Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: 1988Milan1988 27. 04. 2023, 09:28:18
-
Je mozny, ze firemni VPN mi znemozni pristup na internet (napr. youtube) na lokalnim PC? A ze budu moct vyuzivat jen pripojeni na RemoteDesktop? Tahle omezeni vymysli firma. Otazka je, jestli je mozny to obejit?
-
Technicky je to omezení možné, obejít to pokud já vím, nejde, jen vypnout VPN.
Ale spíš bych čekal, že tě pustí na internet přes firemní proxy třeba. Samozřejmě s omezením, jinak by to nemělo smysl.
-
a sekundarni sitova karta by to nemohla vyresit jak to obejit?
-
Zakladni vec je, komu patri lokalni pc.
-
a sekundarni sitova karta by to nemohla vyresit jak to obejit?
Snad kdybys mel taky druhe pripojeni
-
Zakladni vec je, komu patri lokalni pc.
Ne tak docela, může mít povoleno dělat z domu na soukromém PC s nainstalovaným VPN klientem.
-
Zakladni vec je, komu patri lokalni pc.
je to muj pc. fungovat by to melo tak, ze se pripojim pres vpn a pote na RDP a pracovat budu na pc, ktery je v office.
-
Pokud má uživatel v moci ten počítač (má roota), tak je samozřejmě na něm, jak si to zařídí. Celé je to v tom, jak bude nastavena směrovací tabulka. Pokud se bude vše hrnout do VPN, pak je na správci vzdálené sítě, kam dál který provoz pustí. Pokud si to nakonfigurujete tak, že budete do VPN posílat jen vybrané firemní rozsahy (což je mnohem příčetnější řešení), tak samozřejmě zbytek provozu (třeba YouTube) půjde výchozí bránou do světa mimo VPN.
-
Zakladni vec je, komu patri lokalni pc.
je to muj pc. fungovat by to melo tak, ze se pripojim pres vpn a pote na RDP a pracovat budu na pc, ktery je v office.
Ta VPN ti sebrala defaultroutu.
Muzes si to dodatecne preroutovat, aby na VPN interface sel jenom IP rozsah firmy (typicky 10.x.x.x), tim ale muzes vnest vektor napadeni do firmy pres tvuj pocitac a to by asi nebyli radi.
Ja osobne to resim tak, ze mam dalsi wokna v HyperV image a do VPN se prihlasuju z nich.
Hostitelsky OS pak muze normalne do inetu.
-
virtualka mi napadla jako mozne reseni. rozsah IP kdyz nastavim, jak spominate, je mozne, ze firma to zjisti?
-
virtualka mi napadla jako mozne reseni. rozsah IP kdyz nastavim, jak spominate, je mozne, ze firma to zjisti?
To zalezi podle verze VPN, obecne to ale zjistit muze.
VPN klient bezne kontroluje, jestli jsou nainstalovane updaty a je cerstva definice antiviru, vypsat si routovaci tabulku je pro VPN klient trivialni.
-
A nebylo by nejlepší řešení kontaktovat IT a zkusit si domluvit změnu VPN tak, aby se přidala jen routa na ten stroj s RDP ve VPN?
-
momentalne fungujeme tak, ze mame vpn a pracujeme z lokalniho pc (muzeme udelat checkout a vyvijet na domacim pc) a take se muzem pripojit i na RDP a delat na pc v office. a to se ma zmenit
-
Ta VPN ti sebrala defaultroutu.
To sa mi niekedy stavalo s cisco VPN. zrusila default route a nechala len lokalne + svoje.
Riesil som to skriptom, ktory (oi. vypinal jadro, lebo ten cisco klient vedel fungovat len na jednojadrovych procakoch - doba prvych dual core intelov) po pripojeni vpn len pridal povodnu default route.
-
virtualka mi napadla jako mozne reseni. rozsah IP kdyz nastavim, jak spominate, je mozne, ze firma to zjisti?
tak virtualka je nejjednodušší, pokud to zvládneš.
zmena route a tak, no nevím, třeba Cisco AnyConnect je spravovaný centrálně včetně privilegií klienta.
-
Nejjednodussi je, zapnout si dva pocitace - jeden na pracovni veci a druhy na soukromy internet (youtube a podobne).
Ostatne na RDP do prace by melo v pohode stacit i raspberry pi nebo nejaka stara plecka. Jen to zobrazuje vzdalenou plochu a vse se pocita na vzdalenem pocitaci.
-
Zakladni vec je, komu patri lokalni pc.
Ne tak docela, může mít povoleno dělat z domu na soukromém PC s nainstalovaným VPN klientem.
Prave ze presne tak docela. Zasadni je to totiz v tom, ze na svem PC si muzes delat co chces. Jakekoli zasahy do konfigurace firemniho PC mohou vest v lepsim pripade k okamzite vypovedi, v horsim si muzes privodit i nejake to trestni stihani.
je to muj pc. fungovat by to melo tak, ze se pripojim pres vpn a pote na RDP a pracovat budu na pc, ktery je v office.
je to o routovani/dns ...
Prakticky se pouzivaji dve varianty.
1) veskery traffic se posle pres vpn, coz znamena, ze se na nej aplikuji i vsechna pravidla firmy = ses za firemnim firewallem, pouzivas firemni dns, ... atd. Tohle ale dava smysl vyhradne u stroju, ktere ma firma zcela pod kontrolou, delat neco takovyho na cizim stroji je nesmysl.
2) pres vpn se posle jen a pouze to, co tam patri. Tady muze nastat trosku problem prave s dns, pokud se samozrejme nepouzivaji verejne adresy.
Jinak receno, muzes otestovat (melo by to jit proste z ruky) zmenit routovani tak, ze default, ktery ti pravdepodobne miri do te vpn zmenis tam, kam miri kdyz vpn neni, a pridas si dalsi routu, kterou do te vpn posles komunikaci vyhradne na IP rozsah pouzivany uvnitr firmy. (ip ro je to co hledas v tuxovi, route pokud ve widlich)
Samozrejme to po otestovani muzes zmenit nekde v konfiguraci te vpn, kterou ti nejspis nekdo dal.
-
A nebude jednoduchsie si do kanclu zajst a ten firemny pc/notas si vziat domov a nemusiet riesit taketo blbosti?
Toto je taky kockopes. Firma (celkom logicky) chce aby pocas pracovnej doby tieklo vsetko cez ich siet, pretoze to mozu filtrovat (ci uz zo zakonnych dovodov alebo z bezpecnostnych, mozu tam mat firewall o akom sa tebe doma moze iba snivat). Na druhu stranu, si kvoli tomu vyrazne obmedzovany (co mi hlava moc teda neberie obmedzovat YT v pracovnej sieti ale proti gustu ziaden disputat).
Skusat to rozne ohybat ala upravovat si routovanie pocas aktivnej vpnky moze viest k problemom v praci (ked ti na to pridu, mozes dostat slusne cez prsty). Suhlasil si ze budes pouzivat svoj pc ako pracovny pocas pracovnej doby, holt k tomu patri toto. Ak sa ti to nepaci, bud mat dve PC, alebo si zajst pre pracovny pc a dovliect ho domov (napad s virtualizaciou mi tiez pride ako obchadzanie vpnky, radsej bych to neskusal).
-
Třeba Cisco AnyConnect si to hlídá dost agresivně a neustále promazává nepovolené routy. Takže jediný způsob, jak to obejít (o kterém vím) je použití nějakého alternativního klienta, ne toho přímo od Cisco, odmítnout autokonfiguraci, a pak si člověk musí všechny ty routy a DNS a další konfigurační věci potřebné k fungování komunikace do VPN pořešit ručně. Což může být víc než hromada práce: aktuálně mi firemní VPN dává nějakých ~400 rout.
Další věc je bezpečnost. U děleného VPN provozu sedí tvůj počítač ve dvou sítích a může posloužit jako most pro útok do firemní sítě. Stačí zákeřný javascript a už může udělat nějaký bordel přes CSRF. Firemní intranetové systémy bývají dost blbě zabezpečené, protože "jsou přece dostupné jen z LAN." Proto se někdy ty VPN konfigurují tak, aby přes ně tekl veškerý provoz, který pak následně projde přes nějakou firemní proxy, co hlídá, kam můžeš a nemůžeš, skenuje to antivirem...
-
Třeba Cisco AnyConnect...
...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...
Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).
Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.
To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...
Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.
-
Třeba Cisco AnyConnect...
...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...
Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).
Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.
To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...
Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.
Dovolím si oponovat <no flameware intended>
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP Za mne tedy nenulová bezpečnost.
2) Já osobně vidím HO jako benefit , tak bych se necukal.
3) Pravidla pro vzdálené připojení určuje firma, pokud se to dotyčnému nelíbí, ať laskavě přijede do práce a sedne za firemní PC. Bez VPN, které tehdy nebyly, jsem dělal support asi 15 let, max. jsem si mohl zapískat přes modem. (ale 5000 km za měsíc průměrně :-()
-
Třeba Cisco AnyConnect...
...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...
Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).
Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.
To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...
Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.
* edit
Dovolím si oponovat no flamewars intended
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP Za mne tedy nenulová bezpečnost.
2) Já osobně vidím HO jako benefit , tak bych se necukal.
3) Způsob a pravidla vzdáleného připojení určuje firma, pokud se to dotyčnému nelíbí, má možnost přijet do práce a sednout za firemní PC.
Bez VPN (které tehdy nebyly), jsem dělal support asi 15 let, max. jsem si mohl zapískat přes modem. (ale 5000 km za měsíc průměrně :-( )
-
Nejjednodussi je, zapnout si dva pocitace - jeden na pracovni veci a druhy na soukromy internet (youtube a podobne).
Ostatne na RDP do prace by melo v pohode stacit i raspberry pi nebo nejaka stara plecka. Jen to zobrazuje vzdalenou plochu a vse se pocita na vzdalenem pocitaci.
Ony ty firmy ted zacaly zamestnance v HO docela spehovat, jestli ten HO nesidi ....
Nasli se takovi, co pod HO mneli nekolik zamestani najednou :)
Takze asi bych se podival jak to Vase firma hlida/jestli a co je presne v podminkach HO aby se clovek nedostal do problemu.
Ja bych se priklonil k Virtualu pro HO/VPN.
A jestli provozujete na soukromem PC qubes-os.org/intro/ tak mate vyhrano :)
A jeste se neco zajimaveho naucite :)
-
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni
-
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni
Virtualka vám taky nemusí fungovat, pokud to není povoleno v profilu :-) Anyconnectu
-
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni
Virtualka vám taky nemusí fungovat, pokud to není povoleno v profilu :-) Anyconnectu
ale je na to hack
-
tak virtualka funguje.
-
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP Za mne tedy nenulová bezpečnost.
To chci videt, jak budes na soukromem pocitaci, ke kteremu nemas zadny pristup, kontrolovat zda ma antivir a predevsim, k cemu ti to je, kdyz ten stroj pustis do site, zafunguje proste jako dira do sveta.
-
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni
Cisco si hlídá routovací tabulku a když ji změníš, tak to zase hned hodí zpátky - je to vidět v logu. Ale hlídá jen tabulku main, takže to když to hodíš jinam, nevšimne si toho ;-)
-
Další teorie může být, že ajťákovi prostě jen nedocvaklo, že by měl na firewallu povolit forward z VPN na WAN. Zkusit se ho na to zeptat. Přijde mi zvláštní, že by nějaká firma záměrně zakázala někomu na HO komplet internet.
Jak už tu někdo psal, VPN si stáhne pod sebe defaultní routu, takže v takovém případě není přístup do internetu. Podle mé zkušenosti nepomůže ani nastavit metriky pro defaultní routy (0.0.0.0/0) ve Windows routovací tabulce.
Takže buď bude IT souhlasit s forwardem VPN -> WAN nebo jiný PC resp. virtuál.