ComputerBase Menü
Aktuelles

Homeoffice - Netzwerkkonfiguration damit die Firma keinen Zugriff auf Privatbereich/Private Daten hat

B

_Bernhard

Newbie
Registriert
Okt. 2022
Beiträge
5
Liebe Community,

nachdem sich durch die ganze Gesundheitsproblematik der letzten Jahre, Homeoffice eingebürgert hat, stand ich plötzlich vor folgendem Problemen. Wie kann ich Privat und Firma zuhause möglichst gut trennen und dass möglichst ohne auf Annehmlichkeiten zu verzichten.

Als einfachste Lösung empfanden wir, dass wir uns mit den Firmengeräten nur über das Gäste WLAN einloggen. Das Gäste WLAN hatte keinen Zugriff auf das LAN und auch nicht auf den Drucker und NAS. Es ist uns wichtig, dass die Firma keine Möglichkeit hat irgendwie auf unsere Geräte, Netzwerk, Daten oder sonst was zuzugreifen oder etwas verändern zu können.

Ich fand die Lösung ganz gut, jedoch hatten wir das Problem, dass wir von den Firmengerät nicht mehr Scannen und Drucken konnten.

Mein Netzwerk sieht folgendermaßen (Siehe Screenshot) aus.
Netzwerk.PNG


Gibt es eine Lösung mit der ich die Firmengeräte möglichst gut aus meinem Netzwerk raushalte und trotzdem den Drucker verwenden kann? Ich möchte jedoch nicht auf den Luxus verzichten, dass alle Privaten Geräte die sich im WLAN und LAN befinden ohne Passwort Zugriff auf die anderen Geräte haben.

Also Zusammengefasst suche ich eine Lösung für:
  • Private Geräte haben im LAN auf alles Zugriff
  • Private Geräte haben via WLAN(WLAN-Passwort) auf alles Zugriff
  • Firmengeräte haben nur auf den Drucker und Internet Zugriff - Sollen sonst aber Isoliert vom Rest sein
  • Gäste habe nur auf das Internet Zugriff

Ich freue mich über eure Meinungen, Ideen und Lösungsvorschläge
 
_Bernhard schrieb:
Es ist uns wichtig, dass die Firma keine Möglichkeit hat irgendwie auf unsere Geräte, Netzwerk, Daten oder sonst was zuzugreifen oder etwas verändern zu können.
Zum Vergrößern anklicken....
So einfach ist das nicht und wenn wirklich ein solches Risiko besteht würde ich bei der Firma nicht (mehr) arbeiten wollen.

Da muss einiges (um)konfiguriert werden damit die überhaupt erstmal deinen Rechner erreichen können.
 
  • Gefällt mir
Reaktionen: hax69, Sir_Sascha, AB´solut SiD und 2 andere
Schon mal in das Thema VLANs eingelesen?

Ich finde das Thema relativ kompliziert, aber ist die Stdndardlösung für solche Themen (Managed Switch notwendig).

Wenn du eh schon Ubiquity APs hast:
Unifi Dream Machine Pro (SE) und damit den Asus Router und die beiden switches ersetzen
 
  • Gefällt mir
Reaktionen: hax69, eigsi124, M4ttX und 2 andere
Wir nutzen dazu VPN und die lokale Firewall unter Windows. Funktioniert bisher einwandfrei.
 
Schließ den Drucker zum Drucken mit USB an, oder drucke von einem Stick aus
 
  • Gefällt mir
Reaktionen: Riddimno1, eigsi124 und Raijin
Wenn das Datenpaket es zulässt, könntest du auch alle Firmenkommunikation über LTE und W-Lan des Handys schicken.
 
durch die ganze Gesundheitsproblematik der letzten Jahre
Zum Vergrößern anklicken....
Das Wort das du suchst ist "Pandemie"

Das vorgehen mit dem Gastnetz ist schon gut soweit. Die einfachste Möglichkeit wäre dir von deinem Arbeitgeber einen Drucker geben zu lassen der dann ebenfalls in das Netz kommt.
Geht das nicht kannst du noch versuchen den Drucker über WLAN ins eine Netz und über LAN ins andere Netz zu bringen.
 
Ist der Drucker auch von der Firma gestellt? Den würde ich einfach mit ins "Gastnetz" packen. Dann kannst du zwar nicht mehr von deinem Privatnetz drucken, aber wie oft machst du das?
Zu Hause würde ich das sogar statt mit VLAN fast rein physisch mit einer Routerkaskade machen. Bei VLAN läuft man eher Gefahr, etwas falsch zu konfigurieren. Das Homeoffice hinter der Routerkaskade könnte sogar nach Feierabend einfach abgezogen werden.
 
  • Gefällt mir
Reaktionen: bender_
Drewkev schrieb:
So einfach ist das nicht und wenn wirklich ein solches Risiko besteht würde ich bei der Firma nicht (mehr) arbeiten wollen.

Da muss einiges (um)konfiguriert werden damit die überhaupt erstmal deinen Rechner erreichen können.
Zum Vergrößern anklicken....
Also ich weiß nichts davon das die Firma sowas aktuell macht. Ich möchte der Firma jedoch erst garnicht die Möglichkeit geben, dass sie es technisch machen könnten.
 
  • Gefällt mir
Reaktionen: Digitalzombie
_Bernhard schrieb:
Also ich weiß nichts davon das die Firma sowas aktuell macht. Ich möchte der Firma jedoch erst garnicht die Möglichkeit geben, dass sie es technisch machen könnten.
Zum Vergrößern anklicken....
Dazu kommt, dass das ganze ja nicht mal mutwillig sein muss.

Ich selbst handhabe das genau so. Business Zeug (und das würde ich auch so machen wenn es mein eigenes 1 Mann Unternehmen wäre) ist in einem separaten VLAN. Zwischen den VLANs ist ein Gateway (opnsense in meinem Fall) und da würde dann halt in diesem Fall tcp/631 zu dem Drucker bzw. in meinem Fall zum Cups Server erlaubt werden. Idealerweise stehen die Drucker auch in einem separaten VLAN ;)
Der Ubiquiti Pro kann auch VLAN Trunks, sprich in diesem Fall eine SSID in ein bestimmtes VLAN zu packen. Was dir fehlt ist eben noch ein Switch, der das kann (oder kann es der TP Link?) sowie das Gateway (Firewall) zwischen den VLANS. Alternativ für letzteres wäre auch ein Layer3 Switch, der ACLs kann. Oder halt wie hier schon gesagt wurde die Dream Machine.
 
  • Gefällt mir
Reaktionen: <NeoN>
Dig.Minimalist schrieb:
Schon mal in das Thema VLANs eingelesen?

Ich finde das Thema relativ kompliziert, aber ist die Stdndardlösung für solche Themen (Managed Switch notwendig).

Wenn du eh schon Ubiquity APs hast:
Unifi Dream Machine Pro (SE) und damit den Asus Router und die beiden switches ersetzen
Zum Vergrößern anklicken....
Stimmt VLAN, da hab ich schon mal was davon gehört.
Danke für den Tipp mit den Unifi Dream Machine Pro (SE), sind halt wieder 400€ extra kosten.
 
Masamune2 schrieb:
Die einfachste Möglichkeit wäre dir von deinem Arbeitgeber einen Drucker geben zu lassen der dann ebenfalls in das Netz kommt.
Zum Vergrößern anklicken....
Genau so würde ich es ebenfalls machen.
Wenn ein Drucker für das Ausführen der Arbeiten benötigt wird, sollte dieser von dem Arbeitgeber gestellt werden.
 
-MajorP- schrieb:
Wenn ein Drucker für das Ausführen der Arbeiten benötigt wird, sollte dieser von dem Arbeitgeber gestellt werden.
Zum Vergrößern anklicken....
Nicht jeder (mich inklusive) will halt einen weiteren Drucker rumstehen haben. Die wenigsten werden vermutlich massenhaft drucken müssen, so dass die eigenen Kosten sicher vernachlässigbar sind
 
  • Gefällt mir
Reaktionen: Mustang1978
Mal eine Frage die noch niemand gestellt hat: wie stellt den das Firmennotebook die Verbindung zur Firma her?

Wenn es, wie ich vermute, via VPN-Client passiert: ist überhaupt Split Tunneling erlaubt? Wenn nicht, kommt das NB sowieso nicht an lokale Geräte so lange der VPN-Client aktiv ist...
 
Kommt darauf an, je nach Implementierung gilt das nicht für das lokale netz. Und selbst wenn, kann man es (wenn man darf) per lokaler route overriden. Aber im Zweifel trennt er halt kurz die Verbindung um an den Drucker zu kommen.
 
Mr.Blacksmith schrieb:
Wir nutzen dazu VPN und die lokale Firewall unter Windows. Funktioniert bisher einwandfrei.
Zum Vergrößern anklicken....
VPN haben wir eh auch, jedoch ist dann der Firmenlaptop trozdem im normalen WLAN und hätte Zugriff auf alles

AGB-Leser schrieb:
Schließ den Drucker zum Drucken mit USB an, oder drucke von einem Stick aus
Zum Vergrößern anklicken....
Ich liebe simple Lösungen. :)
Aktuell schicke ich dem Drucker eine E-Mail zum drucken. Aber das funktioniert leider nicht immer einwandfrei.

simoron schrieb:
Wenn das Datenpaket es zulässt, könntest du auch alle Firmenkommunikation über LTE und W-Lan des Handys schicken.
Zum Vergrößern anklicken....
Da hab ich halt das Problem das ich garnicht im WLAN bin und somit auch nicht drucken kann.

Masamune2 schrieb:
Das Wort das du suchst ist "Pandemie"

Das vorgehen mit dem Gastnetz ist schon gut soweit. Die einfachste Möglichkeit wäre dir von deinem Arbeitgeber einen Drucker geben zu lassen der dann ebenfalls in das Netz kommt.
Geht das nicht kannst du noch versuchen den Drucker über WLAN ins eine Netz und über LAN ins andere Netz zu bringen.
Zum Vergrößern anklicken....
Diese Pandemie.... bringt uns nur schrerein wie die nun hier das Druckerproblem 😂

Ja stimmt schon vom Arbeitgeber ein Drucker würde mir rechtlich sogar zustehen. Ich möchte es halt wegen Platz und Umwelt nicht das ich noch einen Drucker daheim hab.

Das mit WLAN und LAN check ich leider nicht. Was meinst denn da genau?

Wilhelm14 schrieb:
Ist der Drucker auch von der Firma gestellt? Den würde ich einfach mit ins "Gastnetz" packen. Dann kannst du zwar nicht mehr von deinem Privatnetz drucken, aber wie oft machst du das?
Zu Hause würde ich das sogar statt mit VLAN fast rein physisch mit einer Routerkaskade machen. Bei VLAN läuft man eher Gefahr, etwas falsch zu konfigurieren. Das Homeoffice hinter der Routerkaskade könnte sogar nach Feierabend einfach abgezogen werden.
Zum Vergrößern anklicken....
Der Drucker ist eingentlich mein Privater, jedoch hab ich ein Tank system und dadruch kostet es mich fast nix. Den Drucker konnte ich dafür in Österreich von der Steuer abschreiben.

Eine Routerkaskade..... gibt es da eine Anleitung wie man das konfiguriert. Das muss ich mir mal anschauen....


foo_1337 schrieb:
Dazu kommt, dass das ganze ja nicht mal mutwillig sein muss.

Ich selbst handhabe das genau so. Business Zeug (und das würde ich auch so machen wenn es mein eigenes 1 Mann Unternehmen wäre) ist in einem separaten VLAN. Zwischen den VLANs ist ein Gateway (opnsense in meinem Fall) und da würde dann halt in diesem Fall tcp/631 zu dem Drucker bzw. in meinem Fall zum Cups Server erlaubt werden. Idealerweise stehen die Drucker auch in einem separaten VLAN ;)
Der Ubiquiti Pro kann auch VLAN Trunks, sprich in diesem Fall eine SSID in ein bestimmtes VLAN zu packen. Was dir fehlt ist eben noch ein Switch, der das kann (oder kann es der TP Link?) sowie das Gateway (Firewall) zwischen den VLANS. Alternativ für letzteres wäre auch ein Layer3 Switch, der ACLs kann. Oder halt wie hier schon gesagt wurde die Dream Machine.
Zum Vergrößern anklicken....
Ja voll.

Hab den TP-Link TL-SG1008P
Ich glaub mein Switch kann das nicht, sonst müsste er ja zumindest eine IP Adresse haben um ihn zu konfigurieren. Da steht aber hinten nix drauf.

Sieht sehr danach aus, das ich um einen neuen Switch nicht herum komme....

-MajorP- schrieb:
Genau so würde ich es ebenfalls machen.
Wenn ein Drucker für das Ausführen der Arbeiten benötigt wird, sollte dieser von dem Arbeitgeber gestellt werden.
Zum Vergrößern anklicken....
Ja, stimmt schon, aber da ist halt das Platzproblem und die Umwelt. Da ist es mir lieber wenn mich die Firma finanziell dafür entschädigt.
Ergänzung ()

Sandorkan schrieb:
Mal eine Frage die noch niemand gestellt hat: wie stellt den das Firmennotebook die Verbindung zur Firma her?

Wenn es, wie ich vermute, via VPN-Client passiert: ist überhaupt Split Tunneling erlaubt? Wenn nicht, kommt das NB sowieso nicht an lokale Geräte so lange der VPN-Client aktiv ist...
Zum Vergrößern anklicken....

Hab es gerade ausprobiert.
Wenn ich via VPN verbunden bin kann ich auch nicht drucken. Sobald ich die VPN Verbindung unterbreche funktioniert das Drucken wieder.
Heißt: Split Tunneling ist nicht erlaubt.

Also wenn dich da richtig verstehe ist die Lösung für die Sicherheit meiner Privatsphäre/Abkopplung(Firma+Privat) die VPN Verbindung.

Das Problem mit dem Drucker wäre dadruch jedoch unlösbar, außer ich unterbrach die VPN. Woduch ich dann jedoch wieder ein Sicherheitsproblem hätte.
 
Zuletzt bearbeitet:
Wenn du eh Unifi AccessPoints einsetzt, haben die bereits alles an Board um dein vorhaben umzusetzen. Du kannst eine Gäste SSID anlegen und dort ohne zusätzlichen L3 Switch, Firewall oder Router ganz einfach ACLs festlegen.

Im neuen Interface zu finden unter Guest Hotspot und dort Advanced - Manual

Dort gibt es nun zwei Sektionen:
  • Allowed Authorization Access
  • Restricted Authorization Access

In der Sektion Restricted Authorization Access hinterlegst du dein komplettes Subnet welches du zuhause nutzt. z.B. 192.168.0.0/16

In der Sektion Allowed Authorization Access gibst du explizit Adressen Frei die durch die Gäste erreicht werden sollen. Das ist typischerweiße das Gateway sowie die DNS Server. Also z.B. 192.168.0.1/32

Und zusätzlich kannst du dann auf diesen weg auch noch die IP Adresse deines Druckers und Scanners für Gäste freigeben. Alles was nicht freigegeben ist, kann durch einen Gast auch nicht erreicht werden.
 
foo_1337 schrieb:
Kommt darauf an, je nach Implementierung gilt das nicht für das lokale netz. Und selbst wenn, kann man es (wenn man darf) per lokaler route overriden. Aber im Zweifel trennt er halt kurz die Verbindung um an den Drucker zu kommen.
Zum Vergrößern anklicken....

Ja genau. Nur hab ich beim Unterbrechen der VPN-Verbindung wieder eine Sicherheitslück, wenn ich das jetzt richtig verstanden habe.
Ergänzung ()

Harrdy schrieb:
Wenn du eh Unifi AccessPoints einsetzt, haben die bereits alles an Board um dein vorhaben umzusetzen. Du kannst eine Gäste SSID anlegen und dort ohne zusätzlichen L3 Switch, Firewall oder Router ganz einfach ACLs festlegen.

Im neuen Interface zu finden unter Guest Hotspot und dort Advanced - Manual

Dort gibt es nun zwei Sektionen:
  • Allowed Authorization Access
  • Restricted Authorization Access

In der Sektion Restricted Authorization Access hinterlegst du dein komplettes Subnet welches du zuhause nutzt. z.B. 192.168.0.0/16

In der Sektion Allowed Authorization Access gibst du explizit Adressen Frei die durch die Gäste erreicht werden sollen. Das ist typischerweiße das Gateway sowie die DNS Server. Also z.B. 192.168.0.1/32

Und dann zusätzlich kannst du auf diesen weg auch noch die IP Adresse deines Druckers und Scanners für Gäste freigeben. Alles was nicht freigegeben ist, kann durch einen Gast auch nicht erreicht werden.
Zum Vergrößern anklicken....
Genial!
Das ist mir natürlich am liebsten, wenn ich das mit meinem aktuellen Setup hinbekommen kann.

Bezüglich VPN bleibt es aber dabei, dass ich die Verbindung dann kurz trennen muss, weil bei uns kein "Split Tunneling" erlaubt ist. Aber die Abkapselung meiner Privaten Geräte ist zumindest mit der Lösung gewährleistet.
 
Zuletzt bearbeitet:
Also wenn ich bei meinem Firmennotebook für den VPN nur den DNS der Firma setze und meinen Router weglasse, findet das Notebook bei mir im Netzwerk keine anderen Geräte.

Edit: Ah habe das mit dem Drucker überlesen, macht also wenig Sinn. :rolleyes:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
NAS für Privatbereich zur Datensicherung
2
Antworten
22
Aufrufe
6.707
Blende Up
Blende Up
F
Private Daten vor Zugriff auf Internet PC schützen
2
Antworten
25
Aufrufe
1.699
fritzthebox
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz