löst denn nun Tailscale in dem Zusammenhang?

Die Externen müssen dann doch statt eures Clients Tailscale installieren, und ihr müsst weiterhin das Nutzer-/Zugangsprofil und Authentifizierungsmittel verwalten. Dem gegenüber steht, dass man es entweder wie beworben umsetzen kann, und damit den Blick der vorhandenen Netzwerksicherheit auf die Kommunikation zweier Endpunkte verliert, einer davon in diesem Fall extern. Oder man vermeidet das durch die Integration als Gateway und hat nichts gewonnen außer einen Lieferanten und Komplexität.

Das Interface läuft sauber im Userpace und ist das im Moment am besten untersuchte am Markt. Die Qualität korreliert mit der Überschaubarkeit des Wireguard Codes.
Wir haben z. B. Regelmäßig das Problem, dass das installieren von Fritz!VPN nach unserem VPN Client zu Bluescreens führt. Andere Konstellation sind auch bekannt.

Wir verlieren auch nicht den Überblick, weil wir über alle Ebenen SSL DPI standardgemäß machen. Auf dem Weg nach draußen sind mindestens zwei echten Firewalls, je nach Endpunkt. Gesteuert wird das Ganze im Moment über REST.
Wenn die Anforderungen veröffentlicht ist, dann öffnet sich das Gateway für HTTPS und Power Automate generiert den Token für Teilnehmer. Leider mit der wirklich kümmerlichen API im Moment.
Mitglied: C.R.S.
C.R.S. 27.06.2022 um 15:17:49 Uhr
Goto Top
Zitat von @unbelanglos:

Wir verlieren auch nicht den Überblick, weil wir über alle Ebenen SSL DPI standardgemäß machen.

Wie übergebt ihr denn die Wireguard-Schlüssel an die DPI-Appliance?
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 15:28:40 Uhr
Goto Top
Der Schlüssel wird nicht übergeben. Ein Task im Sharepoint triggert das Management der Firewalls per REST und dann aktiviert die Firewall ein vorhandenes IP Objekt und einen IP Dienst (selbstdefinierte App). So kann die Verbindung ausgehend nach extern HTTPS machen.

Im Moment werden fast alle IT Selfservices über Sharepoint initiert, bis wir eine bessere Lösung haben. Also nie.

Power Automate hat einen Task der nach einer JSON guckt, wenn da eine Anforderung drin ist, kippt er diese in die TS API und bekommt den Token zurück, der zur Authentifizierung benötigt wird.
Mitglied: C.R.S.
C.R.S. 27.06.2022 um 16:16:18 Uhr
Goto Top
Zitat von @unbelanglos:

Der Schlüssel wird nicht übergeben. Ein Task im Sharepoint triggert das Management der Firewalls per REST und dann aktiviert die Firewall ein vorhandenes IP Objekt und einen IP Dienst (selbstdefinierte App). So kann die Verbindung ausgehend nach extern HTTPS machen.

Sie macht doch aber kein HTTPS, sondern Wireguard. Das müsste das "über alle Ebenen SSL DPI"-Konstrukt irgendwie entschlüsseln, um dann die Anwendungsverbindung zu entschlüsseln, um den Plain-Text-Traffic zwischen einem externen Client und z.B. dem HTTPS-Interface einer Maschinensteuerung zu sehen.
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 16:20:51 Uhr
Goto Top
Doch, TS macht HTTPS. Auf Wunsch oder Alternative.

Maschinensteuerung? SPS?
Da läuft die Software leider nicht.
Mitglied: Gentooist
Gentooist 29.06.2022 aktualisiert um 23:47:44 Uhr
Goto Top
Zitat von @unbelanglos:

Der Konzern hat über 100.000 Mitarbeiter und gibt über 100 Millionen im Jahr für IT aus. Das nennt man Konzern.

Ach sag bloß... und für das Geld können sie sich keine qualifizierteren Mitarbeiter als Dich leisten? Tschuldige, aber ich habe da so meine berechtigten Zweifel an dem, was du hier schreibst.

Ein Teil nur paar Minuten ansehen, damit rumspielen und dann schon in einem solchen Umfeld ausrollen? Wer's glaubt wird selig.
Mitglied: maretz
maretz 30.06.2022 um 17:33:09 Uhr
Goto Top
Zitat von @Gentooist:

Zitat von @unbelanglos:

Der Konzern hat über 100.000 Mitarbeiter und gibt über 100 Millionen im Jahr für IT aus. Das nennt man Konzern.

Ach sag bloß... und für das Geld können sie sich keine qualifizierteren Mitarbeiter als Dich leisten? Tschuldige, aber ich habe da so meine berechtigten Zweifel an dem, was du hier schreibst.

Ein Teil nur paar Minuten ansehen, damit rumspielen und dann schon in einem solchen Umfeld ausrollen? Wer's glaubt wird selig.

Oh - keine sorge, dann hast du jetzt auch Mentale Problem... scheint nämlich in dem Laden der normale Umgangston zu sein wenn man mal nicht gleich derselben Meinung ist. Da wird lieber auf pers. Ebene beleidigt als die eigene Ansicht zu überdenken...

Aber ganz ehrlich - lass die Diskussion mitm TO, es bringt nix. Er hat sein non-plus-ultra tool gefunden und jeder der da Zweifel hat is mind. Krank.. Es gibt halt Menschen die brauchen einfach nur seelische Streicheleinheiten. Also sagen wir einfach: Ja, du hast das super-geniale Tool gefunden, die Welt ist stolz auf dich und wenn es mehr wie dich gäbe würden die Probleme der Welt (Klimawandel, Krieg,...) bereits erledigt sein... So, nu kann er wieder schlafen...
Mitglied: C.R.S.
C.R.S. 30.06.2022 um 19:11:17 Uhr
Goto Top
Zitat von @Gentooist:

Zitat von @unbelanglos:

Der Konzern hat über 100.000 Mitarbeiter und gibt über 100 Millionen im Jahr für IT aus. Das nennt man Konzern.

Ach sag bloß... und für das Geld können sie sich keine qualifizierteren Mitarbeiter als Dich leisten? Tschuldige, aber ich habe da so meine berechtigten Zweifel an dem, was du hier schreibst.

Das ist leider alles völlig plausibel und keine Seltenheit. Natürlich sind aufgrund der Gehälter auf der operativen Ebene immer fähige Leute da, aber die kündigen innerlich, weil ihnen alle zwei Monate ein neues Tool vor die Füße geworfen wird, das sie integrieren sollen, und sie den entstehenden Infrastruktur-Wolpertinger jeden Tag sehen müssen.