[mac_phone]

Hallo,

es geht um einen VPN-Client von Cisco, wobei ich mir nicht sicher bin, ob das im Folgenden beschriebene Verhalten nicht evtl. für die meisten VPN-Clients gelten dürfte.

Der betroffene Win7-Rechner besitzt eine LAN- sowie einen WLAN-Adapter. Per Kabel ist der Rechner über einen Router mit meinem lokalen Netz und in der Folge mit einem DSL-Modem verbunden. Über diese Verbindung hab ich Zugriff auf alle Teile dieses lokalen Netzwerkes und auch auf das Internet. Verbinde ich mich über besagten VPN-Client mit einem entsprechenden Netzwerk, reisst der Client komplett alle Netzverbindungen an sich und gibt mir keinen Zugriff mehr auf das lokale Netzwerk. Selbst wenn ich (zeitlich vor oder nach dem VPN-Connect) eine weitere lokale Verbindung z.B. über WLAN aufbaue - der VPN-Client scheint alles zu blockieren, was im Falle seiner aktiven Verbindung nicht zum entfernten Netzwerk gehört.

Ist das ein übliches Verhalten eines VPN-Clients, jegliche Netzwerkresourcen so an sich zu reißen, auch wenn sie gar nichts mit der von ihm gesteuerten Tunnelverbindung zu tun haben? Ohne weitere Details über die Software oder das Netzwerk preisgeben zu können (Firmenrechner!) - gibt es eine Möglichkeit, mit evtl. auch Drittsoftware, eine zweite oder dritte Netzwerkkarte im Rechner vor den Krallen des VPN-Clients zu "retten".

Mir ist schon klar, daß das im Zweifelsfall eine Sicherheitsmaßnahme ist, um einen unerwünschten Zugriff auf das VPN zu verhindern. Aber solange der Rechner nicht am VPN angemeldet ist, hab ich ja auch Zugriff auf alle Teile des privaten lokalen Netzes und auch offen auf das Internet. Gut, in dem Moment gibt es keine direkte Verbindung zum Firmennetzwerk. Aber einen Schädling, der dann später bei aktivem VPN sein Werk verübt, kann sich der Rechner in der Zeit ohne VPN ja trotzdem einhandeln. Insofern sehe ich da zumindest technisch keine Notwendigkeit, sich derart abzuschotten ... auch wenn ein Kollege der IT-Abteilung das mit Sicherheit anders sehen würde.

Vielleicht hat jemand ein paar erklärende Hinweise für mich.

Grüße,
Mac

[Holger_N]

Vielleicht ist das nur ein Zuordnungsproblem. Wenn ich im Browser fritz.box eintippe, dann komme ich auf die Fritzbox. Verbinde ich mich mit dem Rechner per VPN mit einem entfernten Netzwerk, dann ist der Rechner Teil dieses Netzwerks und hat in diesem auch eine andere IP, wenn ich dann fritz.box eintippe findet der Browser die Fritzbox nicht, weil es in dem entfernten Netzwerk keine Fritzbox gibt. Gebe ich aber die IP der Fritzbox ein dann gehts. Vielleicht liegts ja nur an sowas.

[mac_phone]

Nein, an der Namensauflösung hängt das nicht. Ich kann auch schon keinen einzigen Ping auf lokale IP-Adressen absetzen. Die sind nicht erreichbar bzw. der Ping bekommt einen Timeout.

Mac

[RalphS]

Irgendwas sagt mir, daß dieses Verhalten durchaus so gewollt ist.

Gibt es in den Netzwerkverbindungen einen eigenen Eintrag für die VPN-Verbindung (bzw wird einer erstellt, wenn diese aktiv ist)? Wenn nicht, würde das die beschriebene Situation erklären. Wenn doch, wäre der "Haken" anderswo zu suchen.


Aber ich würde dringend davon abraten, an dieser Konfiguration etwas zu ändern bzw - um ganz sicher zu gehen - auch nicht den *Versuch* anstellen.

Denn falls da in Folge weitere Zugriffe passieren aus Deinem Privatnetzwerk aufs Firmennetzwerk... Stichwort Viren, Malware und so weiter... na, nur so viel: es ist ohne größeren Aufwand möglich, Deine Verbindung als Problemquelle ausfindig zu machen.

Frag am besten den Zuständigen aus Deiner Firma; der wird (vermutlich) dasselbe sagen... aber vielleicht auch nicht und dann bist Du schlauer.

(Und nur mal so nebenher: was versprichst Du Dir eigentlich davon, wenn der PC remote UND lokal im Netz verfügbar wäre?)

[mac_phone]

Ich hab auch nicht wirklich vor, in dieser Sache gegen handfeste Richtlinien zu verstoßen. Mich (selbst ungewollt) als zurückzuverfolgende Quelle eines Schädlingbefalls im Firmennetzwerk zu betätigen - da stell ich mir angenehmeres vor.
Es ist nur so, daß viele der aufgestellten Vorschriften auf ein manchmal irrationales bis fast schon paranoides Maximum an Sicherheit ausgelegt sind (, das andererseits tatsächliche Gefahren einfach ignoriert), größtenteils um auch den oftmals technisch weniger beschlagenen Mitarbeiter vor seiner eigenen Unbedarftheit zu schützen. Da kann man dann als Entwickler zehnmal nachweisen, zu wissen, was man im Einzelfall tut: es gilt hier eher der Spruch "Das haben wir schon immer so gemacht. Da könnte ja jeder kommen." Aber bis zu einem bestimmten Punkt hab ich dafür auch Verständnis.

Hab den Rechner gerade nicht hochgefahren, aber ich glaube, das ist in den Netzwerkverbindungen dann ein eigener VPN-Adapter. Ich schau bei nächster Gelegenheit aber mal nach.

Mein Anliegen wäre, auch während der laufenden VPN-Verbindung per "Mouse Without Borders" (MWB) Maus und Tastatur meines privaten Rechners auch auf dem Firmenrechner nutzen zu können, um nicht so oft die Eingabegeräte wechseln zu müssen, was bei nicht-aktiver VPN-Verbindung einwandfrei funktioniert. Für MWB müssen die damit verbundenen Rechner (können auch mehr als 2 sein) in einem Netzwerk hängen. Ich weiß, ich weiß - es gibt auch die allseits bekannten Umschalter. Aber die Maus einfach über den Rand des Desktops zu schieben und dann sofort auf dem anderen Rechner klicken und tippen zu können, ist meines Erachtens schon nochmal eine andere Qualität. Nutze ich im Büro und ausschließlich innerhalb des Firmennetzes auf mehreren Rechnern sehr intensiv. Das Tool wird genau zu diesem Zweck sogar von unserer IT-Abteilung zur Verfügung gestellt.

Mac

PS: Ja, es ist ein eigener Netzwerk-Adapter, sogar ohne aktives VPN. Er wird "enabled", sobald die Verbindung steht.

PPS: Ist übrigens so gut wie unmöglich, derartige Spezialauskünfte von unserer IT-Abteilung zu bekommen. Das ist ein weltweit agierender Konzern mit zigtausenden Mitarbeitern. 90% der Supportanfragen sind von der Art "ICH TIPPE AUF EINMAL NUR NOCH IN GROSSBUCHSTABEN" Für sowas leistet sich unser Laden HelpDesks mit meiner Ansicht nach technisch allerhöchstens ausreichend geschultem Personal irgendwo in Osteuropa. Wer kennt das nicht, die üblichen DAU-Lösungsvorschläge von Hotlines der Marke "Have you tried turning it off and on again?" Da wünscht man sich oftmals das magische Passwort, um zu einem richtigen Techniker mit echter Kenntnis von solchen Details durchgestellt zu werden. An so jemanden zu geraten, ist praktisch unmöglich oder setzt zumindest extreme Hartnäckigkeit oder einen direkten Draht zu den IT-Jungs voraus. Und Letzteres ist nicht einmal erwünscht, aus gutem Grund. Die kämen sonst zu nix anderem mehr.

Dieser Beitrag wurde von mac_phone bearbeitet: 02. Juni 2013 - 11:50