Dienste in grünen Netz extern auflösen und intern bereitstellen

Wie kann man das Konfigurieren?
Post Reply
andre
Posts: 26
Joined: October 8th, 2012, 12:21 pm
Location: Würzburg

Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by andre » February 15th, 2018, 7:00 am

Hi,

ich arbeite meist von zu Hause aus und bin währenddessen die meiste Zeit per VPN mit unserem Firmennetz verbunden - wir nutzen den ekelhaften Cisco Anyconnect Client. Ekelhaft u.a. deswegen, weil der sämtliche Verbindungen nach 192.168.0.0/16 etc kappt und damit ein Zugriff auf die Dienste die hier laufen unterbindet (Asterisk, Storage Server, Haustürkamera, etc...).

Gibt es eine irgendeine Möglichkeit, meine lokalen Dienste als "Fake von aussen" zugreifbar zu machen? DynDomain, externer DNS-Server - alles vorhanden. Der VPN-Client scheint keinen "force redirect" zu machen, der sämtlichen Traffic durch unser Unternehmensnetz schleust.

Meine Überlegung wäre, zum Beispiel die Kamera einfach als kamera.meinedynip.de (oder kamera.meinefestedomain.de) anzusprechen, und ggfs in ein separates Netz zu packen, der IPFire schleust dann die Daten über eine interne Verbindung durch ohne dass der Traffic über rot läuft. Ich habe hier auch einen WLAN AP, den ich als Gateway konfigurieren und dazwischen schalten könnte.

Geht das? Wie könnte ich das anstellen?

Danke & Grüße

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by fredym » February 15th, 2018, 7:47 am

andre wrote:
February 15th, 2018, 7:00 am
Hi,

ich arbeite meist von zu Hause aus und bin währenddessen die meiste Zeit per VPN mit unserem Firmennetz verbunden - wir nutzen den ekelhaften Cisco Anyconnect Client. Ekelhaft u.a. deswegen, weil der sämtliche Verbindungen nach 192.168.0.0/16 etc kappt und damit ein Zugriff auf die Dienste die hier laufen unterbindet (Asterisk, Storage Server, Haustürkamera, etc...).

sehr gut! Zumindest als Firmenadmin hätte ich ein großes Interesse daran das Firmennetz vor "unkontrollierbaren Quellen" zu schützen.
Gibt es in dieser Firma etwa keinerlei Regeln für VPN-Arbeitsplätze ? (das sollte mich wundern)

Gibt es eine irgendeine Möglichkeit, meine lokalen Dienste als "Fake von aussen" zugreifbar zu machen? DynDomain, externer DNS-Server - alles vorhanden. Der VPN-Client scheint keinen "force redirect" zu machen, der sämtlichen Traffic durch unser Unternehmensnetz schleust.

Meine Überlegung wäre, zum Beispiel die Kamera einfach als kamera.meinedynip.de (oder kamera.meinefestedomain.de) anzusprechen, und ggfs in ein separates Netz zu packen, der IPFire schleust dann die Daten über eine interne Verbindung durch ohne dass der Traffic über rot läuft. Ich habe hier auch einen WLAN AP, den ich als Gateway konfigurieren und dazwischen schalten könnte.

Geht das? Wie könnte ich das anstellen?

Danke & Grüße
Warum stellst du diese Dienste nicht einfach im Internet selbst bereit ? Über deinen Internetanschluß ?

Fred

DJ-Melo
Posts: 678
Joined: July 8th, 2014, 7:12 am

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by DJ-Melo » February 15th, 2018, 10:14 am

wäre die einfachste Lösung nicht die Dienste in ein eigenes Netz zu hängen welches nicht vom VPN Connect betroffen ist.

andre
Posts: 26
Joined: October 8th, 2012, 12:21 pm
Location: Würzburg

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by andre » February 15th, 2018, 12:07 pm

fredym wrote:
February 15th, 2018, 7:47 am
sehr gut! Zumindest als Firmenadmin hätte ich ein großes Interesse daran das Firmennetz vor "unkontrollierbaren Quellen" zu schützen.
Gibt es in dieser Firma etwa keinerlei Regeln für VPN-Arbeitsplätze ? (das sollte mich wundern)
Stimme grundsätzlich zu. Nach Rücksprache mit der IT hat man kein Problem mit den von mir beschriebenen Diensten, der wesentliche und für mich nachvollziehbare Grund ist der, dass man kein separates Profil für mich ausrollen (und vor allem pflegen) kann/will.
Warum stellst du diese Dienste nicht einfach im Internet selbst bereit ? Über deinen Internetanschluß ?
1. weil ich mir dann mit Upload / Download die Leitung dicht mache
2. Ich bin kein Profi was die sichere Bereitstellung dieser Dienste betrifft, das wäre geradezu fahrlässig (ja, ich weiß was openVPN ist, aber dann kommt immer noch 1. zum Tragen, ich denke da an xGB große VMs die ich regelmäßig sichere)

andre
Posts: 26
Joined: October 8th, 2012, 12:21 pm
Location: Würzburg

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by andre » February 15th, 2018, 12:08 pm

DJ-Melo wrote:
February 15th, 2018, 10:14 am
wäre die einfachste Lösung nicht die Dienste in ein eigenes Netz zu hängen welches nicht vom VPN Connect betroffen ist.
Kannst Du mir einen Tipp geben wo ich anfangen kann mich dazu schlau zu machen?

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by fredym » February 15th, 2018, 5:11 pm

andre wrote:
February 15th, 2018, 12:07 pm
Warum stellst du diese Dienste nicht einfach im Internet selbst bereit ? Über deinen Internetanschluß ?
1. weil ich mir dann mit Upload / Download die Leitung dicht mache
2. Ich bin kein Profi was die sichere Bereitstellung dieser Dienste betrifft, das wäre geradezu fahrlässig (ja, ich weiß was openVPN ist, aber dann kommt immer noch 1. zum Tragen, ich denke da an xGB große VMs die ich regelmäßig sichere)
Du meinst also daß es ein Unterschied ist, die
a- Leitung mit einem direkten Upload dicht zu machen,
b- den in a genannten Traffic über (die gleiche Leitung) aber über einen Tunnel zu schicken

hmm korrekt gesagt ja... beim Tunnel kommt immer noch evtl 10% Tunneloverhead dazu (es ist also etwas mehr an Traffic..)

Was da Sichern angeht...entweder du hast Bandbreite - oder nicht. der "Weg" ist eigentlich egal.

Wenn du in der Dienstbereitstellung dir nicht sicher bist... besser Finger davon lassen ;-)
Asterisk zu NATten ist auch nicht ganz ohne, wenn es gehen soll, wirst du dich auch mit QoS befassen müssen und einigem mehr ... irgendwie passt das nicht zur Ausgangsfrage!
siehe deine Antwort auf @dj-melo.
DeinenIdee/Vorhaben ist
- keine Standardlösung, du wirst als sehr schwierig Beispiele finden
- setzt auch ein klein wenig Wissen voraus

nicht das es unlösbar wäre , wobei mir z.B. nicht ganz klar ist, wozu dein Haustürkamerabild in der Firma gebraucht wird ;-) aber das ist schon wieder eine ganz andere Frage.

Fred

andre
Posts: 26
Joined: October 8th, 2012, 12:21 pm
Location: Würzburg

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by andre » February 15th, 2018, 5:35 pm

Oha - ich sehe Unklarheiten :)

Ich bin zu Hause an meinem Rechner. Der ist mit dem VPN der Firma verbunden und kann aufgrund der Sperre für LAN nicht mehr auf das lokale Netz zugreifen.

Ich möchte die Dienste also nicht in der Firma nutzen, sondern weiterhin alles ausschliesslich lokal.

Beispiel Kamera:

kamera.home wird von IPFire auf 192.168.1.123 aufgelöst, solange ich nicht mit dem VPN verbunden bin.
Wenn ich mit dem VPN verbunden bin, kennt der DNS Server der Firma meinen Host kamera.home natürlich nicht. Und selbst wenn, 192.168... ist ja blockiert.
Meine Idee ist jetzt:
Kamera wird als kamera.meinedomain.de aufgerufen. Dem DNS meines Servers meinedomain.de sage ich dass kamera.meinedoman.de mit 22.33.44.55 aufgelöst wird.
22.33.44.55 ist nicht gesperrt und kann deshalb aufgerufen werden.
Kein forced redirect bedeutet dass ich meinen IPFire nun nur dazu bringen muss, die Aufrufe für 22.33.44.55 auf den Host 192.168.1.123, und zwar innerhalb von GRÜN zu routen. Damit geht zwar alles über den IPFire, aber der langweilt sich eh den ganzen Tag und es geht somit nichts zu ROT.

Ist das verständlicher?

EDIT: Mir ist natürlich klar dass 22.33.44.55 tatsächlich auch im Internet existieren kann, aber da der IPFire das lokal umleitet und es schon ein großer Zufall - sowie schnell zu beheben - wäre, ist mir das egal.

Alorotom
Posts: 429
Joined: March 30th, 2015, 6:56 am

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by Alorotom » February 16th, 2018, 9:49 am

Mach's doch nicht so kompliziert von hinten durch die Brust ins Auge ;)

Was DJ-Melo meint: nimm doch für Dein Netz zuhause ein anderes privates Subnetz als 192.168.x.x, also z.B. 172.16.1.x
Da hättest Du zwar die Mühe, Dein Netz einmal umzustellen, könntest dann aber sehr wahrscheinlich (weil kein force redirect) ohne weiteres parallel zum VPN auf Deine lokalen Ressourcen zugreifen.

Gruß
Alorotom
Image
Image

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: Dienste in grünen Netz extern auflösen und intern bereitstellen

Post by fredym » February 16th, 2018, 10:08 am

andre wrote:
February 15th, 2018, 5:35 pm

Kamera wird als kamera.meinedomain.de aufgerufen. Dem DNS meines Servers meinedomain.de sage ich dass kamera.meinedoman.de mit 22.33.44.55 aufgelöst wird.
22.33.44.55 ist nicht gesperrt und kann deshalb aufgerufen werden.
Kein forced redirect bedeutet dass ich meinen IPFire nun nur dazu bringen muss, die Aufrufe für 22.33.44.55 auf den Host 192.168.1.123, und zwar innerhalb von GRÜN zu routen. Damit geht zwar alles über den IPFire, aber der langweilt sich eh den ganzen Tag und es geht somit nichts zu ROT.

Ist das verständlicher?

EDIT: Mir ist natürlich klar dass 22.33.44.55 tatsächlich auch im Internet existieren kann, aber da der IPFire das lokal umleitet und es schon ein großer Zufall - sowie schnell zu beheben - wäre, ist mir das egal.
Dir ist aber auch klar, dass es im Firmenetz schon einen anderen Routenweg zu 22.33... gibt. Du wirst also schon das Firmennetz manipulieren müssen, ich mein... vielleicht kannst du die Hinweg-Route beeinflußen.... aber manchmal (??) will man ja von der aufgerufenen IP auch eine Antwort.

Andererseits, wenn dein Firmennetadmin einverstanden ist, wird er dir evtl. auch die Lösung erklären ! (eben die mit der er einverstanden ist).

Und der Krimskrams bei dir zu Hause hat eh (eigentlich) mit VPN-Anbindung über die Firma nicht viel zu tun. (Fummelig wirds erst bei Virtualisierung und/oder Terminalclients) ... andererseits: falls dein VPN-Client den vollständigen Traffic an sich reisst, musst du den eben tauschen :-)
Dann würde aber (netzwerk)Drucken zu Hause auch nicht gehen...hmm .


Fred
ps: ich stolpere zu oft über den Satz: ich stelle mir vor ...... was hat dich bis jetzt daran gehindert so etwas erst einmal auszuprobieren ?
Wo ist das Problem, die IP der Kamera zu ändern und Paketantworten zu testen ( traceroute, ping) ?

Post Reply