Italienische IP-Adresse in Deutschland

[Lothar1983]

Meine Frau arbeitet für einen staatlichen Arbeitgeber in Italien. Am Montag und Freitag wird remote gearbeitet. Nach langwierigen Gesprächen hat meine Frau die Genehmigung der Behördenleitung erhalten, dass das mobile Arbeiten auch von Deutschland aus erfolgen kann. Das vergangene Wochenende wollte sie das nun machen - und es hat nicht funktioniert. Der externe staatliche IT-Dienstleiter hat ihr nun mitgeteilt, dass ein Zugriff von einem Router mit einer nicht von einem italienischen Provider stammenden IP-Adresse nicht möglich ist und Ausnahmen nicht vorgesehen sind. Ihr wurde gesagt, mein Router in Deutschland soll sich über einen VPN-Tunnel mit dem Router meiner Frau in Italien verbinden und dann würde es funktionieren.

Da weder meine Frau noch ich technisch versiert sind, sind wir damit überfordert. Sie nutzt einen No-Name Router, welcher ihr von ihrem italienischen Internetanbieter gestellt wurde und bei mir steht ein Vodafone Kabel-Router. Evtl. sind diese Geräte gar nicht dazu geeignet, eine Verbindung zueinander aufzubauen? Falls ja, welche Geräte sind für einen solchen Zweck zu empfehlen?

Für das mobile Arbeiten nutzt meine Frau ein IP-Telefon, welches an einen Ethernet-Port des Routers angeschlossen wird. Das Telefon wählt sich dann automatisch beim Arbeitgeber ein. Von Deutschland aus wurde die Verbindung jedoch blockiert.

Zudem nutzt sie einen Thin-Client, welcher ebenfalls an einem Ethernet-Port angeschlossen ist. Wenn man diesen startet, erscheint etwas, was für mich nach einem normalen Windows-Anmeldescreen aussieht. Dort gibt sie Benutzername und Passwort ein, danach öffnet sich der Internet Explorer wo sie auf einen Button klickt, welcher Citrix-Workspace startet. Von Deutschland aus war bereits der Zugang über den Windows-Anmeldescreen nicht möglich.

Für Hilfe und Tipps wäre ich sehr dankbar.

 

[Drewkev]

Das Stichwort dürfte Site-to-Site bzw. End-to-Site VPN lauten. Hier glaube ich eher letzteres.

 

[TZUI1111]

Am einfachsten wäre per RemonteDesktop auf den Rechner der Frau in Italien zugreifen, dann hast du eine Italienische IP-Adresse oder halt Versuchen einen VPN auf dem Recher in Italien zum Laufen zu bekommen.

Das sollte reichen, wenn sie mal in DE ist, wenn das allerdings zum dauerzustand wird muss die IT der Behörde halt mal eine IP in DE freischalten, wenn ihr eine statische haben solltet.

Wenn der Router VPN-Zugriff erlaubt, wäre das naturlich einfacher und würde weniger Strom verbrauchen.

 

[Scirca]

Das ist doch ne ganz typische Anfrage beim IT-Support / Zuständigen.
Gibt es sowas dort nicht?

 

[derlorenz]

Sie nutzt einen No-Name Router, welcher ihr von ihrem italienischen Internetanbieter gestellt wurde

Hier mal genauer spezifizieren was das für eine Kiste ist.

 

[PHuV]

Das ist doch ne ganz typische Anfrage beim IT-Support / Zuständigen.
Gibt es sowas dort nicht?

Eben. Deine Frau sollte Kontakt mit dem zuständigen IT Support aufnehmen, die können dann entsprechende Maßnahmen dafür treffen, daß das alles funktioniert.

Wenn die schon sagen, daß es nicht möglich sei (wobei das eine Ausrede ist, das geht technisch definitiv), dann kann es nur eine Sicherheitregel bzw. Anweisung in der Behörde sein, und dann habt Ihr hier leider keine Chance, dann geht das nicht. Ansonsten würde sich Deine Frau strafbar machen, wenn sie oder Du das irgendwie versuchen auszuhebeln. Das würde bei Entdeckung wie Hacking bewertet werden.

Daher, offiziellen Weg einhalten, und sie sollte dort über Ihre Vorgesetzten eine Sondergenehmigung einholen, und von deren IT entsprechend freischalten/konfigurieren lassen.

 

[Aduasen]

Zu einer vernünftigen IT Abteilung gehört auch, dass die Vorgehensweise erklärt wird, WIE man eine solche Einstellung macht.

 

[Falc410]

Am einfachsten wäre per RemonteDesktop auf den Rechner der Frau in Italien zugreifen, dann hast du eine Italienische IP-Adresse oder halt Versuchen einen VPN auf dem Recher in Italien zum Laufen zu bekommen.

Remote Desktop würde ich auf gar keinen Fall empfehlen. Das ist absolut unsicher und damit lädst du ja förmlich einen Angreifer ein, welcher dann den Rechner von seiner Frau übernimmt und der ist dann eventuell sogar in Staatliche Systeme eingeloggt. Also ein größeres Sicherheitsrisiko kann man kaum in kauf nehmen.

Es gibt VPN Anbieter welche dir eine italienische IP Adresse geben. Sinnvoller wäre es natürlich, wenn der Arbeitgeber eine VPN Verbindung auch von DE aus zulassen würde. Das ist ja der Sinn von VPN, dass man sich von über all aus der Welt sicher verbinden kann. Aber gut.

Das mit den Routern wird nicht funktionieren denke ich - diese Funktion ist nicht freigeschaltet. Wie gesagt, ihr könntet jetzt ein VPN Gateway in Italien platzieren (da der Router diese Option eben nicht bietet) und dann würde ihr Internet Traffic über den Anschluss in Italien laufen aber das setzt eben voraus, dass ein entsprechendes Gateway dort läuft (entweder ein PC oder Raspberry Pi). Damit muss man sich auskennen und falls es Probleme gibt, ist halt niemand vor Ort um das zu beheben. Daher würde ich es erst einmal mit einem VPN Anbieter versuchen, will jetzt keine Werbung machen, habe die selber nie benutzt aber gibt doch einige wie NordVPN.

 

[Masamune2]

Technisch ist das möglich aber nicht trivial und wenn du keine IT Kenntnisse hast schwierig umzusetzen bzw. Fehler zu suchen.

Im einfachsten Fall reicht ein Router der von einem der zahlreichen Nord, Süd, Ost oder West-VPN Anbieter unterstützt wird (wenn der Witz nicht zündet bitte ignorieren)
Der gibt dir dann eine IP in Italien und die Einwahl sollte darüber klappen. Aufwendiger wird es wenn du den Router in Italien selbst einrichten musst, bzw. dort eine kleine Firewall betreiben denn Home-Router können das was du hier brauchst in der Regel nicht.

 

[Raijin]

Side-to-Side bzw. End-to-Side

Mit Seiten hat das allerdings wenig zu tun, sondern mit Site, also singemäß "Standort".

Das ist doch ne ganz typische Anfrage beim IT-Support / Zuständigen.

Dazu folgendes:

Der externe staatliche IT-Dienstleiter hat ihr nun mitgeteilt, dass ein Zugriff von einem Router mit einer nicht von einem italienischen Provider stammenden IP-Adresse nicht möglich ist und Ausnahmen nicht vorgesehen sind.

Eine Nachfrage ist also offenkundig schon erfolgt. Scheinbar kollidiert hierbei die Zusage des Vorgesetzten bzw. Arbeitgebers bezüglich der Genehmigung mit den gelten Richtlinien des staatlichen Betriebs. Ich bezweifle, dass es in Italien bei den Behörden signifikant besser läuft als in Deutschland.




Als schnelle und einfachste Lösung für Leute ohne die nötigen Kenntnisse für das Aufsetzen eines eigenen VPNs würde ich nun vermutlich zu einem VPN-Anbieter wie Cyberghost oder Private Internet Access (PIA) raten. Zwar ist es natürlich so, dass das VPN nur den Weg vom PC deiner Frau bis zum VPN-Anbieter verschlüsselt, also der Anbieter selbst sowie der gesamte Weg danach nicht zusätzlich durch das VPN verschlüsselt ist und somit einsehbar ist, aber das sollte kein Problem sein, da es effektiv dieselbe Situation wäre wie wenn deine Frau in Italien in ihrer Wohnung sitzen würde. Denn die eingesetzte Software des Arbeitgebers ist hoffentlich separat ausreichend verschlüsselt....

Cyberghost und Co sind weitestgehend Plug'n'Play. Man lädt den Software-Client runter, registriert sich - je nach Angebot kostenlos oder mit einem kostenpflichtigen Tarif - und wählt anschließend einen VPN-Server in Italien aus. Dazu muss man natürlich vorher prüfen ob der VPN-Anbieter in Italien überhaupt Server stehen hat. Cyberghost hat soweit ich mich an meine Nutzung vor etlichen Jahren zurückerinnere auch italienische Server.

Die Alternative wäre ein eigenes VPN. Router-VPN kommt vermutlich nicht in Frage, zumindest nicht ohne dass wir nicht konkret Hersteller und Modellbezeichnung kennen. PC-seitig wäre der Prozess ähnlich wie bei Cyberghost und Co, da man auch da natürlich einen VPN-Client am PC benötigt und dann eben nicht zu einem Anbieter-VPN-Server verbindet, sondern mit dem Server auf dem heimischen Router in Italien.

Bietet der Router in Italien keine VPN-Funktion, kann man dies natürlich mit zusätzlicher Hardware nachstellen, aber das ist dann schon eine Menge Aufwand, um zB einen Raspberry PI, o.ä. ohne KnowHow zu installieren.

 

[Flynn74]

Spontan würde ich vorschlagen deine Frau installiert auf Ihrem PC eine VPN Software - z.B. https://nordvpn.com/de/servers/ - und verbindet sich darüber mit einem italienischen Server. Dann hat sie die benötigte italienische IP-Adresse und kann sich via Remote Desktop weiter verbinden.

VPN lässt sich auch in einem zusätzlichen Router und einem Subnet einrichten. Dann kann man sich die VPN Software auf dem Computer sparen und verbindet sich per LAN oder WLAN zu besagtem Router. Die Einrichtung ist aber nicht gerade trivial: https://nordvpn.com/de/blog/installierst-vpn-router/

 

[minimii]

Das ist doch ne ganz typische Anfrage beim IT-Support / Zuständigen.
Gibt es sowas dort nicht?

Eben.
Zumal es wahrscheinlich auch Richtlinien oder Compliance, Datenschutz
etc gibt.
Glaube eher weniger, dass es erlaubt ist sich da selbst was zu bauen.
Auch wenn es da Optionen gibt.

Am einfachsten wäre mit Sicherheit VPN per Software und/oder Hardware.
Aber das ist Thema der IT.

Also: Ticket aufmachen.

 

[Raijin]

Aus Sicht der IT ist es Jacke wie Hose ob das HomeOffice ohne VPN vom italienischen Anschluss aus direkt oder über ein VPN nach Italien getunnelt und dann darüber genutzt wird. Für den VPN-Anbieter ist die Software für das HomeOffice ebenso verschlüsselt - oder nicht - wie es in Italien für den Internetprovider wäre. Wenn die Firma - staatlich oder nicht - also zB nacktes unverschlüsseltes FTP verwendet, ist der VPN-Anbieter das kleineste Problem, weil schon vom italienischen zuhause aus jeder im Internet mitlesen könnte.

Im übrigen kam der Hinweis mit dem VPN nach Italien ja bereits vom IT-Dienstleister und damit sieht sich der Dienstleister nicht mehr in der Verantwortung - was ein Stück weit auch stimmen kann, wenn es in der Tat nicht vorgesehen ist, das HomeOffice aus dem Ausland zu nutzen.

 

[Moselbär]

Besorg Dir ein Programm mit dem Du die VPN von D in I ändern kannst.
Sowas gibt es kostenlos.
Dann hat die Gnädige wohl Zugriff.

 

[chrigu]

So wie ich es verstehe hat der IT deiner Frau zwei Möglichkeiten gegeben. Entweder eine italienische ip oder direkt VPN.
Frag in diesem Falle die it welches VPN Protokoll unterstützt wird. Jenachdem sagt er pptp, ipsec und wie die alle heissen, dann braucht es ein passender VPN Client und die Daten zum verbinden zum arbeitsserver des staatlichen Instituts

 

[Raijin]

So wie ich es verstehe hat der IT deiner Frau zwei Möglichkeiten gegeben. Entweder eine italienische ip oder direkt VPN.

Habe ich etwas überlesen? Soweit ich das sehe hat die IT nur genau eine Option gegeben:

Ihr wurde gesagt, mein Router in Deutschland soll sich über einen VPN-Tunnel mit dem Router meiner Frau in Italien verbinden und dann würde es funktionieren.

Heißt: Wie auch immer der Zugriff auf die Firmenanwendungen stattfindet, sei es ein Firmen-VPN oder via https nebst Login (zB im Browser), die gehosteten Serverdienste sind geoblocked. Die VPN-Daten würden also nichts bringen, weil der Server trotzdem blockt. Entweder muss die IT also den Geoblock rausnehmen oder aber man muss wie vorgeschlagen eine italienische IP bekommen, mittels Umleitung über ein VPN an den heimischen Internetanschluss in Italien oder eben (von der IT hier nicht explizit erwähnt) über einen VPN-Dienstleister wie PIA, NordVPN, Cyberghost, o.ä.

Andere Möglichkeiten sehe ich beim aktuellen Stand der Informationen nicht. Und vor allem: Es geht hier ja scheinbar im weitesten Sinne um eine Behörde und da würde ich mich auch nicht in Italien darauf verlassen, dass dort besonders agile Mitarbeiter sitzen, die voller Tatendrang schnellstmöglich einen offiziellen Änderungsantrag an den IT-Dienstleister rausgeben, mit Brief und Siegel und offizieller Genehmigung nebst Stempel.

Da bereits in der Einleitung von "langwierigen Gesprächen" mit dem Arbeitgeber die Rede ist, würde ich persönlich auch nicht allzu hohe Wellen schlagen. Klar kann man sich jetzt auf die Hinterbeine stellen und von der IT alles mögliche fordern. Und ich weiß jetzt schon was dann passiert. Es gibt einen Anruf des IT-Chefs beim Behörden-Chef und der fällt aus allen Wolken und zieht die Genehmigung zurück. Eher das als dass der Amtsleiter potentiell gefährliche Änderungen in Auftrag gibt...

Wenn es für die IT in Ordnung geht, dass man ein VPN nach Italien aufbaut und dann HomeOffice macht, würde ich das auch genau so umsetzen. Am liebsten würde ich das natürlich auch mit einem VPN-Server zu Hause in Italien sehen, klar. Ohne KnowHow tut's in meinen Augen jedoch auch NordVPN, o.ä. Im Zweifelsfalle kann man diesbezüglich ja nochmal explizit beim IT-Dienstleister nachhaken und fragen ob zB "VPN nach Italien über Cyberghost" ebenfalls klargeht. Kommt das OK, machen. Die Verantwortung liegt dann wieder bei der IT.

 

[F31v3l]

Bei einem VPN-Dienstleister müsste man prüfen, ob das nicht auch geblockt wird.
Ich konnte mich vor einigen Jahren bei Paypal mit Perfect Privacy selbst mit deutscher IP nicht einloggen.

 

[Lothar1983]

Da bereits in der Einleitung von "langwierigen Gesprächen" mit dem Arbeitgeber die Rede ist, würde ich persönlich auch nicht allzu hohe Wellen schlagen. Klar kann man sich jetzt auf die Hinterbeine stellen und von der IT alles mögliche fordern. Und ich weiß jetzt schon was dann passiert. Es gibt einen Anruf des IT-Chefs beim Behörden-Chef und der fällt aus allen Wolken und zieht die Genehmigung zurück. Eher das als dass der Amtsleiter potentiell gefährliche Änderungen in Auftrag gibt...

Wenn es für die IT in Ordnung geht, dass man ein VPN nach Italien aufbaut und dann HomeOffice macht, würde ich das auch genau so umsetzen. Am liebsten würde ich das natürlich auch mit einem VPN-Server zu Hause in Italien sehen, klar. Ohne KnowHow tut's in meinen Augen jedoch auch NordVPN, o.ä. Im Zweifelsfalle kann man diesbezüglich ja nochmal explizit beim IT-Dienstleister nachhaken und fragen ob zB "VPN nach Italien über Cyberghost" ebenfalls klargeht. Kommt das OK, machen. Die Verantwortung liegt dann wieder bei der IT.

Der erste Absatz beschreibt die Situation recht gut. Der Behördenchef meiner Frau hat ihr nach langwierigen Gesprächen sein Einverständnis gegeben. Die IT-Abteilung ist in einer anderen Behörde angesiedelt. Der dortige Mitarbeiter sagt ihr, dass der Zugriff nur mit einer italienischen IP funktioniert, gibt ihr netterweise noch einen Hinweis, wie das zu bewerkstelligen sein könnte und macht ihr zwischen den Zeilen deutlich "arbeite aus Deutschland bitte so, dass es für mich nicht ersichtlich ist, denn wenn weitere Einlogversuche mit einer deutschen IP erfolgen muss ich das meinem Vorgesetzten melden".

Ich sehe aktuell zwei Alternativen:

Alternative A: Ich besorge mir einen Router, der als Client eine Verbindung mit einem VPN-Service mit italienischer IP-Adresse aufbauen kann. An die Ethernet-Ports des Routers schließe ich dann wie gewohnt das Telefon und den Thin-Client meiner Frau an.

Alternative B: Ich besorge zwei geeignete Router, einen für die Wohnung meiner Frau in Italien und einen für mich in Deutschland und richte eine Site-to-Site Verbindung ein.

Vom Bauchgefühl her würde ich sagen, dass Alternative B zu bevorzugen wäre, weil man nicht von einem VPN-Dienstleister abhängig wäre?

Eine VPN-Software auf dem Thin-Client meiner Frau zu installieren macht keinen Sinn, denn das würde das Problem mit dem IP-Telefon nicht lösen. Das Telefon ist an einem Ethernet-Port des Routers angeschlossen und kann nur mit einer italienischen IP eine Verbindung herstellen.

 

[Raijin]

Klar, der VPN-Server in den eigenen italienischen Wänden ist in jedem Fall zu bevorzugen, weil man die Angriffsfläche minimiert. Damit meine ich nicht unbedingt etwaige Hacker, sondern Angriffe in Bezug auf etwaige Schuldzuweisungen. Wenn HomeOffice in Italien 100%ig genehmigt und von der IT offiziell freigegeben ist, stellt ein privater VPN-Tunnel nach Italien-Hause und von dort in die Firma effektiv nur eine Verlängerung des LAN-Kabels dar. Deine Frau könnte also sinngemäß auch mit einem 447km langen LAN-Kabel aus Italien nach Deutschland kommen und sich direkt in ihr Heimnetz einklinken - mit eigenem VPN eben nur virtuell.

Bei einem VPN-Dienetleister ist hingegen eine gewisse Grundskepsis durchaus berechtigt. Wenngleich die auch nichts mitlesen könnten, wenn die Firmen-IT alles richtig gemacht hat - https ist beispielsweise bereits ausreichend verschlüsselt - wird man allzu gern den naheliegendsten Schurken darin sehen.


Ideal wäre es daher so:


VPN-Server
|
(LAN)
ItaloRouter
(WAN)
|
| www
|
+------------- (WAN) FirmenRouter
|
| www
|
(WAN)
GermanoRouter
(LAN)
|
+------ Heimnetzwerk
|
(WAN)
VPN-Router
(LAN)
|
Firmentelefon+PC

Dabei gilt:

Der VPN-Router innerhalb des deutschen Heimnetzwerks wird in einer sogenannten Routerkaskade eingerichtet, also via WAN-Port mit dem Heimnetzwerk (grün) verbunden.

Durch die Routerkaskade erstellt der VPN-Router ein eigenständiges Netzwerk für das HomeOffice (blau) und beinhaltet in diesem Fall den VPN-Client zur Verbindung zum VPN-Server im italienischen Heimnetzwerk (rot).

Dieser VPN-Server könnte zB ein Raspberry PI mit PIVPN sein, relativ gut dokumentiert und mit überschaubarem Aufwand einzurichten. Der italienische Router benötigt lediglich die für das VPN notwendigen Portweiterleitungen.


Vom Ablauf sähe es dann so aus:

Beim Einschalten stellt der VPN-Router eine Verbindung zum VPN-Server in Italien her. Dafür muss man zuvor noch einen DDNS-Account erstellen damit eine potentiell wechselnde IP des Italienischen Anschlusses (zB 24h Zwangstrennung) aktuell gehalten werden kann.
Nachdem die VPN-Verbindung steht leitet der VPN-Server die eingehenden Verbindungen, aus dem VPN zum italienischen Internetrouter um und von da zur Firma. Die Firma sieht also _ausschließlich^ eine eingehende Verbindung von einer italienischen IP-Adresse, der des Italorouters.