Tunelování IP adresy pro firemní notebook

[pavel411]

kdyz to nechapes, tak se do toho neser?

skutečně slušná dopověď, Guth-Jarkovský by měl radost...

Jestli dobře chápu to poněkud zkratkovité zadání, tak zaměstnavatel povolil používání notebooku pouze z kanceláře a z domácí sítě (kontrolované prostředí, u spousty firem spojené s fyzickou kontrolou domácí kanceláře), ty se snažíš ho zprovoznit kdekoliv a ohodnotíš dobře míněnou radu tímto způsobem?
Tohle je technický server, ale upozorňování na legální souvislosti mi přijde hodně užitečné

[Reklama]

[Marek Staněk]

kdyz to nechapes, tak se do toho neser?

Hele tohle ja teda naprosto nechapu ...

Mas nejakej nastroj, ten nastroj ti dala firma, ta firma chce abys ten nastroj nejak pouzival. Pokud se neda pouzivat k praci kterou chteji abys na tom delal, tak to jednoduse namelduj do ty firmy. Pokud to chces pouzivat nejak jinak nez pro firemni ucely, tak se nediv, az ti daji § hrube poruseni pracovnich povinosti.

Naprostej souhlas.
1) je to problém firemního IT oddělení, a oni jsou jediní kompetentní se tím zabývat
2) jakýkoli kutění s tím je porušením asi tak miliónu interních závazných směrnic a recept na §ZávPorPracKáz
3) i když to rozchodí, tak jakýkoli problém na poli kyberbezpečnosti padne na JEHO hlavu včetně odpovědnosti za náhradu škody v rozsahu dle Zákoníku Práce, tzn 4,5x průměr měsíčního platu s možností okamžitého vyhazovu a škraloupu u HR, o kterém se dozví každý další eventuální zaměstnavatel, který zvedne telefon a zavolá si o referenci
4) tím předem neznámý osobě dává do ruky kanón, kterým ho půjde kdykoli odstřelit a zbavit se ho, jakmile ho kdokoli začne mít nerad

Aneb jak říct, že jseš zmrd, aniž bys použil slovo zmrd.

[RDa]

Jestli dobře chápu to poněkud zkratkovité zadání, tak zaměstnavatel povolil používání notebooku pouze z kanceláře a z domácí sítě (kontrolované prostředí, u spousty firem spojené s fyzickou kontrolou domácí kanceláře), ty se snažíš ho zprovoznit kdekoliv a ohodnotíš dobře míněnou radu tímto způsobem?

Kontrola podle IP, zda je zarizeni v domaci siti a pracovnik tam kde ma byt... asi zamestnavatel nebude mit toho nejbystrejsiho technika - to je selhani minimalne na 4 pozicich - od security po manazment.

Ono totiz staci nastavit jakykoliv router a v LAN strane natu navolit tu spravnou podsit a ip podle mac adresy.

Pokud jde jen o pristup na internet, tak bych reseni videl v "5G modemu s routrem", jake se bezne nabizi a do toho pridat datovou sim se sdilenym FUP. LAN stranu patricne nakonfigurovat a nazdar. Ale jo.. neni to vzdy na baterky a je to dalsi krabice navic, nejde to mit v kapse.. pokud se tedy nezvoli nejaky frikulinsky model ktery oba nedostatky resi :-)

[Marek Staněk]

Že by z noťase kdekoli datoval napřed domů a teprve odtud do firmy? Co to udělá, pokud doma nemá statickou IP?

Nebo jako že by si do firmy na partyzána ještě umístil router, ze kterého by mu provoz vytékal do firemní LAN pod jeho místní IP?
To se bude určitě moc líbit :-D

IMO jediné řešení je z noťase VPNkou domů a pak pustit klienta, kterým pokračovat do práce, takže ta firemní bude tunelovat skrz tu domácí a odtud bude pokračovat, jako by byl doma. Což bez instalace čehokoli na noťase lze jen externím routerem, který "zavolá domů".

[jjrsk]

Pricemz ten notes, muze naprosto s klidem nahlasat (samozjreme ne userovi ale adminovi) ze je v jine siti nez se ocekava ze by byt mel.

Sem zvedav, jak pak bude dotycny vysvetlovat, ze ty dvere sousedova bytu pacil vlastne jen tak pro zabavu.

Nemluve o tom, ze tu se uz nebavime o nejake nahrade skody na tema zemestnanecka tupost, ale o pachani trestne cinnosti.

[Reklama]

[mikesznovu]

co je ta SOCka a KASM?

[mikesznovu]

Urcite? Kdysi jsem to zkousel s androidem (jedna verze wireguardu mi na notasu dela modrou smrt) a nic se nestalo.
Telefon byl na VPN, ale pripojene zarizeni ne.

Máš pravdu, nyní to skutečně takto nefunguje.

Přísahal bych, že když jsem to testoval naposledy, hotspot letěl skrze VPNku.. Asi nějaká aktualizace, bůh ví.

To by mě zajímalo. Co ale jsi tím myslel? Když na androidu zapnu wireguard, provoz pak vytéká odkud chci (třeba hned druhým WG endpointem). Ale oříšek je , jak udělat aby to fungovalo i pro zařízení připojené přes hotspot

Protože: android při vytvoření hotspotu randomizuje /24 z /16 množiny . Prostě síť wlan1 má 192.168.xxx.yyy/24, kde pro jistotu navíc yyy ještě náhodné číslo ip adresy (gatewaye) hotspotu na wlan1 androidu
-aplikace wireguard o hotspotu nic neví.
-hotspot je natovaný a routovaný
-v iptables androidu je spousta chainů a route table mimo main
-nastavit ip adresu hotspotu a rozsah na androidu je zzadeke utopie

[Marek Staněk]

To bych jako problém úplně neviděl.
Pro tenhle účel hotspot na telefonu, k němu se wifinou připojuje mikrotik a na druhé wifině dává SVOU wifi a na RJčkách SVOU LAN. k této síti se připojuje noťas se statickou IP, která je nastavena tak, aby odpovídala IP požadované IT oddělením.
Mikrotik na cestách spojí WG tunel domů, kde provoz vyteče do domácí LAN a je routován do internetu.
Na noťasu uživatel pustí firemního VPN klienta, který si ze síťového rozhraní vyčte, že má přidělenou IP adresu, a VPN brána vidí, že jí provoz přitéká z whitelistované IP adresy domova.

Otázka je, jestli je s tím firemní IT srozuměno.

[LivingLegend]

co je ta SOCka a KASM?

Sock proxy https://iproyal.com/blog/what-is-a-socks-proxy/¨
Kasm https://www.kasmweb.com/

Je zajímavé, že místo řešení je tu spousta moralizujících řečí. To je snad věc dotyčného; vy v jeho botách nechodíte.
Takže místo technických odpovědí jsou tu odpovědi jako na FB/X

[Zdenek Henek]

mam korporatni notebook, ktery je tak bezpecny, az se prakticky neda pouzivat.
reseni ma whitelistovanou moji domaci IP adresu, kdyz notebook pripojim pres hotspot mobilu, potreboval byh ho pripojit do meho LANU, aby na odchozi byla ta whitelistovana IP adresa.

na notebook samozrejme nenainstaluji vubec nic.  Jake je reseni pro androidu, co clienty pripojiene na hotspot protuneluje do me site?

Gratuluji k nové práci. Připadá mi, že o ni chceš zase rychle přijít. Nebylo by lepší mít vedle malý notebook nebo tablet?
Pokud nastane nějaký bezpečnostní problém a tady ten tvůj hack někdo objeví, tak je docela jedno, jestli ten bezpečnostní problém šel přes tebe nebo ne.

Pokud zlobí vpn a musí se dlouho čekat, tak by to mohl ten malý notebook na sledování videa nebo čtení knih vyřešit asi nejefektivněji.

[Marek Staněk]

co je ta SOCka a KASM?

Sock proxy https://iproyal.com/blog/what-is-a-socks-proxy/¨
Kasm https://www.kasmweb.com/

Je zajímavé, že místo řešení je tu spousta moralizujících řečí. To je snad věc dotyčného; vy v jeho botách nechodíte.
Takže místo technických odpovědí jsou tu odpovědi jako na FB/X

No, s ohledem na to velice skoupé zadání bych to ani s jedním jako validním řešením úplně neviděl.
Socks: podle popisu to vypadá, že ten noťas musí mít přidělenou konkrétní IP na svém rozhraní, neboť tam bych čekal že ji firemní klient kontroluje. Takže ji jaksi nemůžeš dát té proxyně.
Kasm: když firma chce, aby používal jen firemní noťas pod jejich plnou kontrolou, těžko mu povolí používat cloudový desktop, kde nemají pod kontrolou doslova vůbec nic.

Je zajímavé, že místo řešení je tu spousta moralizujících řečí.

Tohle mi v kontextu již uvedeného přijde jako výstřel ne do vlastní nohy, ale rovnou mezi světla.