Re: PC mit VPN Einwahl als Gateway für Subnetz verwenden

From: Guido Ackermann <ga_at_alexandersfeld.de>
Date: Thu, 11 Jun 2020 11:07:23 +0200

On Thu, Jun 11, 2020 at 08:44:27AM +0000, Christoph Sandhaus wrote:
> Hallo Guido!
> Ich kann dich beruhigen:
> ich bin selber in der IT Abteilung und unterwandere hiermit keine Richtlinien. Änderungen an der VPN Struktur sind geplant, werden aber noch Zeit in Anspruch nehmen.

Technisch sollte es Dir, wenn Du in der IT-Abteilung, die für VPN
zuständig ist, arbeitest, eigentlich klar sein wie man das routing löst.
Daher bin ich davon ausgegaqngen dasa Du Anwender bist. Ein Admin sollte
entweder direkt wissen was er tut oder sich durch entsprechende Kurse
fortbilden und so in die Lage versetzen derartige Szenarien zu
überblicken und zu lösen. Aber das ist meine Meinung. Die ist nicht
allgemeinverbindlich.

Nichts desto Trotz hier die möglichen Lösungsansätze ohne Anspruch auf
vollständigkeit:

1. Einen VPN-Router einsetzen. Die Verschlüsselung erfolgt dann nur
zwischen Router und Firmennetzwerk. Das LAN wird dann über den VPN
geroutet (entsprechende Einrichtung der Gegenstelle in der Firma, ggf.
mit einem NetzNAT wenn das LAN in der Firma schon anderweitig verwendet
wird). Das kann zum Beispiel über eine aktuelle FRITZ!-Box einfach
eingerichtet werden.

2. Pfuschen mit Masquerading-NAT (siehe
https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung). Dazu wird
das LAN gegenüber der VPN-Strecke mit der LAN-IP des VPN maskiert.
Funktioniert nicht bei allen VPN-Produkten/Einrichtungen, da oft nicht
mit einer dedizierten VPN-IP gearbeitet wird sondern nur mit dem
Transportprotokoll.

3. mehrere VPN-Tunnel. Funktioniert bei IPSEC nur dann, wenn es über Port
4500 (NAT-TRAVERSAL) gelegt wird, da nur ein Tunnel zur Zeit über ein
NAT-Gateway (üblich für Home-Internet in Deutschland). Dabei wird das
Tunnelzeug komplett in ein Paket gepackt und an der Gegenstelle als
solches erkannt und wieder ausgepackt.

4. RDP/VNC/etc. Sitzung auf den Tunnelendpunkt. Auch das funktioniert
nicht mit allen komerziellen Produkten. Zum Teil prüfen die vorhandene
offene Ports dieser Remoteprotokolle und verweigern dann eine
VPN-Verbindung komplett.

>
> Nichts desto trotz ist es absolut richtig, dass du darauf hinweist!

VPN ist kein Spielkram. Wenn es so einfach wäre das zu
erweiter/umgehen/auszuhebeln dann würden vermutlich viele Regierungen
die Korken knallen lassen. Und die Gefängnisse diverser Diktaturen wären
angefüllt mit Journalisten und deren Quellen.

Vielleicht sollten einige Leute mal einen Moment darüber nachdenken.

Gruß
        Guido

-- 
Das einzige, was manche Menschen erträglich macht, ist ihre Abwesenheit.

Received on Thu Jun 11 2020 - 11:07:23 CEST

This archive was generated by hypermail 2.2.0 : Thu Jun 11 2020 - 11:07:50 CEST