12
VPN Tunnel umgehen - Split-Tunnelig - mit Cisco
Hallo zusammen,
mein Kollege benutzt einen Cisco VPN Client um sich mit dem Netzwerk einer anderen Firma zu verbinden. Leider wird dort alles nach "Draußen" geblockt, somit kanner zu dem Zeitpunkt nicht mal seine Mails checken.
Betriebssystem: Win XP
Die Proxy-Einstellung im IE hat er schon getestet, und es ging angeblich nicht.
Den Haken bei "allow local LAN access" hatte er ebenfalls schon mal gesetzt (hierzu muss auf der Gegenseite Split-Tunneling ebenfalls erlaubt sein habe ich gelesen?!).
Habt ihr noch eine Idee?
Grüße
Stefan
mein Kollege benutzt einen Cisco VPN Client um sich mit dem Netzwerk einer anderen Firma zu verbinden. Leider wird dort alles nach "Draußen" geblockt, somit kanner zu dem Zeitpunkt nicht mal seine Mails checken.
Betriebssystem: Win XP
Die Proxy-Einstellung im IE hat er schon getestet, und es ging angeblich nicht.
Den Haken bei "allow local LAN access" hatte er ebenfalls schon mal gesetzt (hierzu muss auf der Gegenseite Split-Tunneling ebenfalls erlaubt sein habe ich gelesen?!).
Habt ihr noch eine Idee?
Grüße
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144337
Url: https://administrator.de/contentid/144337
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
12 Kommentare
Neuester Kommentar
Keine Chance ! Das ist ein fixes Sicherheitsfeature was der Cisco VPN Client hat und was du am Client selber NICHT aushebeln kannst. Es ist ja gerade gewollt das kein externes LAN in den Tunnel soll !
Ein Workaround ist aber der freie vpnc Client. Der hat diese lokalen Restriktionen nicht !
http://www.unix-ag.uni-kl.de/~massar/vpnc/
Allerdings ist das nix für Winblows....
Ein Test wäre aber immer der freie Shrew VPN Client wert, der vorgibt kompatibel zu Cisco VPN Lösungen zu sein:
http://www.shrew.net/support/wiki/HowtoCiscoAsa
Auch der hat diese lokale Restriktion nicht und... supportet Windows !
Obs klappt, musst du probieren.... Ansonsten gilt natürlich was hier unten steht wenn der VPN Admin nicht dumm ist !
Ein Workaround ist aber der freie vpnc Client. Der hat diese lokalen Restriktionen nicht !
http://www.unix-ag.uni-kl.de/~massar/vpnc/
Allerdings ist das nix für Winblows....
Ein Test wäre aber immer der freie Shrew VPN Client wert, der vorgibt kompatibel zu Cisco VPN Lösungen zu sein:
http://www.shrew.net/support/wiki/HowtoCiscoAsa
Auch der hat diese lokale Restriktion nicht und... supportet Windows !
Obs klappt, musst du probieren.... Ansonsten gilt natürlich was hier unten steht wenn der VPN Admin nicht dumm ist !
Hi
Ich denke das die andere Firma da schon seine Gründe haben wird warum sie das so macht. Der Admin ist sicher nicht auf den Kopfgefallen wenn er das seinen Usern verbietet ....
MFG Nemesis
Ich denke das die andere Firma da schon seine Gründe haben wird warum sie das so macht. Der Admin ist sicher nicht auf den Kopfgefallen wenn er das seinen Usern verbietet ....
MFG Nemesis
Hi,
so sehe ich das auch... wir sind nicht dazu da um Sperren zuumgehen. Am Besten ihr klärt das mit der externen Firma. Wir sind der falsche ASP.
Falls ihr etwas umgeschrieben hat (und da bin ich mir zu 99% sicher) kann das Böse für euch enden - von Imageschaden bis hinzu Gerichtsverfahren! Ich habe hier bei uns schon Firmen und Kommen und Gehen sehen innerhalb 48 Stunden.
Grüße,
Dani
so sehe ich das auch... wir sind nicht dazu da um Sperren zuumgehen. Am Besten ihr klärt das mit der externen Firma. Wir sind der falsche ASP.
Falls ihr etwas umgeschrieben hat (und da bin ich mir zu 99% sicher) kann das Böse für euch enden - von Imageschaden bis hinzu Gerichtsverfahren! Ich habe hier bei uns schon Firmen und Kommen und Gehen sehen innerhalb 48 Stunden.
Grüße,
Dani
[OT]
Abenteuerspielplatz?
Afrikanische Schweinepest?
Antisoziale Persönlichkeitsstörung?
Arbeitskreis Außen- und Sicherheitspolitik?
Association of Shareware Professionals?
Aufbauseminar für punkteauffällige Kraftfahrer?
Egal, bin ich wirklich alles nicht..
Wat is' ?
Firmungen sind wieder im Kommen?
"Nur 48 Stunden" kommt wieder im Fernsehen?
Dani, wie schaffst du das eigentlich, am frühen Montag morgen schon wieder so fit zu sein ...
SCNR
Biber
[/OT]
Abenteuerspielplatz?
Afrikanische Schweinepest?
Antisoziale Persönlichkeitsstörung?
Arbeitskreis Außen- und Sicherheitspolitik?
Association of Shareware Professionals?
Aufbauseminar für punkteauffällige Kraftfahrer?
Egal, bin ich wirklich alles nicht..
Ich habe hier schon Firmen und Kommen und Gesehen innerhalb 48 Stunden.
???Wat is' ?
Firmungen sind wieder im Kommen?
"Nur 48 Stunden" kommt wieder im Fernsehen?
Dani, wie schaffst du das eigentlich, am frühen Montag morgen schon wieder so fit zu sein ...
SCNR
Biber
[/OT]
@Biber
Tja... das passiert alles wenn man(n) im Bett liegt, Schmerztabletten schluckt die einen fast zum Schlafen zwingen und meint man muss unbedingt ins Forum schauen.
Obwohl die Freundin das Notebook schön weit weg gestellt hat aber der Dani drauf besteht.
Grüße,
Dani
Tja... das passiert alles wenn man(n) im Bett liegt, Schmerztabletten schluckt die einen fast zum Schlafen zwingen und meint man muss unbedingt ins Forum schauen.
Obwohl die Freundin das Notebook schön weit weg gestellt hat aber der Dani drauf besteht.
Grüße,
Dani
Meine Idee: Mit dem Admin sprechen.
Hintergrund: Abschalten kann nur der das wirklich. Und wenn ihr da rumspielt (andere Clients) dann hast du ganz schnell viel Spass. Zum einen würde ich mal davon ausgehen das man dir im Falle eines Schadens eine grobe Fahrlässigkeit unterstellt. D.h. du schleppst nen Virus über die VPN-Verbindung ein weil du durch paralleles Surfen nen Virus auf dein System geholt hast. Dieser läd seine Schadroutine nach und infiziert das Firmennetz. Solang du jetzt mit grober Fahrlässigkeit dran bist darfst du ggf. sogar diesen Schaden selbst zahlen...
Und selbst wenn nicht: Nehmen wir an du würdest bei mir in der Firma arbeiten. Ich sehe dein Laptop (routinemäßige Wartung o.ä.) und finde den Client. Mein nächster Weg: Zum obersten Chef der Firma - und dem erklären das ich dir leider den VPN-Zugang killen muss da du damit Unsinn machst der die Firmensicherheit gefährdet. Solltest du jetzt im Aussendienst sein wird das nächste Gespräch dann für dich übel laufen - im BESTEN Fall hast du nur die nächste Zeit keine Gehaltserhöhung mehr, im schlimmsten hast du kein Gehalt mehr!
Und jetzt sag mir mal einen Grund warum jemand so ein Risiko eingehen sollte nur damit er seine PRIVATEN Mails checken will?
Kiddys - sorry, aber lasst es doch. Wenn der Admin euch so ein Gerät entsprechend eingerichtet gibt dann macht der das auch aus gutem Grund. Es ist nicht die langeweile des Admins das er solche Sperren einbaut - sondern der macht sich sogar gedanken. Und normal versteht der was von seinem Job. Solltet ihr da anfangen dem reinzupfuschen dann dürft ihr euch auch nich wundern wenn DER in eurem Job reinpfuscht! Sei es durch ein Gespräch mit dem Chef - oder dadurch das es beim nächsten Problem bei euch auch mal länger dauert da man erstmal den ganzen Rechner prüfen muss (und da müsst IHR dann dem Chef erklären warum die EDV euer Equipment immer genauer ansieht...). Ist es DAS wirklich wert???
Hintergrund: Abschalten kann nur der das wirklich. Und wenn ihr da rumspielt (andere Clients) dann hast du ganz schnell viel Spass. Zum einen würde ich mal davon ausgehen das man dir im Falle eines Schadens eine grobe Fahrlässigkeit unterstellt. D.h. du schleppst nen Virus über die VPN-Verbindung ein weil du durch paralleles Surfen nen Virus auf dein System geholt hast. Dieser läd seine Schadroutine nach und infiziert das Firmennetz. Solang du jetzt mit grober Fahrlässigkeit dran bist darfst du ggf. sogar diesen Schaden selbst zahlen...
Und selbst wenn nicht: Nehmen wir an du würdest bei mir in der Firma arbeiten. Ich sehe dein Laptop (routinemäßige Wartung o.ä.) und finde den Client. Mein nächster Weg: Zum obersten Chef der Firma - und dem erklären das ich dir leider den VPN-Zugang killen muss da du damit Unsinn machst der die Firmensicherheit gefährdet. Solltest du jetzt im Aussendienst sein wird das nächste Gespräch dann für dich übel laufen - im BESTEN Fall hast du nur die nächste Zeit keine Gehaltserhöhung mehr, im schlimmsten hast du kein Gehalt mehr!
Und jetzt sag mir mal einen Grund warum jemand so ein Risiko eingehen sollte nur damit er seine PRIVATEN Mails checken will?
Kiddys - sorry, aber lasst es doch. Wenn der Admin euch so ein Gerät entsprechend eingerichtet gibt dann macht der das auch aus gutem Grund. Es ist nicht die langeweile des Admins das er solche Sperren einbaut - sondern der macht sich sogar gedanken. Und normal versteht der was von seinem Job. Solltet ihr da anfangen dem reinzupfuschen dann dürft ihr euch auch nich wundern wenn DER in eurem Job reinpfuscht! Sei es durch ein Gespräch mit dem Chef - oder dadurch das es beim nächsten Problem bei euch auch mal länger dauert da man erstmal den ganzen Rechner prüfen muss (und da müsst IHR dann dem Chef erklären warum die EDV euer Equipment immer genauer ansieht...). Ist es DAS wirklich wert???
Alles klar, ihr habt Recht! Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.
Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.
Zitat von @Tyler15:
Alles klar, ihr habt Recht! Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.
Alles klar, ihr habt Recht!
Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.Das verstehe ich jetzt nicht.
Wenn er die Mails abholen will, kann er doch die VPN-Verbindung trennen oder irre ich hier?
Dann sollte doch ein normaler Internetgzugang möglich sein oder ist der VPN-Client immer aktiv und lässt prinzipiell nichts anderes zu?
Zitat von @goscho:
> Zitat von @Tyler15:
> ----
> Alles klar, ihr habt Recht! Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.
Das verstehe ich jetzt nicht.
Wenn er die Mails abholen will, kann er doch die VPN-Verbindung trennen oder irre ich hier?
Dann sollte doch ein normaler Internetgzugang möglich sein oder ist der VPN-Client immer aktiv und lässt prinzipiell
nichts anderes zu?
> Zitat von @Tyler15:
> ----
> Alles klar, ihr habt Recht!
Dann muss er seine geschäftlichen (!) Mails an einem anderen Rechner checken.Das verstehe ich jetzt nicht.
Wenn er die Mails abholen will, kann er doch die VPN-Verbindung trennen oder irre ich hier?
Dann sollte doch ein normaler Internetgzugang möglich sein oder ist der VPN-Client immer aktiv und lässt prinzipiell
nichts anderes zu?
Im Moment ist der Client permanent aktiv, das ist ja das Problem. Da ist er besser drann, wenn er an den anderen Rechner geht um die Mails zu checken bevor er die VPN-Verbindung trennt.
Moin,
das verstehe ich grad nicht so ganz: Entweder handelt es sich um ein Firmenlaptop mit dem Cisco-VPN-Client. Dann bleibt das Geschäftliche da drauf, er wählt sich da ins VPN ein und macht alles für die Firma damit. Oder es handelt sich um ein privat-Laptop/Rechner - dann sollte er ja selbst die VPN-Verbindung einstellen können... (wobei privat für mich auch dann zutrifft wenn es sich z.B. um ein Nebengewerbe, Ebay o.ä. handelt - egal ob er das bei der Firma angemeldet hat und nen Gewerbeschein besitzt oder nicht... ).
Ich würde das aber GRADE in dem Fall sogar explizit trennen wenn es da auch um Geld geht. Nehmen wir nur mal an ich würde nebenbei noch etwas arbeiten. Nächste Woche kommt mein Chef auf die Idee und sagt: Den Mann wollen wir jetzt mal loswerden. Also geht mein Firmenlaptop mal eben in die Wartung - und plötzlich stellen die fest das ich entgegen der EDV-VE das ding auch privat nutze und damit sogar Geld abseits der Firma verdiene. Nun - heute werden Menschen gekündigt weil die ihr Telefon auf der Arbeit aufladen... jetzt könnte also der Chef kommen und sagen das ich Betriebseigentum missbraucht habe (mein Job war zwar genehmigt aber das ich dafür Firmenmaterial nutze nicht). Und schon hab ich ne schnelle Kündigung am Arsch. Wenn man dann jetzt mal ehrlich ist: Bei ner Kündigung geht es ja eigentlich nur um ne Abfindung (und deren höhe). Da wäre sowas schon nen guter Grund für jede Firma um Geld zu sparen...
das verstehe ich grad nicht so ganz: Entweder handelt es sich um ein Firmenlaptop mit dem Cisco-VPN-Client. Dann bleibt das Geschäftliche da drauf, er wählt sich da ins VPN ein und macht alles für die Firma damit. Oder es handelt sich um ein privat-Laptop/Rechner - dann sollte er ja selbst die VPN-Verbindung einstellen können... (wobei privat für mich auch dann zutrifft wenn es sich z.B. um ein Nebengewerbe, Ebay o.ä. handelt - egal ob er das bei der Firma angemeldet hat und nen Gewerbeschein besitzt oder nicht... ).
Ich würde das aber GRADE in dem Fall sogar explizit trennen wenn es da auch um Geld geht. Nehmen wir nur mal an ich würde nebenbei noch etwas arbeiten. Nächste Woche kommt mein Chef auf die Idee und sagt: Den Mann wollen wir jetzt mal loswerden. Also geht mein Firmenlaptop mal eben in die Wartung - und plötzlich stellen die fest das ich entgegen der EDV-VE das ding auch privat nutze und damit sogar Geld abseits der Firma verdiene. Nun - heute werden Menschen gekündigt weil die ihr Telefon auf der Arbeit aufladen... jetzt könnte also der Chef kommen und sagen das ich Betriebseigentum missbraucht habe (mein Job war zwar genehmigt aber das ich dafür Firmenmaterial nutze nicht). Und schon hab ich ne schnelle Kündigung am Arsch. Wenn man dann jetzt mal ehrlich ist: Bei ner Kündigung geht es ja eigentlich nur um ne Abfindung (und deren höhe). Da wäre sowas schon nen guter Grund für jede Firma um Geld zu sparen...
Wenn ich das hier richtig verstehe seid ihr ein Externer Dienstleister?!?!
Somit ist der Laptop Eigentum der Firma für die Ihr arbeitet oder Eigentum des Betriebes für denn eure Firma eine Dienstleistung anbietet?
Wenn er das Eigentum eurer Firma ist sollte da doch nicht die grosse Problematik bestehen, wenn ich mich nicht irre.
Außer dein Kollege MUSS dauerhaft bei eurem Kunden eingeloggt sein.
Umgehen würde ich diese Sperre nicht, denn Admins sind nicht blöd und machen sich, wie schon gesagt, berechtigterweise Sorgen um die Sicherheit Ihres Netzwerkes.
Würde ich zb. merken das einer unserer externen meine Sperren umgeht, hätte diese Person nicht nur die fristlose Kündigung in der Hand sondern auch ein Schreiben unseres Anwalts.
Also lieber Finger weg vom umgehen von Sperren die haben ihre daseins-Berechtigung.
Somit ist der Laptop Eigentum der Firma für die Ihr arbeitet oder Eigentum des Betriebes für denn eure Firma eine Dienstleistung anbietet?
Wenn er das Eigentum eurer Firma ist sollte da doch nicht die grosse Problematik bestehen, wenn ich mich nicht irre.
Außer dein Kollege MUSS dauerhaft bei eurem Kunden eingeloggt sein.
Umgehen würde ich diese Sperre nicht, denn Admins sind nicht blöd und machen sich, wie schon gesagt, berechtigterweise Sorgen um die Sicherheit Ihres Netzwerkes.
Würde ich zb. merken das einer unserer externen meine Sperren umgeht, hätte diese Person nicht nur die fristlose Kündigung in der Hand sondern auch ein Schreiben unseres Anwalts.
Also lieber Finger weg vom umgehen von Sperren die haben ihre daseins-Berechtigung.
Genau, wir sind ein externer Dienstleister, und die Notebooks sind unser Eigentum, also gehören der Firma. Der Kollege muss dauerhaft beim Kunden eingeloggt sein, sonst hätten wir ja nicht das Problem mit den Mails etc.
@maretz: hier war nie die Rede davon Geld nebenbei zu verdienen ;) es ging wirklich nur darum, die geschäftlichen Mails abzurufen während der Kollege mit dem Netzwerk des Kunden verbunden ist. In dem Moment kommt er ja nicht auf unseren Exchange Server.
@maretz: hier war nie die Rede davon Geld nebenbei zu verdienen ;) es ging wirklich nur darum, die geschäftlichen Mails abzurufen während der Kollege mit dem Netzwerk des Kunden verbunden ist. In dem Moment kommt er ja nicht auf unseren Exchange Server.
