VM´s über VPN nutzen

  • Hallo zusammen,

    ich möchte gerne vom Firmenrechner auf meine VM´s , das QTS oder zur Not auf die Linux-Station zugreifen. Zuhause ist das TS-251+ an einer Fritzbox 7490, VPN ist eingerichtet und funktioniert vom Handy aus super.


    Wie macht Ihr das? Meine einfachste Idee war für Firefox oder einen anderen Browser ein Addon zu suchen, in welchem ich die VPN-Daten temporär eintrage und das dann halt mal ne gewisse Zeit nutze und wieder entferne, wenn ich es nicht mehr brauche. So etwas scheint es aber nicht zu geben, zumindest hat meine Recherche heute nichts ergeben. Nur zahllose Addons die eben die vorgefertigten VPN´s anbieten, aber keine Addons wo man seine eigenen VPN-Daten eintragen kann.


    Ich habe hier am Firmenrechner (Windows 7) den Remote Desktopclient und einen VMWare Horizon Client. Ich denke mal als nächstes wäre es das einfachste, eine VM in der Virtualization Station zu installieren und dort den Desktop für Remoteverbindungen freizugeben, oder? Auf das QTS kann ich über diesen Weg wahrscheinlich nicht Zugreifen, um auch mal von der Arbeit aus eine neue VM zu installieren usw.?


    Beziehungsweise was gibt es noch für alternativen und was nutzt ihr so?

  • Dafür ist ein VPN Client notwendig, der installiert werden muss.

    Ist die Frage ob das erlaubt ist und auch wenn die Installation durch deine Benutzerrechte möglich ist, solltest du das rechtlich abklären.


    Ja nach Firma kann das eine Abmahnung geben, einen mündlichen verweis oder du fliegst raus. Letztes da über den Tunnel sensible Daten abgezogen werden können.

  • Ist dann zwar wohl kein VPN aber vielleicht kannst Du das auch über MyQNAPCloud machen? Ich gebe die Adresse "http://DEINQNAP.myqnapcloud.com:8080/cgi-bin/" in meinem Browser in der Firma ein, kann auf die Linuxstation und auch meine VM's in der Virtualization Station zugreifen.
    Wer kann dann da eigentlich was "mitlesen"? Wenn ich dann in der VM zuhause auf der QNAP in einem Browser was aufrufe, kann das doch in der Firma keiner "mitlesen", oder?
    Was sieht hier denn der Firmenadmin?

  • Bitte nicht falsch verstehen nogrup aber wenn ich sowas lese bekomme ich Pickel. Ist das abgesegnet das du vom Firmennetz auf dein privates NAS zugreifst ? Vorallem würde ich sowas nur per VPN machen. SIcher das du noch keine "Mitfahrer" auf deinem NAS hast ?

  • Manche Mitarbeiter sind stets bemüht die Sicherheitsrichtlinien zu umgehen, denn die bösen bösen Admins habe schließlich den lieben langen Tag ja nichts anders zu tun als alles zu sperren was Spaß macht. Und das machen die Admins natürlich nur aus reiner Bosheit, auf den betreffenden Mitarbeiter. :D

    Musste mir schon von Mitarbeitern anhören, dass Virenschutz und Updates nur Blödsinn ist, der den PC unnötig verlangsamt. Beim ihm zuhause würde dies schließlich ja auch perfekt ohne funktionieren. Er würde schon aufpassen. Wenn man eine Festplatte und ein GraKa einbauen kann wird man scheinbar schon zu einem IT- und Security-Spezialisten. :/ Da freund sich natürlich jeder Admin, wenn auf solche Systeme direkt vom Firmennetzwerk aus zugegriffen wird.

  • angelluck

    :D


    bablo

    Wie schon erwähnt wurde ist ein VPN-Client notwendig. Aber je nach dem in was für einer Firma Du arbeitest, wird das Installieren von Programmen wohl nicht erlaubt sein. Deshalb vermutlich auch der Versuch per Browser. Natürlich gibt es Möglichkeiten das Installieren zu umgehen, mit Browser-Addons, Portable-Apps etc., nutzt Dir allerdings auch nichts, wenn die entsprechenden Ports gesperrt sind. Auch hier gibt es wiederum nette Programme, die dies zu umgehen versuchen, indem sie alles über http / https laufen lassen, aber wenn nach Funktionen, Dienst, Protokoll, Application gefilter wird nutzt auch dieses nichts. Wahrscheinlich lässt sich auch dies umgehen. Auf jeden Fall darfst Du Dich nicht wundern, wenn Dir eines Tages fristlos gekündigt wird und Du Dich vor Gericht wieder findest. Um dies zu vermeiden kann ich Dir nur dringend empfehlen dies mit Deiner IT-Abteilung zu klären.

  • Ok vielen Dank schon mal. Wir sitzen hier hinter einem Proxy, der Sperrt so ziemlich viel. Adressen von Myqnapcloud gehen nicht, Browseraddons die eine VPN-Verbindung aufbauen gehen ebenfalls nicht.


    Wie ist das den rechtlich: privates Surfen ist bei uns gestattet (bedingt, halt keine 2 Stunden am Tag). Wenn ich über einen DynDNS Dienst der nicht durch den Firmenproxy gesperrt wird mein NAS-QTS öffne (mit SSL), ist das ja quasi nur eine Webseite wie jede andere, egal ob ich hier im Forum bin, Nachrichten lese oder eben das QTS öffne? So lange man keine Dateien vom FirmenPC auf das NAS hochlädt und viel Uploadtraffic verursacht ist dies doch kein Problem, oder?

  • Solange Du auf der Firmenseite nichts veränderst für mein Empfinden schon. Bin aber kein Rechtsexperte. Sollte aber irgend etwas passieren kann es schon sein, dass man Dir daraus einen Strick dreht. Ich weiß ja nicht, was Du genau vor hast, aber im Zweifelsfall lieber mit der IT-Abteilung reden. Die können Dir da besser helfen. Denn ja nach Proxy und Filter gestaltet sich das Ganze als recht kompliziert.

  • Guten Morgen,

    deswegen habe ich ja gefragt. Dann habe ich das mit der myqnapcloud auch nicht richtig verstanden. Wir dürfen in unserer Firma auch privat surfen und ich dachte dass es auch nichts anderes ist auf meine QNAP zuzugreifen als auf eine beliebige andere Seite im Internet. Ich lade von dort ja auch nichts runter auf den Firmen-PC auf dem ich auch keine Adminrechte habe und der Proxy sperrt diese Adresse auch nicht (manche anderen Adressen schon). Wieso ist das für die Firma dann "gefährlich"?
    Ich hatte meinen Beitrag auch eher nicht als Tipp formuliert sondern, aufgrund meiner Unwissenheit, eher als Frage. Bitte behandelt mich hier nicht als "den Bösen" sondern helft mir zu verstehen was ich hier falsch mache.
    Danke, wünsche allen eine schöne Woche

    nogrup


    P.S. dr_mike: das "Mitlesen" ginge nicht, wenn ich mich per https anmelde?

    Einmal editiert, zuletzt von nogrup ()

  • Ich unterstelle hier niemandem böse Absichten, aber ich weiß auch nicht wer was wie und warum macht. Ich wollte nur auf mögliches Konfliktpotenzial hinweisen. Erfahrungsgemäss hilft zur Vorbeugung vorheriges Abklären, zumindest wenn man auf der sicheren Seite sein will.

    Ich lade von dort ja auch nichts runter auf den Firmen-PC...

    Sobald Du ein Bild von Deiner QNAP öffnest wird dieses heruntergeladen. Alles was Du von Deiner QNAP nur ansehen willst muss vorher auf den Firmen PC heruntergeladen werden. Aber ich weiß, Du meist etwas abspeichern oder installieren.

    Wieso ist das für die Firma dann "gefährlich"?

    Das hängt davon ab, was Du machen willst. Wenn Du nur auf Deine eigene Webseite willst, die auf der QNAP gehostet wird, ist dies auch wie jede andere Website. Aber bei vielen QNAP-Diensten besteht die Möglichkeit Daten auch upzuloaden. Je nach Firma wird dies wohl zu einem Verstoß führen.

    das "Mitlesen" ginge nicht, wenn ich mich per https anmelde?

    Da https bei den meisten Filtern auch untersucht wird, muss dies zur Untersuchung natürlich entschlüsselt werden. Und somit ist der Inhalt natürlich auch lesbar. Und somit kann der https-Inhalt auch protokolliert und mitgelesen werden. Da die meisten Website heutzutage https sind, wäre ein Nichtuntersuchen für eine Firma rein rechtlich schon ein Problem.

  • Gut, manches verstehe ich schon mal.
    Aber, nehmen wir mal einen konkreten Fall. Ich öffne in meinem Browser in der Firma über myqnapcloud meine Linuxstation und öffne dort ein Bild. Dann ist dieses Bild (zumindest nicht die Date) doch nicht hier in der Firma gelandet? Ich schaue doch dann im Browser quasi nur eine "Fotografie des Bildes" an oder?
    Genauso mit anderen Dokumenten oder Exceltabellen oder was auch immer?
    Danke, Eure nette Hilfe. Man will ja gerne was lernen.

  • In diesem konkreten Fall wäre dies nicht viel anders als auf Youtube einen Film anzusehen - wenn auch einen interaktiven. :) Du bekommst ja schliesslich nur das Bild Deines Remote-Rechners gestreamt. Allerdings kann man hier meistens auch Dateien in beide Richtungen verschieben. Ob dies dann möglich oder erlaubt ist, ist nochmal was anderes. Aber nicht alles was nicht gesperrt ist und somit anscheinend möglich ist muss deswegen auch zwangsläufig erlaubt sein. Ob alle Filtersysteme dann so fein unterscheiden können ist fraglich. Möglicherweise wird diese Funktion auch für Firmenaufgaben benötigt. Heisst aber nicht, dass sie jeder benutzen darf.

    Du siehst, das Ganze ist nicht ganz einfach. Das Grundproblem ist ja, das der User möglichst viele Funktionen haben will. Sehr viele davon - wie in Deinem Fall - sind rein privater Natur. Der Admin hingegen versucht nur die Firma von sämtlichen Schaden fern zu halten, um somit einen reibungslosen Ablauf zu gewährleisten und dass Du und Deine Arbeitskollegen auch weiterhin Geld für die geleistet Arbeit bekommen. Mir ist durchaus klar, dass das Wieso und Warum für einen Security-Laien nicht immer so klar ersichtlich ist. Wie oft bekomme ich zu hören: "Aber bei mir zuhause funktioniert dies auch." Ist leider absolut nicht vergleichbar.

  • Okay, vielen Dank Mavalok2 für Deine ausführlichen Erläuterungen.

    Ich verstehe schon, dass so ein Admin eine verantwortungsvolle, schwere Aufgabe hat.

    Nicht umsonst hört man ja beinahe täglich in den Medien wo wieder mal Datenlecks aufgetreten sind.

    Aber nur wenn wir User von den Admins auch für voll genommen werden und auch mal was erklärt bekommen, können wir auch abschätzen, wodurch wir einen Schaden verursachen könnten.

    Habe Einiges gelernt heute.
    Viele Grüße

    nogrup

  • Leider sind IT-Abteilung oft vom Arbeitspensum her hoffnungslos überlastet. Die IT-Abteilung wird leider oft als nicht gewinnbringend angesehen - was so ja meistens auch stimmt - und kostet nur Geld. Also wird versucht zu sparen wo es geht. So eben auch am Personal. Für Erklärungen bleibt oft keine Zeit. Ich habe jedoch festgestellt - so wie man es an Deinem Beispiel auch sieht - dass interessierte User mehr wissen wollen als nur: "Geht nicht." Allerdings gibt es auch viele User, die sich erst gar nicht die Mühe machen etwas verstehen zu wollen. Ist eben eine schwierige Gratwanderung. Da hilft es als interessierter User nur in der IT-Abteilung nachzufragen. Ich kann nicht für alle Admins sprechen, aber ich denke, dass die meisten sicher bereit sind sich ein paar Minuten Zeit zu nehmen um etwas zu erklären oder auch eine Lösung für ein privates Anliegen zu finden. Sicher ist nicht immer alles möglich, denn auch der Admin kann und darf nicht alles machen, was er gerne machen oder anbieten würde. Abgesehen von den Security- und anderen Richtlinien der Firma gilt es auch noch gesetzliche Bestimmungen einzuhalten. Hier sind dem Admin oft einfach die Hände gebunden. Das hat dann nicht mit nicht wollen, sondern mit nicht dürfen und können zu tun.


    Kleines Detail am Rande: Noch vor ein paar Jahren hatte der Job des IT-Admins die höchste Selbstmordrate aller Berufe. Ich hoffe, dass es inzwischen besser ist.

  • Mavalok2 : Ich hätte gerne gewußt, was für ein Kraut Du gerade rauchst und ob ich etwas davon abhaben kann. Das scheint Mörderzeug zu sein!!


    Aber im Ernst:

    Ich finde es echt gut, dass Leute hier über ihre Rechte und Pflichten am Arbeitsplatz aufgeklärt werden und man sie später nicht im Knast besuchen muss!

    Wozu so eine Frage "VM über VPN" nicht alles gut sein kann - Hammer!