Zugriff auf Heimserver aus anderem Subnetz

[Phantro]

Hi zusammen,

ich benötige etwas Hilfe bei meinem Heimnetzsetup. Ich finde aktuell leider keine Lösung, wie ich folgendes Problem lösen kann:

Ich betreibe einen kleine Proxmoxx Server mit verschiedenen Containern. In einem davon habe ich mir nun CasaOS installiert. Der Zugriff funktioniert auch einwandfrei.
Über den GastLan Port 4 der Fritzbox (somit auch ein anderes Subnetz) habe ich meinen Firmenrechner angeschlossen. Mit diesem muss ich mich, für Zugriff auf das Intranet, SAP etc., über einen VPN mit dem Firmennetz verbinden.
Mein Ziel ist es aber nun, trotz VPN zum Firmennetz, mit dem Firmenrechner auf den CasaOS Container zuzugreifen. Auf die restlichen Container des Servers brauche ich nicht zwingend einen Zugriff. Ich hatte die Idee, dem Container eine 2. Bridge zu verpassen und diese im Gast Subnetz agieren zu lassen. Aber diese Idee funktioniert nicht so einfach wie ich mir das erhofft habe.

Da ich noch kein Profi im "Netzwerken" bin, fehlt mir aktuell der richtige Ansatzpunkt um mein Vorhaben umzusetzen. Es wäre nett, wenn mir hier jemand ein bisschen Support liefern könnte. Falls ich etwas vergessen habe zu erwähnen bzw. weitere Infos erforderlich sind - bitte Bescheid geben, reiche ich asap nach



*EDIT: Anpassung der Formulierung zwecks Zugang zur Außenwelt

 

[Shihatsu]

Wenn deine Firma den VPN-Zugang nicht komplett verkackt hat wird das nie möglich sein. Der Sinn eines solchen Firmennetzwerks ist eben das Netzwerkzugang nur via Tunnel in das Netzwerk der Firma möglich ist, und alles andere eben nicht.

 

[TheBigG]

Hi zusammen,

ich benötige etwas Hilfe bei meinem Heimnetzsetup. Ich finde aktuell leider keine Lösung, wie ich folgendes Problem lösen kann:

Ich betreibe einen kleine Proxmoxx Server mit verschiedenen Containern. In einem davon habe ich mir nun CasaOS installiert. Der Zugriff funktioniert auch einwandfrei.
Über den GastLan Port 4 der Fritzbox (somit auch ein anderes Subnetz) habe ich meinen Firmenrechner angeschlossen. Mit diesem muss ich mich über einen VPN mit dem Firmennetz verbinden.
Mein Ziel ist es aber nun, mit diesem Firmenrechner auf CasaOS zuzugreifen. Auf die restlichen Container des Servers brauche ich nicht zwingend einen Zugriff. Ich hatte die Idee, dem Container eine 2. Bridge zu verpassen und diese im Gast Subnetz agieren zu lassen. Aber diese Idee funktioniert nicht so einfach wie ich mir das erhofft habe.

Da ich noch kein Profi im "Netzwerken" bin, fehlt mir aktuell der richtige Ansatzpunkt um mein Vorhaben umzusetzen. Es wäre nett, wenn mir hier jemand ein bisschen Support liefern könnte. Falls ich etwas vergessen habe zu erwähnen bzw. weitere Infos erforderlich sind - bitte Bescheid geben, reiche ich asap nach

Würde gehen wenn dein kleiner Proxmox Server mehrere NICs hat und du dann zwischen Fritzbox Port 4, deinem Firmenrechner und NIC 2 von deinem Proxmox Server einen switch steckst. Andere Lösung würde mir da jetzt nicht mit der Fritzbox einfallen, da sie ja Gast und Default Netz trennen soll. Leider sind Fritzboxen auch eher von der dummen Sorte weshalb du da auch nicht die Firewall für ein bestimmtes Subnetz aufmachen kannst. Da bräuchtest du dann OpenWRT oder OPNsense oder irgendwas was einfach mehr kann.

Wenn deine Firma den VPN-Zugang nicht komplett verkackt hat wird das nie möglich sein. Der Sinn eines solchen Firmennetzwerks ist eben das Netzwerkzugang nur via Tunnel in das Netzwerk der Firma möglich ist, und alles andere eben nicht.

Das ist Blödsinn, split Tunnel ist mittlerweile state of the art, alles zu tunneln machen nur noch Firmen des ewigen gesterns.

 

[Shihatsu]

Das ist kein Blödsinn, sondern auch heute noch Usus - rein aus Sicherheitsgründen. Alle großen in der Industrie machen das auch heute noch so - VW, Siemens, Telekom, ... Klar kannst du die gerne als "Firmen des ewigen gesterns" titulieren, ändert aber nichts daran das das so gelebt wird und es auch durchaus sinnvoll ist. Wenn du nichts in ein Gerät reinlässt, ist das Gerät automatisch sicherer. USB aus - check. Netzwerkverkehr ohne Tunnel aus - check. Bios verrammelt - check. Und wenn ich Entscheider bei einer Infrastuktur basierend auf den unheiligen 3 (Exchange, Windows, Office) wäre würde ich das genau so machen.

 

[Phantro]

Danke BigG, aber mein Server hat leider nur 1 NIC. Müsste ich höchstens nachrüsten und noch einen Switch organisieren. Aber das wäre glaube dann ein bisschen zu viel Aufwand und zieht halt alles dann nochmal extra Strom. Zumal ich nicht genau weiß, in wie fern Shihatsu recht hat. Fakt ist aber, das ich auch ohne VPN den Rechner im Internet nutzen kann. Ich kann nur nicht mehr auf die Firmeninfrastruktur, sprich Intranet, Sharepoint etc. zugreifen. Dazu ist wiederum zwingend der VPN notwendig.
Dann werde ich wohl meinen Wunsch begraben müssen :-(

 

[TheBigG]

Ich muss schon sehr schmunzeln mir von jemanden der scheinbar den Unterschied zwischen einer Firewall und einem VPN nicht kennt etwas über security usus erzählen zu lassen. Nebenbei selbst andere große Deutsche Autohersteller haben schon auf Zscaler und/oder Netskope umgestellt. Wann VW, Siemens und Telekom wohl feststellen das 99% des Webtraffics heutzutage verschlüsselt ist?

 

[Phantro]

Ja, der gute Zscaler kommt mir sehr bekannt vor ;-)

 

[sch4kal]

Split VPN hindert dich halt nicht mit nem Portable Browser ganz ohne Proxy ins Netz zu gehen.

 

[Shihatsu]

Ich muss schon sehr schmunzeln mir von jemanden der scheinbar den Unterschied zwischen einer Firewall und einem VPN nicht kennt etwas über security usus erzählen zu lassen. Nebenbei selbst andere große Deutsche Autohersteller haben schon auf Zscaler und/oder Netskope umgestellt. Wann VW, Siemens und Telekom wohl feststellen das 99% des Webtraffics heutzutage verschlüsselt ist?

Ist ja toll das du da schmunzeln musst, aber es ist nunmal Fakt das viele große Firmen ihre Laptops komplett zunageln, das das durchaus sinnvoll ist und das dafür VPN und Firewall mittels Boardmitteln so voneinander abhängig und miteinander verschränkt werden das man weder an dem einen noch dem anderen vorbeit kommst. Bist du eigentlich so arrogant geboren oder wurdest du das? Falls letzteres - such dir Hilfe...

 

[B$TIStalin]

Du hast 2 Möglichkeiten:

Wie TheBigG schon schrieb:

Zweite Netzwerkkarte in den Server und einen Switch dazu und dann dein Firmennotebook und den Server verbinden.


Dein Firmennotebook im normalen LAN mit einbinden und dann funktioniert das ganze auch wenn du mit dem VPN verbunden bist.

​

 

[TheBigG]

Bist du eigentlich so arrogant geboren oder wurdest du das?

Nö das nicht, aber wer so ins Rennen geht

Wenn deine Firma den VPN-Zugang nicht komplett verkackt hat wird das nie möglich sein. Der Sinn eines solchen Firmennetzwerks ist eben das Netzwerkzugang nur via Tunnel in das Netzwerk der Firma möglich ist, und alles andere eben nicht.

bekommt entsprechend die Antwort Formuliert, ich hab mich nur deinem Niveau angepasst.
Wenn du damit nicht klar kommst Antworte doch mit "bei uns" oder "meiner Meinung nach" und nicht das ist allgemein so und alle anderen haben es verkackt, dann bekommst du auch eine andere Antwort.

 

[Shihatsu]

Ach so, weil ich deiner Meinung nach niveaulos werde, wirst du das dann auch. Kann man so machen, ist dann halt suboptimal. Viel Spaß noch in deiner Bubble...

 

[Phantro]

Leute, entspannt euch bitte Ich wollte hier keinen Krieg verursachen. Über die Art und Weise wie etwas formuliert wird kann man immer gerne streiten, sehe ich ein. Ist beim geschriebenen Wort auch immer nochmal etwas anderes als wenn man demjenigen gegenüber steht und anhand der Tonlage eine andere Wahrnehmung hat. Aus meinem Eingangspost könnte man zudem tatsächlich interpretieren, das ein Zugang zur Außenwelt mit dem Firmenrechner nur via VPN möglich sei. Da war ich in meiner Wortwahl auch nicht eindeutig genug.
Im Kern lese ich heraus, das beide Standpunkte irgendwo richtig sind. Shihatsu hat mit seiner Aussage durchaus recht wenn alles komplett zugenagelt wird und es von der Firma so gewollt ist. BigG hat dahingehend recht, das es auch "modernere" Lösungen gibt und diese wohl mit Zscaler und, für Zugriff auf Intranet etc., VPN bei uns so umgesetzt wurde.

 

[Senator Wurstbein]

Zurück zum Thema: Warum hängt der Firmen-PC am Gast Port?

 

[kalkzone]

Gastzugang​

Hier ermöglichen Sie Ihren Gästen schnell und sicher einen Zugang zum Internet. Aktivieren Sie die Option "Gastzugang für LAN 4 aktiv" und schließen Sie das Gastgerät an die Buchse "LAN 4" an Ihrer FRITZ!Box an. Die mit dem "LAN 4"-Anschluss verbundenen Geräte nutzen lediglich den Internetzugang, haben aber keinen Zugriff auf Ihr Heimnetz.


DAS
steht in den Netzwerkeinstellungen MEINER FB.

Wenn Du also Deinen Server ansprechen willst, solltest Du versuchen, den an einen anderen Port anzuschliessen.
UND
eine entsprechende IP Adresse vergeben oder den Server auf DHCP umstellen.

mfg

 

[underclocker2k4]

Nebenbei selbst andere große Deutsche Autohersteller haben schon auf Zscaler und/oder Netskope umgestellt. Wann VW, Siemens und Telekom wohl feststellen das 99% des Webtraffics heutzutage verschlüsselt ist?

Die Verwendung von Zscaler schließt einen separaten VPN nicht aus.
Zscaler wird dann für alles allgemeine verwendet, um den groben Scheiß abzufangen. Und dennoch gibt es einen separaten VPN Zugang für die internen Systeme und da ist, trotz deiner gegenteiligen Ansicht, dennoch Usus, da eben keinen Splittunnel zu machen. Und das führt eben dazu, dass du eben auch keine lokale System mehr erreichen kannst, von irgendwelchen anderen Subnetzen rede ich da noch nichtmal.

Und nur weil etwas als modern angesehen wird, muss es noch lange nicht den Ansprüchen genügen. Das spielt am Ende in einem Gesamtkonstrukt zusammen, da ist VPN nur ein kleiner der Gesamtarchitektur.

Gerade bei einem Firmenrechner kann man sich fragen, warum muss sich der User mit dem Gerät außerhalb der Firmenumgebung bewegen? Die Arbeit geschieht in aller Regel mit Firmensystemen und die stehen in aller Regel nicht in der privaten Domäne.

 

[TheBigG]

Die Verwendung von Zscaler schließt einen separaten VPN nicht aus.
Zscaler wird dann für alles allgemeine verwendet, um den groben Scheiß abzufangen. Und dennoch gibt es einen separaten VPN Zugang für die internen Systeme und da ist, trotz deiner gegenteiligen Ansicht, dennoch Usus, da eben keinen Splittunnel zu machen. Und das führt eben dazu, dass du eben auch keine lokale System mehr erreichen kannst, von irgendwelchen anderen Subnetzen rede ich da noch nichtmal.

Nette Meinung, klingt aber nach einer ziemlich altbackenen Lösung. Und Usus ist es nicht mehr (war es vielleicht vor 10-15 Jahren mal), besuch mal eine Fortbildung oder rede mal mit einer Unternehmensberatung was aktuell state of the art und Usus ist, da wird dein Setup nicht bei genannt werden.

Gerade bei einem Firmenrechner kann man sich fragen, warum muss sich der User mit dem Gerät außerhalb der Firmenumgebung bewegen? Die Arbeit geschieht in aller Regel mit Firmensystemen und die stehen in aller Regel nicht in der privaten Domäne.

Was betreust du denn das bei euch in der Regel alles auf Firmensystemen stattfindet? Bei uns ist das zumindest nicht mehr der Fall, wir haben die letzten 5 Jahre damit verbracht 125 Rechenzentren abzubauen und so ziemlich alles was deinem Usus entspricht zu entfernen.

 

[underclocker2k4]

oder rede mal mit einer Unternehmensberatung was aktuell state of the art und Usus ist, da wird dein Setup nicht bei genannt werden.

Letzt genanntes zeigt in aller Regel, die Inkompetenz dieser Unternehmensberatungen. Und das ist auch genau meine Erfahrung mit all diesen Leuten.

Sie haben ein sehr eingeschränktes Wissen, was sich in aller Regel mit den aktuell gehypten Themen überlagert, aber nicht das Gesamtspektrum abbildet und damit eben auch nicht zu gebrauchen ist.
Da ist dann in aller Regel die Rückmeldung, "oh sowas kannte ich noch, das ist aber ungewöhnlich, das wird aber eher schwierig"

IT ist mehr als ein Haufen, wie auch immer geartete, an Büroarbeitsplätzen. Und dem entsprechend ist nicht jede Lösung für alle Kunden/Anwendungen gleichermaßen einsetzbar.

Und so kommt es mal, dass man auch mal einen großen Batzen an onprem IT braucht, weil man, in aller Regel, die Steuerung von z.B. Fertigungssystemen nicht in der Cloud realisiert, da auch genau diese Fertigungssysteme in aller Regel nicht in die Cloud verlagert werden können. (und gerade für letzteres hat bisher auch kein Berater eine Lösung vorgestellt, komisch oder?)
Das heißt aber nicht, dass man in solchen Unternehmen dann nicht einen Zscaler oder auch SD-WAN einsetzt. Aber das ist, wie so oft im Leben, nur ein Teil der Wahrheit.
Und ich hätte gerne immer die gesamte Wahrheit, denn nur so kann ich die Systeme betreuen, die es zu betreuen gilt.

 

[TheBigG]

in aller Regel, die Steuerung von z.B. Fertigungssystemen nicht in der Cloud realisiert, da auch genau diese Fertigungssysteme in aller Regel nicht in die Cloud verlagert werden können. (und gerade für letzteres hat bisher auch kein Berater eine Lösung vorgestellt, komisch oder?)

Ah da ist dein Problem, du extrapolierst aus deiner Nische auf alle. Von mir aus ist das dann Usus in deiner Nische, allerdings haben 99% der Unternehmen in Deutschland keine Computergestützte Fertigung. Allerdings bewegen sich die anderen nicht in die Gleiche Richtung, deswegen wäre es irreführend in anderen Branchen von einem Usus mit dem von dir genannten Setup zu sprechen.

 

[Hexcode]

Ich würde eher Mal behaupten dass du in einer Nische hängst - es ist durchaus üblich jede andere Verbindung, außer die erlaubten zum Firmennetz, zu unterbinden.
Demnach wäre ein Zugriff auf Fritzbox oder andere lokale Komponenten schlicht und ergreifend aus IT-Security Sicht nicht vorgesehen und gehört unterbunden.
Ob Split-Tunnel oder nicht (z.b. Voice Traffic schickt man ja gerne mal am VPN vorbei) spielt da erstmal keine Rolle. Das einzige was bei uns aufgeht bevor der VPN steht ist ne Hotspot-Login Seite im Browser, alles andere ist unterbunden.

 

[sch4kal]

Ist halt stark Branchen- und Complianceabhängig, ob man Split VPNs einsetzen kann/darf, oder nicht. Wieso diskutieren wir da jetzt überhaupt drüber ?

 

[underclocker2k4]

Weil alle, die es (Split VPN) nicht machen, offensichtlich absolute Nulpen sind und sich mal von einer Kasperbude aka Unternehmensberatung einen erzählen lassen sollen.