ElabNET Technik Forum

Da ich mir vorstellen kann, dass der ein oder andere von euch ebenfalls von Zeit zu Zeit ebenfalls gelegentlich mal bei Freunden/Kollegen oder sonst wo in fremden/öffentlichen WLANs unterwegs ist mal ein Vorschlag von mir:

Eine Checkbox mit der man entscheiden kann ob nur das Intranet über das VPN läuft oder auch das Internet am Client.

Edit, da ich die Hintergründe nochmal besser erklärt habe, da ich im ursprünglichen Post ein wenig geschlampt habe und die Beweggründe nicht untergehen sollen:


Im Prinzip soll dieser Vorschlag auch Leuten ohne tieferliegende Netzwerk/OpenVPN Kenntnissen ermöglichen auch in offenen und fremden WLANs ermöglichen sicherer zu surfen/Banküberweisungen zu tätigen usw.
Früher war das tatsächlich ein noch größeres Thema als heute, da über https zumindest mal eine grundlegende Sicherheit geschaffen wird. Aber auch das ist nicht wirklich sicher.
Einfach mal fix die Suchmaschine nach https sicherheit bemüht
Wenn jetzt sämtlicher Traffic durch das VPN geleitet wird, werden also unterwegs die Daten deutlich stärker verschlüsselt erst zu dir nach nach hause geleitet werden, was hoffentlich ein Vertrauenswürdiges Netzwerk darstellt, dann kann man als Privatanwender auch guten Gewissens WLANs nutzen die offen sind, braucht weniger Angst haben dass der Traffic am Handy abgehört werden kann usw.

Auf der anderen Seite ist es beispielsweise für einen SI nicht wünschenswert, dass sein gesamter Traffic durch dein Heimnetz und Router geleitet wird wenn er "nur" bei dir daheim nachsehen will warum der komische Effekt XY aufgetreten ist oder ähnliches.


Aus diesem Grund fände ich hier, dass eine Checkbox (oder eine anders gestaltete Auswahlmöglichkeit) dafür durchaus einen interessanten Mehrwert bieten könnte.

Bin kein Netzwerktechniker, aber ist das nicht eine Einstellung des (VPN-)Clients, welche Adressräume über VPN laufen sollen? Ich meine mich an solche Einstellung erinnern zu können - nutze aktuell nur Bordmittel von Mac OS für eine VPN-Verbindung zur Fritte.

Das ist eine Einstellung des Clients, die aber auch von Server beim Verbindungsaufbau via push mitgeteilt werden kann.
Somit ist das ganze heute schon möglich, in dem man am Client die Config editiert ("redirect-gateway"). Das ist natürlich nicht ganz so fancy als wenn man einfach nur einen Button im Wolf hätte um das zu aktivieren.

Dementsprechend ist das meiner Meinung nach ein Feature, welches nice to have ist, wenn einem Entwickler mal langweilig ist

Mal davon abgesehen, dass ich persönlich das Thema Client-VPN sowieso nicht als oberste Prio sehe, da das ein Feature ist, welches bereits von ganz vielen anderen Geräten ebenfalls bereitgestellt werden wird wie z.B. viele Router und NAS. Aber das ist natürlich nur meine Meinung.

VG
Earl

Wenn mir dann noch wer sagen könnte was das für mich praktisch bedeutet und welchen Mehrwert? könnt ich da ne Meinung zu haben.

Anders gesagt ich habe offensichtlich noch weniger Ahnung als @gurumeditation.

gbglace hat geschrieben: ↑Di Dez 24, 2019 6:34 pm Wenn mir dann noch wer sagen könnte was das für mich praktisch bedeutet und welchen Mehrwert?

Hi Göran,

Sorry ich hätte das wohl ein wenig ausfürlicher beschreiben sollen. Einerseits soll dieser Vorschlag jedem unterwegs helfen der sich nicht im Detail mit VPNs usw. auskennt und dann erkläre ich das nicht mal richtig. Sorry dafür.

Im Prinzip soll dieser Vorschlag auch leuten ohne tieferliegende Netzwerk/OpenVPN Kenntnissen ermöglichen auch in offenen und fremden WLANs ermöglichen sicherer zu surfen/Banküberweisungen zu tätigen usw.
Früher war das tatsächlich ein noch größeres Thema als heute, da über https zumindest mal eine grundlegende Sicherheit geschaffen wird. Aber auch das ist nicht wirklich sicher.
Einfach mal fix die Suchmaschine nach https sicherheit bemüht
Wenn jetzt sämtlicher Traffic durch das VPN geleitet wird, werden also unterwegs die Daten deutlich stärker verschlüsselt erst zu dir nach nach hause geleitet werden, was hoffentlich ein Vertrauenswürdiges Netzwerk darstellt, dann kann man als Privatanwender auch guten Gewissens WLANs nutzen die offen sind, braucht weniger Angst haben dass der Traffic am Handy abgehört werden kann usw.

Auf der anderen Seite ist es beispielsweise für einen SI nicht wünschenswert, dass sein gesamter Traffic durch dein Heimnetz und Router geleitet wird wenn er "nur" bei dir daheim nachsehen will warum der komische Effekt XY aufgetreten ist oder ähnliches.


Aus diesem Grund fände ich hier, dass eine Checkbox (oder eine anders gestaltete Auswahlmöglichkeit) dafür durchaus einen interessanten Mehrwert bieten könnte.

OK das erste sagt mir was. Ich unterwegs in der Bahn habe dann nicht nur auf nem sicheren VPN-Kanal meinen TWS oder Geräte die direkt an meiner Fritze hängen aufn Handy, sondern kann auch noch anderes sicher / sicherer anschauen, weil es nochmal durch meine "sichere" Fritze und ab da dann aber durch den TWS VPN Tunnel durchs Bahn-Wlan auf meinem Handy kommt.
klingt logisch und nu verstehe auch so manche Werbeaussage von den VPN-Anbietern, die werben ja nicht nur für sicheren Zugriff auf die heimische LAN-Struktur sondern auch für sicheren Internetzugang egal von wo aus. Das wiederum hat mich immer verwirrt.

Das mit dem SI musste ich zweimal lesen. Also wenn der VPN Tunnel diesen Modus TWS-seitig, hat beeinflusst es nicht nur diese eine Verbindung sondern das gesamte Datenschubsen auf dem Client also dem Rechner des VPN Eröffner (SI im Wartungsfall) dann geht quasi alles was er in der Internetwelt in der Zeit des aktivierten Tunnels sich zieht zwingend durch den Tunnel auch wenn es nichts vom TWS ist.

Hmm dann sollte man sowas je VPN-Profil im TWS definieren können. Würde da dann quasi einen Button in der Oberfläche bei der Generierung eines VPN-Profils / User erwarten. Oder wäre das nur one fits all? Das wäre dann nicht zielführend. Nicht jeder Kunde ist ja direkt am TWS wenn der SI für ne Wartung mal eben auf den TWS geht.

Ach keine Sorge ich frag schon nach. IP-Sicherheit ist kein einfaches Thema. Und wenn man hier mal so als Wissender in den Raum fragt nach nem Feature, können das eh nur Leute mit entsprechendem Wissen nach Sinnhaftigkeit beurteilen.

Ob es dann später die Ahnungslosen immer auch nutzen ist eh die Frage die mir halt eben auch so kommt. "Oh gerade im Hotel, muss ne Überweisung machen, muss erst mal mich zu Hause einloggen dann erst bei der Bank." Müsst ich mir auch merken.



Wenn man erstmal weis was das Kunden VPN dann am Ende alles kann, ein guter Grund mehr für den TWS. VPN auf die Anlage für Visu und Co machen viele. Aber den Unterschied mit dem gesamten Traffic nochmal extra kapseln, ist interessant. Und auch preislich wieder ne Handvoll EUR mtl. Gespart bei der Nutzung durch Kauf des TWS im Vergleich zu einem zusätzlichen externen Service.

Unter der Prämisse der VPN-Profildefinierbarkeit, sicher nicht schlecht.

Ob das technisch überhaupt geht oder ob man da wieder endlose Sonderlocken auf der Clientseite beachten muss keine Ahnung, müsst Ihr dann den Entwicklungs und vor allem Pflegeaufwand durchdenken. Meine Grundaussage sicheres Internet gibbet nicht, nur der Grad wie unsicher/gefährlich es ist, ist variabel.

Hallo,

wie ist denn der aktuelle Stand von diesem FR?
Gibt es schon eine Lösung den gesamten Traffic durch das VPN zu schicken?
Das Thema wird nun in der Urlaubszeit wieder aktuell.

Grüße
Stefan

Hallo Stefan,

Hammer hat geschrieben: ↑Fr Jul 17, 2020 9:21 amwie ist denn der aktuelle Stand von diesem FR? Gibt es schon eine Lösung den gesamten Traffic durch das VPN zu schicken?

Das steht weiter hinten auf der Liste.

Eine Auswertung aus Befragungen, Kundenberatungen usw. hat ergeben, dass die Kunden vor allem am Anschluss weiterer Bussysteme interessiert sind. Dieses Umzusetzen ist - vor allem in Verbindung mit einer leistungsfähigen und einfach benutzbaren Oberfläche (darin liegt 95% des Aufwandes) - ist zeitintensiv und damit wir damit voran kommen, fokussieren wir uns darauf.

Erweiterungen des VPNs zählten nicht zu den von den Kunden gewünschten Eigenschaften im TWS, auch weil viele das bereits mit Fritzbox und Co. vornehmen. Gerade mal 5 Likes zu dem FR zeigen das auch an, daher steht das ziemlich weit hinten. Termin kann ich nicht angeben.


lg

Stefan

Vielen Dank Stefan für die Erklärung.

Und wie ich oben schon geschrieben habe geht das auch heute schon in dem man am von client die config datei editiert und eine Zeile mit „redirect-gateway“ hinzufügt .

Dem Urlaub steht also nix mehr im Weg