Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Fragen zum LANCOM Advanced VPN Client

Moderator: Lancom-Systems Moderatoren

Antworten
Kommalan
Beiträge: 3
Registriert: 06 Apr 2020, 15:30

Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Beitrag von Kommalan »

Hallo,

auch ich arbeite aktuell imHome Office.
Wir nutzen den Lancom Advanced VPN Client mit einer Konfiguration des AG. Soweit, so gut.
(Ich bin kein Netzwerkprofi und glänze mit gefährlichem Halbwissen.)
Aktuell ist es demnach dann so, dass bei aktiviertem VPN Tunnel der gesamte Datenverkehr des PCs über den Tunnel läuft.
Da die Verbindung ziemlich langsam ist, möchte ich eigentlich all das was sonst noch auf dem PC läuft nicht noch über die gleiche Verbindung mitschicken. Wie kann man es einrichten, dass nur der Remotdesktopzugriff (Windows 10 RDP) über den VPN Tunnel läuft und "alles andere" daran vorbei?
Gibt es da eine Möglichkeit, das einfach einzurichten?

Ich habe 2 Netzwerkkarten im PC ich könnte da auch etwas mit der zweiten aktuell unbenutzten Karte machen. Nur da reicht mein Wissen nicht aus.
Es wäre echt super, wenn ihr mir dabei helfen könnten. Habe selbst schon gegoogled. Bei den Ergebnissen geht es aber meist um Server oder auch Raspberry PI Fragen. Ich kann mir daraus leider mangels Kenntnis auch nichts ableiten...

Vielen Grüße
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Beitrag von CyberT »

Hallo Kommalan,

Kommalan hat geschrieben: 06 Apr 2020, 15:40Wir nutzen den Lancom Advanced VPN Client mit einer Konfiguration des AG.
[...]
Gibt es da eine Möglichkeit, das einfach einzurichten?
Ja, hierzu mus eine Änderung am Profil des VPN-Tunnels vorgenommen werden.
Kannst Du denn das VPN-Profil überhaupt ändern?
Welche VPN-Client-Version auf welcher Platffrom nutzt Du?

Es gibt aber auch sehr gute Gründe, warum man als Admin den gesamten Traffic über den zentralen Zugangspunkt leiten möchte...

Gruß.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Beitrag von GrandDixence »

VPN-Tunneln in Firmennetzwerke sollten heute generell als "Split Tunneling mit IKEv2 Split-DNS" realisiert werden. Siehe:
alles-zum-lancom-advanced-vpn-client-f3 ... 17814.html

In unsicheren Netzwerkumgebungen (zum Beispiel: Hotel-WLAN) sollte Full- bzw. All-Tunneling eingesetzt werden. Für schlecht konfigurierte, fremde Netzwerke ist ein Fallback auf SSL-VPN/"encapsulation SSL"/IPSec-HTTPS erforderlich. Siehe auch:
fragen-zum-thema-vpn-f14/upgrade-9100-a ... ml#p100940

fragen-zum-thema-vpn-f14/geloest-vpn-cl ... tml#p98471
Kommalan
Beiträge: 3
Registriert: 06 Apr 2020, 15:30

Re: Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Beitrag von Kommalan »

Hallo,
Ja, hierzu mus eine Änderung am Profil des VPN-Tunnels vorgenommen werden.
Kannst Du denn das VPN-Profil überhaupt ändern?
Ja, das kann ich.
Welche VPN-Client-Version auf welcher Platffrom nutzt Du?
Homeoffice Rechner OS: Windows 10 Pro 64 Bit
Lancom Advanced VPN Client: v5.00 Build 45109
-Verbindungstyp: VPN zu IPsec
-Austausch Modus: IKEv2

Ich habe mich durch die vielen Links zu den Beiträgen mal durchgelesen. Leider ist das dann schon wieder ein wenig too much für mich. Sorry.
Nach dem Lesen habe ich mal folgendes probiert:
-Ich habe verstanden, dass das über Split Tunneling eine Möglichkeit gibt das so zu realisieren.
-Ich habe im Client über Verbindung>Verbindungsinformationen die VPN IP-Adresse ermittelt.
-Dann bin ich über Konfiguration > Profile > Bearbeiten > Split Tunnelling und habe dort die ermittelte IP Adresse des VPN Netzes eingetragen, sowie die Subnetadresse des Firmenetzwerks.
Ich habe dann 3 Tests gemacht:
1-(Vor der Profiländerung wie beschrieben, also ohne Split Tunneling, VPN aktiv): per "cmd > tracert google.de" den Signalweg auf dem Homeoffice Rechner geprüft. Hier geht dieser NICHT über meine Fritzbox sondern durch den Tunnel in die Firma.
2-(Nach der Profiländerung, VPN inaktiv): per "cmd > tracert google.de" auf dem Homeoffice Rechner den Signalweg geprüft. Dieser ging über meine Fritzbox wie es soll.
3-(Nach der Profiländerung, VPN aktiv): per "cmd > tracert google.de" auf dem Homeoffice Rechner den Signalweg geprüft. Dieser ging jetzt weiter über meine Fritzbox. RDP Verbindung funktioniert weiterhin mit der Firmeninternen IP also der Tunnel wird erfolgreich aufgebaut und man kann sich per RDP durch den Tunnel verbinden.

Das kann jetzt ganz gut ein Zufall gewesen sein, aber es geht so. Die VPN IP gleicht an dern ersten 3 Blöcken der Firmeninternen IP meines PC.
Ich will unter anderem auch sicherstellen, dass z. B. Windows Updates oder Cloudbackups nicht noch die dünne Verbindung zur Firma belasten. Weiterhin möchte ich einfach nicht, dass Daten außer RDP von mir durch Firmenrechner laufen.

Ich hoffe, ich habe keine relevante Information vergessen.
Frage: Ist das ein gangbarer Weg? Dann würde ich mir das so einrichten und laufen lassen...

Irgendwie noch "besser" wäre das (gefühlt) wenn man den VPN über die zweite Netzwerkkarte laufen lassen könnte.
Ich würds einfach gern sauber lösen und trennen.
Zuletzt geändert von Kommalan am 07 Apr 2020, 09:06, insgesamt 1-mal geändert.
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

Re: Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Beitrag von maiki »

Weiterhin möchte ich einfach nicht, dass Daten außer RDP von mir durch Firmenrechner laufen.
Dann solltest Du zusätzlich die Firewall im Router entsprechend konfigurieren...
1. Deny All Regel für die Gegesntelle VPN-Profil
2. Allow RDP für die Gegenstelle VPN-Profil

LG Maik
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Beitrag von CyberT »

Hallo Kommalan,

Kommalan hat geschrieben: 07 Apr 2020, 07:21
Ja, hierzu mus eine Änderung am Profil des VPN-Tunnels vorgenommen werden.
Kannst Du denn das VPN-Profil überhaupt ändern?
Ja, das kann ich.
In größeren Unternehmen oder bei IT-affinen Mitarbeitern würde man die Änderung des Profils eigentlich mit einer Konfigurationssperre schützen. - Aber, so wie ich das verstanden habe, handelt es sich hier um Deinen privaten PC?

Es scheint auch so, dass derjenige, der das eingerichtet hat, sich zum Thema Konfigurationssperre und Split Tunneling vorab keine Gedanken gemacht hat...?

Kommalan hat geschrieben: 07 Apr 2020, 07:21Das kann jetzt ganz gut ein Zufall gewesen sein, aber es geht so. Die VPN IP gleicht an dern ersten 3 Blöcken der Firmeninternen IP meines PC.
Normalerweise würde man die firmeninternen Netzwerk-Angaben (Ziel-Netzwerk) beim Admin erfragen. Ich weiß jetzt nicht, was Du da wie eingetragen hast, aber es muss immer das gesamte IP-Netz eingetragen werden (z. B. 192.168.1.0/24). Siehe auch hier: Split Tunneling im Advanced VPN Client einrichten

Kommalan hat geschrieben: 07 Apr 2020, 07:21Frage: Ist das ein gangbarer Weg? Dann würde ich mir das so einrichten und laufen lassen...
Ja. - Zum Testen reicht es meist aus, vor und nach dem Eintragen des IP-Netzes die eigene WAN-IP-Adresse im Browser via z.B. wieistmeineip.de gegenzuprüfen. Da sollte dann zuerst die öffentliche IP Deiner Firma aufgeführt werden und nach dem Split Tunneling-Eintrag die von Dir zu Hause.


Gruß.
Kommalan
Beiträge: 3
Registriert: 06 Apr 2020, 15:30

Re: Nur den Remotedesktop Datenverkehr über VPN, rest direkt?

Beitrag von Kommalan »

GrandDixence, CyberT und Maik.
vielen Dank für Eure Ausführungen.
Ja es ist mein privater PC Zuhause. Wir sind zu Remotedesktop und VPN gekommen wie die "Jungfrau zum Kinde".
Ich kann an der Routerfirewall nichts machen, werde das aber ggf. mal ansprechen bzw. erfragen.

WEiterhin werde ich mich nochmal durch die Links lesen. Ich lerne hier auch jeden Tag dazu.
Ich bin zwar sicher nicht hauptberuflich für die IT zuständing bei uns aber ich helfe wo ich kann und wo Bedarf ist.

Danke für die Unterstützung, wenn ich noch eine Frage hierzu habe, bin ich mal so dreist und stelle sie ;)

Bleibt gesund!
Antworten