Tunelování IP adresy pro firemní notebook

[pruzkumbojem]

mam korporatni notebook, ktery je tak bezpecny, az se prakticky neda pouzivat.
reseni ma whitelistovanou moji domaci IP adresu, kdyz notebook pripojim pres hotspot mobilu, potreboval byh ho pripojit do meho LANU, aby na odchozi byla ta whitelistovana IP adresa.

na notebook samozrejme nenainstaluji vubec nic.  Jake je reseni pro androidu, co clienty pripojiene na hotspot protuneluje do me site?

[Reklama]

[LA_user]

Wireguard...

[matusK]

Wireguard...

Urcite? Kdysi jsem to zkousel s androidem (jedna verze wireguardu mi na notasu dela modrou smrt) a nic se nestalo.
Telefon byl na VPN, ale pripojene zarizeni ne.

[jjrsk]

Hele tohle ja teda naprosto nechapu ...

Mas nejakej nastroj, ten nastroj ti dala firma, ta firma chce abys ten nastroj nejak pouzival. Pokud se neda pouzivat k praci kterou chteji abys na tom delal, tak to jednoduse namelduj do ty firmy. Pokud to chces pouzivat nejak jinak nez pro firemni ucely, tak se nediv, az ti daji § hrube poruseni pracovnich povinosti.

[5nik]

Ve windows si může VPN připojení nastavit i normální uživatel. Otázkou je, zda-li VPN připojení nechytí AV na tom NTB (a samozřejmě to bude reportovat).
Druhá možnost je VPN řešit po cestě mimo NTB, např. vloženým routerem (např. Mikrotik). Ale tam už to bude chtít trochu více znalostí s Mtikem.

[Reklama]

[jjrsk]

Ve windows si může ...

Uzivatel nastavit to, co mu administrator nastavit dovoli. Kdyz budu chtit, tak potece veskery provoz z toho notesu pres firemni gw, a uzivatel s tim nenadela vubec nic, proste se naprimo do netu (ani do lokalni site) vubec nedostane. Pricemz tohle je jedna z beznych korporatnich politik.

Samo whitelistovani domacich IPcek, v situaci, kdy realne ma svoje IPcko par blaznu, je IMO totalni fail.

[LA_user]

Urcite? Kdysi jsem to zkousel s androidem (jedna verze wireguardu mi na notasu dela modrou smrt) a nic se nestalo.
Telefon byl na VPN, ale pripojene zarizeni ne.

Máš pravdu, nyní to skutečně takto nefunguje.

Přísahal bych, že když jsem to testoval naposledy, hotspot letěl skrze VPNku.. Asi nějaká aktualizace, bůh ví.

[ogdru6jahad]

ja mam na pracovnim notasu virtualky a tam si delam co chci.

a nemuzou ti pridat do whitelistu i hotspot z mobilu?

[pruzkumbojem]

jako pokazdy jinou, kdyz ji operator zmeni?

ja mam na pracovnim notasu virtualky a tam si delam co chci.

a nemuzou ti pridat do whitelistu i hotspot z mobilu?

[xsouku04]

Na wireguard si lze pořídit něco jako tohle s openwrt.  https://www.aliexpress.com/item/1005005454549323.html

Je to linux pro routery, takže podpora v jádře je jasná a lze doinstalovat i klikátko pro Gui.
Dal bych si tam čistý openwrt a místo toho zmrveného od výrobce.
Návod jak to nastavit je např. zde.

https://www.ivpn.net/setup/router/openwrt-wireguard/

Doma by jste pak také potřeboval wireguard router a je to vyřešené.

Lepší by ale bylo, kdyby dal vpn přístup přímo zaměstnavatel včetně nastavení v notebooku.

[Marek Staněk]

Hele tohle ja teda naprosto nechapu ...

Mas nejakej nastroj, ten nastroj ti dala firma, ta firma chce abys ten nastroj nejak pouzival. Pokud se neda pouzivat k praci kterou chteji abys na tom delal, tak to jednoduse namelduj do ty firmy. Pokud to chces pouzivat nejak jinak nez pro firemni ucely, tak se nediv, az ti daji § hrube poruseni pracovnich povinosti.

Naprostej souhlas.
1) je to problém firemního IT oddělení, a oni jsou jediní kompetentní se tím zabývat
2) jakýkoli kutění s tím je porušením asi tak miliónu interních závazných směrnic a recept na §ZávPorPracKáz
3) i když to rozchodí, tak jakýkoli problém na poli kyberbezpečnosti padne na JEHO hlavu včetně odpovědnosti za náhradu škody v rozsahu dle Zákoníku Práce, tzn 4,5x průměr měsíčního platu s možností okamžitého vyhazovu a škraloupu u HR, o kterém se dozví každý další eventuální zaměstnavatel, který zvedne telefon a zavolá si o referenci
4) tím předem neznámý osobě dává do ruky kanón, kterým ho půjde kdykoli odstřelit a zbavit se ho, jakmile ho kdokoli začne mít nerad

[LivingLegend]

Tak zalezi co chce delat, a co delat nemuze, prorotoze politika. Spoustu vec jde obejit pres SOCku, SSH nebo KASM.

[Marek Staněk]

Ve firmě rozhodně NECHCE lízt někomu bez jeho souhlasu kompetenčně do zelí, tím spíš v oblasti kyberbezpečnosti.
Jedna věc je na základě domluvy s nimi ten problém vyřešit, ale fakticky hacknout firmu pro kterou dělá je něco uplně jinýho.

[Karmelos]

VPN.
Předpokládám v dalších korporátech to je podobné, u nás se mimo kancl (tzn i skrzeva mobil) po přihlášení do NTB připojuje do korporátní VPN pomocí cisco anyconnect. To si vyžádá 2f ověření, odkliknu a pracuju jako z kanclu. Nic nikde se nemusí nastavovat, řešit žádat atp. funguje to leta.

[pruzkumbojem]

kdyz to nechapes, tak se do toho neser?

Hele tohle ja teda naprosto nechapu ...

Mas nejakej nastroj, ten nastroj ti dala firma, ta firma chce abys ten nastroj nejak pouzival. Pokud se neda pouzivat k praci kterou chteji abys na tom delal, tak to jednoduse namelduj do ty firmy. Pokud to chces pouzivat nejak jinak nez pro firemni ucely, tak se nediv, az ti daji § hrube poruseni pracovnich povinosti.

Naprostej souhlas.
1) je to problém firemního IT oddělení, a oni jsou jediní kompetentní se tím zabývat
2) jakýkoli kutění s tím je porušením asi tak miliónu interních závazných směrnic a recept na §ZávPorPracKáz
3) i když to rozchodí, tak jakýkoli problém na poli kyberbezpečnosti padne na JEHO hlavu včetně odpovědnosti za náhradu škody v rozsahu dle Zákoníku Práce, tzn 4,5x průměr měsíčního platu s možností okamžitého vyhazovu a škraloupu u HR, o kterém se dozví každý další eventuální zaměstnavatel, který zvedne telefon a zavolá si o referenci
4) tím předem neznámý osobě dává do ruky kanón, kterým ho půjde kdykoli odstřelit a zbavit se ho, jakmile ho kdokoli začne mít nerad