Hallo, ich habe eine vlt. ungewöhnliche Frage, aber ich wollte sichergehen. Ich arbeite manchmal von Zuhause aus mit meinem Arbeitslaptop, und verbinde mich mit meinem Arbeitsnetzwerk mit VPN (OpenVPN). Andere private Laptops (Mitbewohner) sind währendessen auch mit meinem Home-Netzwerk verbunden (wie auch mein Arbeitslaptop) aber NICHT mit dem VPN. Wird irgendetwas, was mit diesen anderen Laptops gemacht wird, über VPN geroutet? Oder kann ich sicher sein, dass der gesamte Verkehr dieser Laptops privat bleibt, auch wenn sie zum selben Heimnetz verbunden sind wie mein Arbeitslaptop? D.h. kriegt mein Arbeitgeber nicht mit, was meine Mitbewohner in ihren privaten Laptops machen, falls er den VPN-Verkehr protokolliert?
Andi schrieb: > Wird irgendetwas, was mit diesen anderen Laptops gemacht wird, über VPN > geroutet? kommt darauf an, ist das OpenVPN auf deinem Arbeitslaptop oder hast du einen Router mit OpenVPN?
Andi schrieb: > OpenVPN ist auf dem Arbeitslaptop dann läuft nur der Datenverkehr von dem Laptop darüber, die anderen PCs können über den VPN keine Daten übertragen.
Andi schrieb: > OpenVPN ist auf dem Arbeitslaptop dann könnten die anderen immernoch darüber routen, das machen sie aber nicht von alleine, wenn du also nichts derartiges eingerichtet hast bist du vermutlich sicher
Marc S. schrieb: > dann könnten die anderen immernoch darüber routen, das machen sie aber > nicht von alleine, wenn du also nichts derartiges eingerichtet hast bist > du vermutlich sicher ein modifiziertes Windows routet keine IP-Daten. (nur die Server Versionen)
Man kann sich auch, falls man es genau wissen will, einfach die Routing Tabelle anschauen. Unter Linux mit
1 | ip route |
oder
1 | route |
und laut Google unter Windows mit
1 | route print |
.
Md M. schrieb: > Man kann sich auch, falls man es genau wissen will, einfach die Routing > Tabelle anschauen. Unter Linux mit bringt nur wenig. Ohne bei Linux ipv4_forward zu aktivieren wird auch nichts geroutet. Bei Windows (nicht Server) ist das gar nicht vorgesehen.
Peter II schrieb: > bringt nur wenig. Ohne bei Linux ipv4_forward zu aktivieren wird auch > nichts geroutet. Bei Windows (nicht Server) ist das gar nicht > vorgesehen. Klar bringt das was. Ich sehe, welche Route meine Daten nehmen. Was hat das mit ipv4_forwarding zu tun? Die Rechner des TE sollen ja auch nichts (von anderen Rechnern) routen, es ging nur darum, dass man sehen kann, wohin die Rechner (seiner und die seiner Mitbewohner) ihre Daten schicken.
Md M. schrieb: > Klar bringt das was. Ich sehe, welche Route meine Daten nehmen. Was hat > das mit ipv4_forwarding zu tun? Die Rechner des TE sollen ja auch nichts > (von anderen Rechnern) routen, es ging nur darum, dass man sehen kann, > wohin die Rechner (seiner und die seiner Mitbewohner) ihre Daten > schicken. genau es geht darum, wohin die anderen PC ihre Daten schicken und das sieht man kaum an der Routing Tabelle vom Arbeitsplatz PC.
Peter II schrieb: > genau es geht darum, wohin die anderen PC ihre Daten schicken und das > sieht man kaum an der Routing Tabelle vom Arbeitsplatz PC. Doch, auf der Tabelle jedes einzelnen PCs.
Md M. schrieb: > Doch, auf der Tabelle jedes einzelnen PCs. davon hast du nichts geschrieben, außerdem muss dort auch nichts steht. Es kann auch im Router umgeleitet werden.
Alle anderen Laptops haben windows, ja. Also wenn ich das richtig verstehe kann ich sicher sein, dass wenn ich nichts in den Mitbewohner-Laptops installiert habe, nichts von deren Traffic über den VPN kommt?
Peter II schrieb: > Md M. schrieb: >> Doch, auf der Tabelle jedes einzelnen PCs. > > davon hast du nichts geschrieben, außerdem muss dort auch nichts steht. Ich hab auch nicht geschrieben, dass er dabei auf einem Bein stehen soll :) Ich habe nur geschrieben, dass in der Routing-Tabelle eines Rechners steht, wohin die Daten gehen. > > Es kann auch im Router umgeleitet werden. Ja, wenn auf dem Router VPN für seine Firma konfiguriert ist, klar. Das ist doch aber nicht so.
Andi schrieb: > Alle anderen Laptops haben windows, ja. > > Also wenn ich das richtig verstehe kann ich sicher sein, dass wenn ich > nichts in den Mitbewohner-Laptops installiert habe, nichts von deren > Traffic über den VPN kommt? Insbesondere kannst du davon ausgehen, wenn du auf dem Router nichts installiert hast.
Md M. schrieb: >> Es kann auch im Router umgeleitet werden. > Ja, wenn auf dem Router VPN für seine Firma konfiguriert ist, klar. Das > ist doch aber nicht so. nein auch so, er kann die Daten über den Arbeitslaptop routen, wenn man es denn will.
Peter II schrieb: > Md M. schrieb: >>> Es kann auch im Router umgeleitet werden. >> Ja, wenn auf dem Router VPN für seine Firma konfiguriert ist, klar. Das >> ist doch aber nicht so. > > nein auch so, er kann die Daten über den Arbeitslaptop routen, wenn man > es denn will. Jo. Und wenn das so konfiguriert wär, würde er das in der Routingtabellen auf den Rechnern seiner Mitbewohner sehen. Mehr behaupte ich ja gar nicht.
Md M. schrieb: > Jo. Und wenn das so konfiguriert wär, würde er das in der > Routingtabellen auf den Rechnern seiner Mitbewohner sehen. Mehr behaupte > ich ja gar nicht. warum sollte das dann in der Tabelle der andere PCs stehen?
Peter II schrieb: > warum sollte das dann in der Tabelle der andere PCs stehen? Warum sollten die anderen PCs ihre Daten zu des TEs Laptop schicken, wenn es nicht in ihrer Routingtabelle stünde?
Md M. schrieb: > Warum sollten die anderen PCs ihre Daten zu des TEs Laptop schicken, > wenn es nicht in ihrer Routingtabelle stünde? sie schicken die Daten auch nicht an den Laptop sondern an den Router und dieser verschickt sie an den Arbeitsplatz PC.
Peter II schrieb: > warum sollte das dann in der Tabelle der andere PCs stehen? Weil sie ansonsten keine Ahnung hätten, dass sie bestimmte Pakete jenseits ihrer default route schicken müssen. Aber nochmal zur Beruhigung des TE: auch, wenn solche Spielchen technisch im Prinzip machbar sind, würden sie nur funktionieren, wenn das OpenVPN auf deinem Laptop dahingehend konfiguriert worden ist, so etwas zu tun. Es würde auch nichts helfen, wenn $HACKER auf dem Nachbar-Computer seine eigene Routingtabelle manipuliert und deinem Laptop auf diese Weise Datenpakete aufdrängelt, davon allein schickt er sie trotzdem nicht ins VPN (und nicht zurück).
Jörg W. schrieb: >> warum sollte das dann in der Tabelle der andere PCs stehen? > > Weil sie ansonsten keine Ahnung hätten, dass sie bestimmte Pakete > jenseits ihrer default route schicken müssen. falsch, der Router kann sie immer "zurück" zum Arbeitsnotebook routen. Es ist nirgend festlegt das der Router immer ins Internet routen muss.
Peter II schrieb: > sie schicken die Daten auch nicht an den Laptop sondern an den Router > und dieser verschickt sie an den Arbeitsplatz PC. Konjunktiv! Ich habe nicht behauptet, dass sie ihre Daten an den Laptop schicken. Ich habe gesagt, dass, wenn sie es täten, es in deren Routingtabellen stünde. Und dass, wenn der TE am Router nichts verändert hat, der die Daten auch nicht ins VPN der Firma des TE schickt.
:
Bearbeitet durch User
Md M. schrieb: > Peter II schrieb: >> sie schicken die Daten auch nicht an den Laptop sondern an den Router >> und dieser verschickt sie an den Arbeitsplatz PC. > > Konjunktiv! Ich habe nicht behauptet, dass sie ihre Daten an den Laptop > schicken. Ich habe gesagt, dass wenn sie es täten, es in deren > Routingtabelle stünde. Und dass wenn der TE am Router nichts verändert > hat, der die Daten auch nicht ins VPN der Firma des TE schickt. und wenn die Firma von Ferne über das VPN den Router um konfiguriert hat?
Nein, VPN läuft NUR auf dem Arbeits-Laptop, NICHT im Router oder in den Mitbewohner-PCs. Es war eine Standard-OpenVPN Installation. Ich möchte nur nicht, dass der Traffic meiner Mitbewohner für meinen Arbeitgeber einsehbar ist, wenn ich gleichzeitig mit VPN verbunden bin
Peter II schrieb: > falsch, der Router kann sie immer "zurück" zum Arbeitsnotebook routen. Fragt sich nur, warum zum Geier™ der das tun sollte. Auch das müsste ihm ja jemand konfiguriert haben. Nichtsdestotrotz müsste das Arbeitsnotebook dennoch überhaupt erstmal gewillt sein, Pakete weiterzuleiten (dass IP forwarding initial abgeschaltet sein muss, ist eine Forderung der RFCs). Davon abgesehen, würde dieses Szenario normalerweise zu einem ICMP redirect führen, damit der entsprechende Endpunkt künftig nicht mehr den umständlichen Weg über den Router sondern den direkten Weg wählt. Danach steht es dann doch wieder (dynamisch) in der Routingtabelle … Aber all die Theoretisiererei geht völlig an der Frage des TEs vorbei. Peter II schrieb: > und wenn die Firma von Ferne über das VPN den Router um konfiguriert > hat? Um sich zusätzliche Eindringlinge zu bescheren? Die müssten dann aber ziemlich besche***rt sein. Außerdem hat ein Notebook mit einem OpenVPN normalerweise ja wohl keine Administrationshoheit über einen Router im Netz.
Und OpenVPN habe ich selber installiert, war wie gesagt die Standard-Installation mit einer Konfigurationsdatei, die mir bereitgestellt wurde
Andi schrieb: > Ich möchte nur nicht, dass der Traffic meiner Mitbewohner für meinen > Arbeitgeber einsehbar ist, wenn ich gleichzeitig mit VPN verbunden bin Prinzipiell könnte sich natürlich bei aktivem VPN-Tunnel jemand von dort aus einen Zugang auf dem Laptop verschaffen (auf was für immer einem Weg, bspw. über ssh, falls sie da selbst einen Account auf dem Laptop haben), und dann könnten sie auch sowas wie tcpdump laufen lassen. Allerdings bringt das im Zeitalter geswitchter Netzwerke nicht übermäßig viel an Traffic anderer unbeteiligter Netzwerkknoten zum Vorschein, da (außer den eigenen Paketen) der Switch nur die Broadcasts zu dir verteilen wird. Für alles andere bräuchte man ein port mirroring auf dem Netzwerkswitch.
Andi schrieb: > Und OpenVPN habe ich selber installiert, war wie gesagt die > Standard-Installation mit einer Konfigurationsdatei, die mir > bereitgestellt wurde Das allein hilft nicht viel (außer dass es auf diese Weise natürlich recht unwahrscheinlich ist, dass dein Brötchengeber auf deinem ja offenbar eigenen Computer irgendeinen Account hat), denn OpenVPN kann vom Server zum einwählenden Client auch bestimmte Aktionen rüberschieben (“push”), eben bspw. Routingeinträge. Was sie genau machen, kannst du dir aber auch auf dem Client als Debug-Info anzeigen lassen.
Andi schrieb: > SSH-Zugriff zum Arbeitslaptop hat er nicht Könnte natürlich immer noch irgendein Sicherheitsloch ausnutzen. ;-) Aber wie ich oben schon schrieb, in einem geswitchten Netzwerk bekommst du von deinen Nachbarn nur ein paar Broadcasts, aber nicht den eigentlichen Traffic.
Ihr habt sehr viele theoretische Szenarios beschrieben, wie das aussehen könnte, aber im Normalfall, mit einem einfachen VPN-Zugriff, und nichts in den Mitbewohner-Laptops oder Router konfiguriert, würde das nicht passieren können oder?
Peter II schrieb: > Md M. schrieb: >> Peter II schrieb: >>> sie schicken die Daten auch nicht an den Laptop sondern an den Router >>> und dieser verschickt sie an den Arbeitsplatz PC. >> >> Konjunktiv! Ich habe nicht behauptet, dass sie ihre Daten an den Laptop >> schicken. Ich habe gesagt, dass wenn sie es täten, es in deren >> Routingtabelle stünde. Und dass wenn der TE am Router nichts verändert >> hat, der die Daten auch nicht ins VPN der Firma des TE schickt. > > und wenn die Firma von Ferne über das VPN den Router um konfiguriert > hat? Jetzt wirds albern. Wenn, dann haben sie den Laptop des TE über die VPN-Conifg über das reine VPN hinaus verändert (k.A. ob das möglich ist, zumindest bei OpenVPN würde ich mal stark davon ausgehen).
Du kannst doch einfach mit tracert -4 google.de schauen wie die route von beiden PCs zu google ist. In der Router deines Mitbewohners dürfte dann keine IP deines Arbeitgebers auftauchen. Was für einen Router hast du ? Ne Fritzbox ? Bei manchen Modellen kann man ein Gastnetzwerk einrichten. Damit hast du dann "getrennte" Netze ggf. fühlst du dich dann sicherer. Gruß JackFrost
Du könntest auch dein Netzwerk aufrüsten und einen Anständigen™ Router einbauen. Dann konfigurierst du dir zwei unabhängige Netzwerke, eins fürs Heimnetz uns eins für das Laptop. So hatte ich das vor ein paar Jahren auch mal im Einsatz. Das Arbeits-Laptop hat damals einige seltsame Aktionen abgefeiert (interne IPs abgesucht auf SMB Shares, versucht sich am Asterisk/VoIP Server anzumelden, Portscans gemacht). Das wanderte dann gaaaanz schnell in die DMZ, soll es sich da austoben wo nix ist.
Tester schrieb: > Das Arbeits-Laptop hat damals einige seltsame Aktionen abgefeiert Allerdings isses ja hier wohl so, dass es sein eigener Laptop ist.
Ein VPN-Tunnel ist genau das, was der Name aussagt. Ein Tunnel.
Der existiert nur zwischen den beiden Tunnelendpunkten ("unterwegs
Einkoppeln" geht also nicht). Auch wer den Datenstrom zwischen den
Endpunkten zu Gesicht bekommt, sieht nur Kauderwelsch, weil nur die jene
die zum Ver- und Entschlüsseln notwendigen Keys haben.
Wenn der Laptop nicht routet (das tut er normalerweise nicht, es sei
denn, man schaltet Routing explizit ein) und es keine andere Möglichkeit
(ssh, remote desktop, ...) gibt, sich übers Netz am Laptop anzumelden,
kann nur der den Tunnel benutzen, der davorsitzt.
Allerdings ist es nicht ausgeschlossen, daß der Laptop - so man das
nicht unterbunden hat - von sich aus "Firmengeheimnisse" ins lokale Netz
bläst (z.B. über ungefragte Windows-Browse-Requests den Domänennamen
verrät). Deswegen macht eine gute VPN-Software normalerweise lokale
Verbindungen dicht (Firewall), wenn sie den Remote-Tunnel aufmacht.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.