Home-Office: VPN / eigener PC / privaten DNS-Server verwenden

[H3llF15H]

Guten Morgen allerseits,

ich habe ein Anliegen, zu dem ich ein paar Hintergrundinfos benötige. Kurz zum Sachverhalt:

• meinen privaten PC verwende ich um einmal wöchentlich von zu Hause arbeiten zu können
• die Verbindung in die Firma kommt mittels VPN zustande (Metriken, von denen ich keine Ahnung habe, mussten entsprechend gesetzt werden, damit mein PC überhaupt noch außerhalb der RDP-Sitzung das Internet nutzen kann).
• alle DNS-Anfragen werden pauschal vom DNS-Server meines Arbeitgebers beantwortet (egal ob innerhalb oder außerhalb der RDP-Sitzung)

Nun ist die Sache, dass ich einen eigenen DNS-Server im Netzwerk integriert habe, der in Kombination mit Nginx Proxy Manager die eine oder andere eigene Domain auflöst (z.B. für Vaultwarden; emby.local; etc.). Unsere IT drauf angesprochen: "völlig normales Verhalten, dass unsere DNS-Server verwendet werden". Damit war das Thema bei denen durch (weil sie es selbst nicht besser wissen und vieles vom externen Dienstleister umsetzen lassen).

Möglicherweise habt ihr es bereits erkannt: meine eigenen Domains sind dem DNS-Server meines Arbeitgebers nicht bekannt, wodurch diese schlussendlich nicht aufgelöst werden können.

Meine Fragen lauten nun:

1. Warum werden pauschal alle Anfragen vom DNS-Server meines Arbeitgebers beantwortet, selbst die, die in meinem privaten Netzwerk aufgelöst werden sollen (sprich außerhalb der RDP-Sitzung)?
2. Könnt ihr mir bitte das Thema "Metriken" in einfachem Deutsch erklären und weshalb diese eingestellt werden müssen, damit mein PC außerhalb der RDP-Sitzung überhaupt Zugriff auf das Internet hat?
3. Mein Mainboard (ASUS X99 Sabertooth) besitzt zwei NICs. Lässt sich hierüber regeln, welchen NIC die VPN-Verbindung nutzen soll, damit ich mit dem anderen NIC regulär auf mein privates Netzwerk vollumfänglich zugriefen kann?

Ich würde mich freuen, wenn es eine Lösung für Punkt drei gäbe

Vorab vielen Dank fürs Lesen und eure Zeit.

Schöne Grüße

Sebastian

PS: Diesen Thread möchte ich nicht nutzen, um unsere IT zu um- respektive zu hintergehen (auch wenn man von ihr halten kann was man möchte). Auch möchte ich darum bitten, dass von Aussagen wie "kläre das mit deiner IT" abgesehen wird. Wenn man mit denen reden könnte, hätte ich mich nicht gemeldet. Danke


PPS: LÖSUNG

 

[Mitaru]

meinen privaten PC verwende ich um einmal wöchentlich von zu Hause arbeiten zu können

Dann ist es eine einfache Lösung. Nutze nicht deinen privaten Kram für den Arbeitgeber.

 

[Ja_Ge]

Zu 1: Das macht der VPN Client. Dein Arbeitgeber kann sich nicht darauf verlassen, dass dein DNS Server das min. gleiche Security Level hat wie sein DNS Server. Daher ist das Verhalten völlig korrekt.
Wir sind bei uns noch einen Schritt weiter gegangen und lassen Client - VPN nur noch von Firmennotebooks zu.

 

[H3llF15H]

Nutze nicht deinen privaten Kram für den Arbeitgeber.

Wird hier nicht diskutiert. Hättest Du meinen Post zu Ende gelesen wärest Du vermutlich selbst darauf gekommen...

Zu 1: Das macht der VPN Client. Dein Arbeitgeber kann sich nicht darauf verlassen, dass dein DNS Server das min. gleiche Security Level hat wie sein DNS Server. Daher ist das Verhalten völlig korrekt.

Das leuchtet ein und ist auch irgendwie logisch. Danke für die Erläuterung.

 

[prian]

Zusammengefasst geht es Dir darum, dass nicht der DNS des Arbeitgebers die Namensauflösung macht, sondern Dein eigener.
Das wird m.E. hier nicht möglich sein, da Dein DNS ja die internen Adressen des Arbeitgebers nicht auflösen kann.
Man kann steuert dass nur IPs aus der Range des Arbeitgebers durch den Tunnel angesprochen werden und z.B. google.de weiterhin am Tunnel vorbeigeht, aber bei DNS sehe ich keine Lösung als den des Arbeitgebers bei aktiver VPN-Verbindung zu nutzen.

Ich hatte das selbst bei mir, als ich via RDP einen Kundenserver betreut hatte, der wurde mit dem Tool von LAACom ein Tunnel aufgebaut für RDP-Zugriff auf den Server und ich hatte auch dieses Problem.

Wenn es anders geht dann lasse ich mich gerne übezeugen.

 

[Ja_Ge]

Metrik gibt (in diesem Fall) durch eine Wertung an, über welchen Weg eine Kommunikation stattfindet wenn es mehrere Wege gibt. Das wird meist einfach durch einen Zahlenwert festgelegt, kleiner = besser.

Ergänzung (11. Juli 2024)

Wenn es anders geht dann lasse ich mich gerne übezeugen.

Split DNS ist natürlich möglich, aber den Aufwand möchte keine Firmen-IT für privat PCs betreiben.
Im Fall des TEs könnte man die privaten FQDNs in der Host Datei eintragen.

 

[skiefis]

Nutze nicht deinen privaten Kram für den Arbeitgeber.

DAS kann ich nur so unterstützen. Warum meinen Privaten Computer oder noch besser Smartphone für die Firma nutzen???
Wenn Homeoffice angeboten wird, dann nur mit Firmengeräten. Ich verstell doch nichts an meinen privaten Geräten für die Firma.

Aber BTT:
Je nachdem wo der DNS eingetragen wurde, wäre es auch eine Möglichkeit einfach ein Arbeits- und Privat Windows zu installieren oder vielleicht reicht sogar schon ein separates Arbeits-Benutzerkonto auf deinen PC aus.

Dann könntest du im "Firmen" Windows/Benutzer den Firmen DNS und die anderen Einstellungen anwenden, und dein privates Windows / privater Benutzeraccount bleibt davon unberührt, und läuft mit den standard/deinen DNS Server.

Prinzipiell würde ich aber auf jeden Fall Arbeit und Privat möglichst weit trennen.

 

[SaxnPaule]

Bevor wir uns eine Lösung für das DNS Problem ausdenken müsstest du mal prüfen, ob deine Hosts überhaupt (per IP) erreichbar sind. Wenn nicht, bringt dir eine Namensauflösung nämlich garnix.

Ob deine zweite NIC die Lösung sein könnte, kommt auf die Konfiguration des VPN Clients an.

Bzgl. privater Kram für Arbeit nutzen: In meinem Fall ist es andersrum. Ich habe mein Notebook mit daheim und arbeite damit. Sobald ich mich ins VPN einwähle, wird sämtlicher Traffic durch das VPN geleitet und ich habe keinen Zugriff mehr auf meine lokalen Geräte.

 

[Masamune2]

Wie schon geschrieben wird sowas oft gemacht um sicher zu gehen, dass ein Rechner der mit dem Firmennetz verbunden ist die Sicherheitsfunktionen der Unternehmensfirewall mitbekommt. Das heißt DNS Anfragen und meist der komplette Traffic gehen durch den VPN Tunnel und über die Firmenfirewall ins Internet.
Lokal kannst du an diesem Verhalten wenig ändern da diese Einstellungen von der IT vorgegeben werden.

Was du aber tun könntest wäre deine lokale Hosts Datei anzupassen und dort deine DNS Einträge zu pflegen. Das ist nicht super praktisch, würde in deinem Fall aber helfen.
Starte einen Editor mit Admin Rechten (Wichtig!) und öffne die Datei C:\Windows\system32\drivers\etc\hosts (vorher alle Dateiendungen einblenden sonst siehst du sie nicht)
Schreibe hier deine lokalen Ziele rein:

192.168.178.10 Vaultwarden.local
192.168.178.12 emby.local

Nur als Beispiel. Dann wird für diese Ziele nicht mehr der DNS gefragt und du musst sie nicht erst auflösen.

 

[conf_t]

Weil

da Dein DNS ja die internen Adressen des Arbeitgebers nicht auflösen kann.

passiert

werden pauschal alle Anfragen vom DNS-Server meines Arbeitgebers beantwortet

. Hat nur wenn überhaupt sekundär mit

dein DNS Server das min. gleiche Security Level hat wie sein DNS Server

zu tun. Es ist schlicht Funktionalität.

Man kann das auch anders lösen....., dass nur bestimmte Domains vom Arbeitgeber DNS aufgelöst werden, aber das muss man im VPN Client einstellen (wollen). Stichwort Splittunneling.

So läuft das bei uns zumindest. Habe selbst einen eigenen DNS-Server im LAN, der für alles außer die Arbeitgeberdomänen genutzt wird, auch vom Dienst-Notebook bei aktivem Tunnel. Weil das VPN Profil das zulässt, der AG will nicht zusätzlich noch die Firmen Infrastruktur mit Cloud Diensten wie O365 zu müllen, die dann eh wieder nur ins Internet laufen, dafür kann man auch einen lokale Breakout nutzen, wofür dann der lokale DNS Server des AN genutzt wird.

Und wenn du den VPN Client nicht konfigurieren kannst, Profile kommen mitunter unveränderbar vom VPN-Server, dann geht nur

Dann ist es eine einfache Lösung. Nutze nicht deinen privaten Kram für den Arbeitgeber.

weshalb das so vorgeschlagen wurde als Konsequenz. Auch wenn es nicht augenscheinlich mit deiner Fragestellung zu tun hat.

 

[Raijin]

Die Metrik beschreibt einfach die Priorität einer Schnittstelle bzw. einer Route. Je niedriger die Metrik, desto höher die Priorität und dementsprechend werden auch die DNS- und Gateway-Parameter bzw. die damit verbundenen Routen bevorzugt genutzt.

Wenn du zB zwei Standardrouten hast, die so aussehen:

Adresse: 0.0.0.0 Subnetzmaske: 0.0.0.0 Gateway: 192.168.1.1 Metrik: 20
Adresse: 0.0.0.0 Subnetzmaske: 0.0.0.0 Gateway: 192.168.2.1 Metrik: 10

Dann decken sie beide dasselbe Ziel ab (0.0.0.0/0) und sind gleich spezifisch, sie konkurrieren also 1:1. Die Metrik entscheidet nun welche Route gewinnt. Gleiches gilt für zB DNS=192.168.1.1 bzw. DNS=192.168.2.1, der DNS der priorisierten Schnittstelle gewinnt.
In deinem Falle "überschreibt" sozusagen der VPN-Client mit seinem Adapter und seinen Einstellungen die lokale Konfiguration, weil das VPN priorisiert wird.

Leider kannst du das kaum ändern, weil du zum einen Zugriff auf die VPN-Einstellungen haben müsstest, um zB den DNS zu ändern, zum anderen müsstest du im Heimnetzwerk und im dortigen DNS dann mit conditional forwarding für die Firmen-Domains arbeiten und der DNS bräuchte gerouteten Zugriff auf das Firmen-VPN um diese Domains an den Firmen-DNS weiterzuleiten. Dieser Weg kann für dich als Mitarbeiter aber schwerwiegende Konsequenzen nach sich ziehen, weil man das als mutwilligen Eingriff in das Firmen-Netzwerk und eine mögliche Kompromittierung desselbigen interpretieren kann, inkl. Abmahnung oder gar schlimmerem.

Der einzig legitime Weg, den ich sehe, ist die hosts-Datei. Wenn du dort deine lokalen Domains einträgst, wird der VPN-DNS gar nicht dazu befragt, bzw. es gibt gar keinen DNS-Query, egal an welchen DNS, weil die hosts-Datei bei der Namensauflösung vor DNS zum Tragen kommt. Über die hosts-Datei kannst du aber gewissermaßen nur eine .. nennen wir es mal .. Blacklist für den VPN-DNS erstellen, weil du damit Ausnahmen definierst. Will heißen: Alles, was nicht in der hosts-Datei steht, wird nach wie vor vom VPN-DNS aufgelöst, also auch zB computerbase.de

 

[kartoffelpü]

Wir sind bei uns noch einen Schritt weiter gegangen und lassen Client - VPN nur noch von Firmennotebooks zu.

Ich sehe es als vollkommen normal an, dass nur vertrauenswürdige Geräte per VPN Verbindung zum Firmennetz aufbauen dürfen.
Bei Privatgeräten kann nicht so einfach sichergestellt werden, dass das Gerät dem Sicherheitsstandard der IT entspricht oder Dummfug damit getrieben wird, welchen man auf einem kontrolliertem Gerät durch Policies unterbinden könnte.
Während Corona werden so eine halbgare Lösung wohl viele Firmen gemacht haben, damit Mitarbeiter von zuhause arbeiten können, aber das sowas immernoch gemacht wird löst Kopfschütteln bei mir aus.

Zum eigentlichen Thema: Deine Firma will wohl, dass über den VPN erreichbare Dienste per internem DNS aufgelöst werden können. Das könnte dein eigener DNS-Server nicht, außer du pflegst die benötigten Einträge selber ein (würde notfalls auch per hosts-Datei gehen). Dann könntest du deine IP-Konfiguration wieder auf deinen eigenen DNS-Server umstellen.

 

[Der Turl]

Split DNS ist natürlich möglich, aber den Aufwand möchte keine Firmen-IT für privat PCs betreiben.
Im Fall des TEs könnte man die privaten FQDNs in der Host Datei eintragen.

Bei unserer Fortigate/Forticlient ist das Thema Split Tunnel kein Problem. Da wird nur der Verkehr der das Firmennetz betrifft im VPN durch gelassen. Der restliche Verkehr obliegt dann dem privaten PC. War auch schnell eingerichet.

 

[Homoioteleuton]

Es gibt auch sogenanntes Split-Tunneling.
Dabei wird nur der Datenverkehr für einen bestimmten IP-Bereich über den VPN geschickt.

WIe man das untert Windows einrichtet und ob der VPN Client deines Arbeitgebers dies überhaupt zulässt, kann ich aber nicht beantworten

 

[Ja_Ge]

. Hat nur wenn überhaupt sekundär mit


zu tun. Es ist schlicht Funktionalität.

Doch, es geht hauptsächlich um die Security, bzw. sollte es der Firmen - IT gehen. Eine Fritzbox/ Speedport etc. hat nun Mal keinerlei DNS Security Features, und selbst wenn ist diese nicht ansatzweise mit der professioneller DNS Appliance vergleichbar.

 

[H3llF15H]

Zusammengefasst geht es Dir darum, dass nicht der DNS des Arbeitgebers die Namensauflösung macht, sondern Dein eigener.

Fast Mein Ziel ist primär mein Unwissen durch Wissen zu ersetzen. Wenn es dann noch eine Möglichkeit gibt meine DNS-Anfragen außerhalb der RDP-Sitzung über meinen DNS-Server laufen zu lassen und meine privaten Domains aufzulösen wäre das echt super. Unter keinen Umständen möchte ich den DNS-Server meines Arbeitgebers umgehen oder dessen Sicherheitslevel herabsetzen.

Split DNS ist natürlich möglich, aber den Aufwand möchte keine Firmen-IT für privat PCs betreiben.

Das wäre auch übertrieben

Je nachdem wo der DNS eingetragen wurde, wäre es auch eine Möglichkeit einfach ein Arbeits- und Privat Windows zu installieren oder vielleicht reicht sogar schon ein separates Arbeits-Benutzerkonto auf deinen PC aus.

Das wäre zu viel Aufwand. Zum einen weil ich nur einen PC zur Verfügung habe und zum anderen weil ich nicht permanent das Windows / Benutzerkonto wechseln will.

Prinzipiell würde ich aber auf jeden Fall Arbeit und Privat möglichst weit trennen.

Grundsätzlich gebe ich dir da recht. Manchmal ist es dennoch nicht so einfach, wie manche sich das hier denken

Bevor wir uns eine Lösung für das DNS Problem ausdenken müsstest du mal prüfen, ob deine Hosts überhaupt (per IP) erreichbar sind. Wenn nicht, bringt dir eine Namensauflösung nämlich garnix.

Funktioniert tatsächlich nicht. https://domain.de funktioniert, jedoch nicht https://ip.de. Dies hatte ich geprüft bevor ich den Thread eröffnet habe.

Was du aber tun könntest wäre deine lokale Hosts Datei anzupassen

Danke für den Hinweis, diesen werde ich gleich mal versuchen umzusetzen.

War auch schnell eingerichet.

Ich wünschte bei unserer IT wär mal was schnell umgesetzt

@Raijin @conf_t @kartoffelpü
Auch euch vielen Dank für eure Posts. Dem Thema Hosts-Datei nehme ich mich mal an. Klingt fast so, als wäre das die Lösung, die mir völlig reichen würde.

 

[Ja_Ge]

Bei unserer Fortigate/Forticlient ist das Thema Split Tunnel kein Problem.

Es ging ja nicht um Split Tunnel sondern um DNS. Wir haben auch eine Fortigate für SSLVPN, für DNS nutzen wir z.B. aber Infoblox.

 

[SaxnPaule]

Dem Thema Hosts-Datei nehme ich mich mal an. Klingt fast so, als wäre das die Lösung, die mir völlig reichen würde.

Wenn deine Hosts nicht per IP erreichbar sind, bringt dir ein Eintrag in der Hosts Datei auch nichts.
Dann wüsste dein PC zwar, dass hinter https://myemby die 192.168.178.89 steckt, in einen timeout wirst du dennoch laufen, da dein gesamter Netzwerkverkehr in das Netz deines AG geroutet wird und dort die 192.168.178.89 mit großer Wahrscheinlichkeit nicht vorhanden ist.

 

[Ja_Ge]

192.168.178.89 steckt, in einen timeout wirst du dennoch laufen, da dein gesamter Netzwerkverkehr in das Netz deines AG geroutet wird und dort die 192.168.178.89 mit großer Wahrscheinlichkeit nicht vorhanden ist.

Wenn der PC und die zu erreichenden Hosts im gleichen Subnetz sind wird nix geroutet.

 

[SaxnPaule]

Logisch. Wenn der VPN Client aber aktiv ist, ist der PC nicht mehr im lokalen Subnetz sondern in dem des AG. Somit sind die lokalen IPs dann auch nicht mehr erreichbar.

Exakt das Verhalten, wie es auch bei meinem Arbeitslaptop konfiguriert ist.