Tunelování IP adresy pro firemní notebook

Tunelování IP adresy pro firemní notebook
« kdy: 30. 10. 2024, 13:05:02 »
mam korporatni notebook, ktery je tak bezpecny, az se prakticky neda pouzivat.
reseni ma whitelistovanou moji domaci IP adresu, kdyz notebook pripojim pres hotspot mobilu, potreboval byh ho pripojit do meho LANU, aby na odchozi byla ta whitelistovana IP adresa.

na notebook samozrejme nenainstaluji vubec nic.  Jake je reseni pro androidu, co clienty pripojiene na hotspot protuneluje do me site?


Re:Tunelování IP adresy pro firemní notebook
« Odpověď #1 kdy: 30. 10. 2024, 13:20:14 »
Wireguard...

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #2 kdy: 30. 10. 2024, 13:49:58 »
Wireguard...

Urcite? Kdysi jsem to zkousel s androidem (jedna verze wireguardu mi na notasu dela modrou smrt) a nic se nestalo.
Telefon byl na VPN, ale pripojene zarizeni ne.

jjrsk

  • *****
  • 517
    • Zobrazit profil
Re:Tunelování IP adresy pro firemní notebook
« Odpověď #3 kdy: 30. 10. 2024, 14:14:46 »
Hele tohle ja teda naprosto nechapu ...

Mas nejakej nastroj, ten nastroj ti dala firma, ta firma chce abys ten nastroj nejak pouzival. Pokud se neda pouzivat k praci kterou chteji abys na tom delal, tak to jednoduse namelduj do ty firmy. Pokud to chces pouzivat nejak jinak nez pro firemni ucely, tak se nediv, az ti daji § hrube poruseni pracovnich povinosti.

5nik

  • ***
  • 140
    • Zobrazit profil
    • E-mail
Re:Tunelování IP adresy pro firemní notebook
« Odpověď #4 kdy: 30. 10. 2024, 16:00:41 »
Ve windows si může VPN připojení nastavit i normální uživatel. Otázkou je, zda-li VPN připojení nechytí AV na tom NTB (a samozřejmě to bude reportovat).
Druhá možnost je VPN řešit po cestě mimo NTB, např. vloženým routerem (např. Mikrotik). Ale tam už to bude chtít trochu více znalostí s Mtikem.


jjrsk

  • *****
  • 517
    • Zobrazit profil
Re:Tunelování IP adresy pro firemní notebook
« Odpověď #5 kdy: 30. 10. 2024, 16:19:47 »
Ve windows si může ...
Uzivatel nastavit to, co mu administrator nastavit dovoli. Kdyz budu chtit, tak potece veskery provoz z toho notesu pres firemni gw, a uzivatel s tim nenadela vubec nic, proste se naprimo do netu (ani do lokalni site) vubec nedostane. Pricemz tohle je jedna z beznych korporatnich politik.

Samo whitelistovani domacich IPcek, v situaci, kdy realne ma svoje IPcko par blaznu, je IMO totalni fail.

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #6 kdy: 30. 10. 2024, 17:23:44 »
Urcite? Kdysi jsem to zkousel s androidem (jedna verze wireguardu mi na notasu dela modrou smrt) a nic se nestalo.
Telefon byl na VPN, ale pripojene zarizeni ne.

Máš pravdu, nyní to skutečně takto nefunguje.

Přísahal bych, že když jsem to testoval naposledy, hotspot letěl skrze VPNku.. Asi nějaká aktualizace, bůh ví.

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #7 kdy: 30. 10. 2024, 17:26:54 »
ja mam na pracovnim notasu virtualky a tam si delam co chci.

a nemuzou ti pridat do whitelistu i hotspot z mobilu?

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #8 kdy: 30. 10. 2024, 19:14:05 »
jako pokazdy jinou, kdyz ji operator zmeni?

ja mam na pracovnim notasu virtualky a tam si delam co chci.

a nemuzou ti pridat do whitelistu i hotspot z mobilu?

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #9 kdy: 30. 10. 2024, 21:06:51 »
Na wireguard si lze pořídit něco jako tohle s openwrt.  https://www.aliexpress.com/item/1005005454549323.html

Je to linux pro routery, takže podpora v jádře je jasná a lze doinstalovat i klikátko pro Gui.
Dal bych si tam čistý openwrt a místo toho zmrveného od výrobce.
Návod jak to nastavit je např. zde.

https://www.ivpn.net/setup/router/openwrt-wireguard/

Doma by jste pak také potřeboval wireguard router a je to vyřešené.

Lepší by ale bylo, kdyby dal vpn přístup přímo zaměstnavatel včetně nastavení v notebooku.

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #10 kdy: Dnes v 08:12:26 »
Hele tohle ja teda naprosto nechapu ...

Mas nejakej nastroj, ten nastroj ti dala firma, ta firma chce abys ten nastroj nejak pouzival. Pokud se neda pouzivat k praci kterou chteji abys na tom delal, tak to jednoduse namelduj do ty firmy. Pokud to chces pouzivat nejak jinak nez pro firemni ucely, tak se nediv, az ti daji § hrube poruseni pracovnich povinosti.

Naprostej souhlas.
1) je to problém firemního IT oddělení, a oni jsou jediní kompetentní se tím zabývat
2) jakýkoli kutění s tím je porušením asi tak miliónu interních závazných směrnic a recept na §ZávPorPracKáz
3) i když to rozchodí, tak jakýkoli problém na poli kyberbezpečnosti padne na JEHO hlavu včetně odpovědnosti za náhradu škody v rozsahu dle Zákoníku Práce, tzn 4,5x průměr měsíčního platu s možností okamžitého vyhazovu a škraloupu u HR, o kterém se dozví každý další eventuální zaměstnavatel, který zvedne telefon a zavolá si o referenci
4) tím předem neznámý osobě dává do ruky kanón, kterým ho půjde kdykoli odstřelit a zbavit se ho, jakmile ho kdokoli začne mít nerad

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #11 kdy: Dnes v 08:38:57 »
Tak zalezi co chce delat, a co delat nemuze, prorotoze politika. Spoustu vec jde obejit pres SOCku, SSH nebo KASM.

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #12 kdy: Dnes v 09:26:03 »
Ve firmě rozhodně NECHCE lízt někomu bez jeho souhlasu kompetenčně do zelí, tím spíš v oblasti kyberbezpečnosti.
Jedna věc je na základě domluvy s nimi ten problém vyřešit, ale fakticky hacknout firmu pro kterou dělá je něco uplně jinýho.

Karmelos

  • *****
  • 1 048
    • Zobrazit profil
    • E-mail
Re:Tunelování IP adresy pro firemní notebook
« Odpověď #13 kdy: Dnes v 10:07:21 »
VPN.
Předpokládám v dalších korporátech to je podobné, u nás se mimo kancl (tzn i skrzeva mobil) po přihlášení do NTB připojuje do korporátní VPN pomocí cisco anyconnect. To si vyžádá 2f ověření, odkliknu a pracuju jako z kanclu. Nic nikde se nemusí nastavovat, řešit žádat atp. funguje to leta.
Gréta je nejlepší.

Re:Tunelování IP adresy pro firemní notebook
« Odpověď #14 kdy: Dnes v 10:52:14 »
kdyz to nechapes, tak se do toho neser?

Hele tohle ja teda naprosto nechapu ...

Mas nejakej nastroj, ten nastroj ti dala firma, ta firma chce abys ten nastroj nejak pouzival. Pokud se neda pouzivat k praci kterou chteji abys na tom delal, tak to jednoduse namelduj do ty firmy. Pokud to chces pouzivat nejak jinak nez pro firemni ucely, tak se nediv, az ti daji § hrube poruseni pracovnich povinosti.

Naprostej souhlas.
1) je to problém firemního IT oddělení, a oni jsou jediní kompetentní se tím zabývat
2) jakýkoli kutění s tím je porušením asi tak miliónu interních závazných směrnic a recept na §ZávPorPracKáz
3) i když to rozchodí, tak jakýkoli problém na poli kyberbezpečnosti padne na JEHO hlavu včetně odpovědnosti za náhradu škody v rozsahu dle Zákoníku Práce, tzn 4,5x průměr měsíčního platu s možností okamžitého vyhazovu a škraloupu u HR, o kterém se dozví každý další eventuální zaměstnavatel, který zvedne telefon a zavolá si o referenci
4) tím předem neznámý osobě dává do ruky kanón, kterým ho půjde kdykoli odstřelit a zbavit se ho, jakmile ho kdokoli začne mít nerad