Munkahelyi VPN kikerülése egy böngészőben

Sziasztok,

Mától home officeban vagyok, VPN-el kapcsolódom a munkahelyemhez.
Szeretném a privát internet forgalmamat a VPN kihagyásával elérni, hogy ezzel se terheljem le a munkahelyi szervereket.

Van erre valamilyen egyszerű mód?
(Pl.: 2 böngésző, és egyik a VPN-en keresztül, másik pedig direkt otthoni interneten keresztül menjen ki?)

Köszi

Hozzászólások

Beszélni a VPN üzemeltetőjével, hogy gondolja át az egész konfigot... :)

Mivel a VPN nem böngésző alapon működik/dönti el hogy használva lesz-e, ezért más megoldásod nem lesz...

(Vicces, hogy az ilyen kérdésék száma egyre növekszik...)

Debian Linux rulez... :D
RIP Ian Murdock

(Vicces, hogy az ilyen kérdésék száma egyre növekszik...)

Ja, mert a cég nem sokat tököl a konfiggal. Nálunk konkrétan a mindent is átküldi a VPN-en, de a kliens hiába nem kapcsolódik, a DNS-t akkor is megszűri és a céges tiltólista érvényesül, amíg a kliens telepítve van.... Úgy értem, hogy ha a nem céges, saját gépemen megyek be, akkor is. 

Erre a lentebb írt VM-es "trükk" talán az egyetlen korrekt megoldás.

Ja, mert a cég nem sokat tököl a konfiggal. 

Szomorú... Akinek kedve van, itt dühönghet: https://hup.hu/node/168396

 

... a kliens hiába nem kapcsolódik, a DNS-t akkor is megszűri ...

Erre azért ráugranék... Ugyanis ez elég sok adatvédelmi gondot felvet... A munkaszerződésedben van ilyen kitétel?

Ki használja fel és mire azt az adatot, hogy mikor és mit böngészel, milyen szolgáltatásokat használsz???

Debian Linux rulez... :D
RIP Ian Murdock

A VPN-ről szóló céges utasításban van ilyen. Illetve ha a saját vasadra telepíted a céges VPN-t, akkor a céges hálózat részévé válik. Ezt el is kell fogadnod a telepítéskor.

Amúgy jogosnak érzem, mert egy részt közli, más részt van céges laptop is. Az egy másik kérdés, hogy kényelmetlen párhuzamosan használni, ezért én hegesztettem a sajátomra... :-) Hogy a connect nélkül szűröget, azon lehet rugózni, de kliens törlése után ez is megszűnik.

Nálunk egyszerűbb. Van céges gép, azzal és csak azzal lehet csatlakozni a céges VPN-hez, és a konfig le van annyira korlátozva, hogy ha nem vagy rajta a céges VPN-en, akkor nem mehetsz sehova, kivéve a céges VPN-t.

Ha home-office-ban privát akarsz böngészni, használd a saját géped. Ennyi.

nálam a céges vpn virtuális gépen fut, így normál netezés saját gépen, munka a virtuálison

Szerkesztve: 2020. 03. 20., p - 07:20

A legegyszerűbb megoldás, ami a céges biztonsági szabályokat sem hágja át:

  - céges laptop céges dolgokra
  - mellette levő saját PC-d/laptopod/tableted/telefonod privát célokra
 

Szerinted a céged mért használ VPN-t?

A baj nem az, hogy nem a munkaval foglalkozik valaki, hanem az, hogy konkretan a YT-bal teszi. Irgalmatlan savszelesseget kovetel es a bo tobbseg olyanra hasznalja, amire nem valo - ahogy feljebb a kollega is vazolta, zenehallgatasra es podcast-re, szoval inkabb ne. Hasznaljanak az emberek a celnak megfelelo eszkozt, toredek savszel-igennyel. Ez normal korulmenyek kozott is megkovetelendo lenne, hat meg most.

És ebben maximálisan egyet is értünk, csak nem ugyanarról beszélünk: a legtöbben _nem_ 1-2 videót néznek meg, amivel nem is lenne baj, hanem konkrétan rádiónak használják, ami viszont igenis probléma (ld ismét a már említett hozzászólást, ez az általános!). Ez "békeidőben" is gáz, most viszont annyira, hogy ha nem közvetlenül a munkához kell, szó nélkül be is tiltanám, ha valaki nem képes előfizetni egy Spotify és társaira, használja erre a mobilnet keretét.

Semmi gond, van traffic shaping az audio/video kategóriákra. Nyugodtan nézd, majd ha sokan nézitek, elkezd szaggatni :)

Azt még megértem, hogy ha valaki a cégen belül munka közben kikapcsolódásként youtube-ot néz, előfordul az ilyen. De elég nehezen képzelem el hogy - ha nem a saját gépével kell dolgoznia home-office-ban - otthon hasonló tevékenységre nem tudja céges munkaeszköz helyett a saját gépét használni, ha épp lazítani akar.

Mi a gond a pornóval? Nézze nyugodtan. Úgy, hogy mást ne zavarjon vele.
Ne csak mint szórakozás gondolj a pornóra. Vannak munkakörök, ahol be is csavarodna a kolléga, ha nem tudná levezetni a feszültséget. Ezt ki így, ki úgy tudja megtenni. Valaki sétál egyet az udvaron vagy a telephely körül, valaki beleolvas egy szakkönyvbe vagy novellába, valaki stimulánsokat fogyaszt (kávé, tea, nikotin minden mennyiségben), valaki meg kimegy a klotyóra és rejszol egyet, hát istenem. Nem vagyunk egyformák. Csinálja, ha erre van szüksége. Engem a munkája minősége érdekel. Az a párszáz mega youtube/redtube tartalom simán megtérül.

Nem szeretem, amikor valaki erkölcsöt fabrikál a saját szokásaiból. Csak azért, mert ő mondjuk nem pornót néz, hanem láncdohányos. Az mennyivel jobb?
Régen tök általános volt cigivel a kézben programozni. Hullott a billentyűzetbe a hamu folyamatosan munka közben. Kizárólag a dohányzás törvényi szabályozása miatt van kihalóban ez a szokás.

Szerkesztve: 2020. 03. 20., p - 08:07

VM-ben futtatod a vpn-t elérni akaró gépedet. Utána a hoston azt csinálsz, amit akarsz.

Nalam ez altalaban ugy van, hogy csak a vpn iranyaba meno kommunikacio (pl egy adott subnet) van beterelve a VPN-be, minden mas kifele megy.

Szerkesztve: 2020. 03. 20., p - 08:58

Nálunk kitaláltak pár megoldást, hogy pl. távoli asztal, távoli szerveren futó alkalmazás (Baan EPR), belsős web alkalmazások VPN nélkül is menjenek. Ilyen célokra Citrix alapú saját cloud app-okat használunk. Feltétlenül szükséged van VPN-re? Nincs mód a kivánt tartalom elérésére egyéb úton?

Mifelénk egyes kollégák szerint állítólag megkerülhető egy bridgelt módban hálózatra csatlakozó VM -mel. A VM -ből  látszik minden, illetve keresztül proxyzható rajta (HTTP vagy SOCKS) sok minden.

Nálunk cisco anyconnect van. Ennek a settings menüjében van egy "Statistics" fül, azon belül meg "Synamic exclusion". Ha a rendszergazdi okos, akkor ez szépen ki vagyon töltve olyan oldalakkal amik nem a VPN felé mennek. Nálunk pl. az office365 -os cuccok vannak benne.

Igen én is ezt játszom az anyconnect kikerülésére.. vmware-ben egy bridgelt kártya még a vpn előtt kijut a helyi hálóra saját ip-vel, utána futtatsz proxyt (ezt egy másik host only kártyán keresztül érem el a hoszt gépről mivel a cisco okosan minden lan forgalom blokkolására van konfigolva a security cirkusz égisze alatt) vagy magát a böngészőt a vmben ;)

Én úgy állítom be a routing szabályaimat, hogy a céges ip-k felé menő forgalom a vpn-en menjen keresztül, a többi meg a saját neten.

Milyen típusú VPN kapcsolatot használsz?

Szerkesztve: 2020. 03. 20., p - 09:55

2x

Vagy a VPN-t állítják így be,

vagy virtuális gép

"route print" parancs megmondja, hogy mi megy a VPN-en, és mi a default gateway-en.

De már valahol van tudor, aki készül egy nagy univerzális programmal, aminek mondjuk 'i' lesz a neve, és 'p' opcióval hívva elvégzi a mostani 'ip' funkcióit. (Persze nem saját maga, hanem dbus-on fog kommunikálni egy daemonnal, ami majd elvégzi a tényleges beállításokat.)

El kell árulnod hogy milyen VPN-etek van és hogy néz ki a kliens oldali konfigja. Ha simán a saját géped OpenVPN-nel akkor abban az esetben egyszerű route szabályokkal megmondhatod hogy mi merre induljon el. A VPN kapcsolat általában egy virtuális hálózati interfész (mint a wifid vagy az ethernet csatlakozód).

OpenVPN vs NetworkManager eset;n van egy kis extra szivas, ugyanis eltero koncepcioval mukodnek:
OpenVPN: ha nincs explicit megadva a konfigban, hogy o legyen a default gateway, akkor plit tunneling van.

NetworkManager: ha nincs explicit megadva a routingnal, hogy csak a VPN halon talalhato dolgokra hasznalja a VPN-t, akkor a VPN-t belovi default gatewaynek.

 

Vagyis ha split tunnel OpenVPN konfigot importalsz NetworkManagerbe, akkor be kell maszni importalas utan a routing reszhez, es beloni a checkboxot, hogy csak a halozaton beluli dolgokat terelje arrafele (only user resources available...).

Windowson ezzel szemben a nevfeloldas a szivatas resze a dolognak (DNS-leak), ugyanis windows elkuld minden ismert dns szerver fele kereset, hogy feloldjon egy nevet, es az elso valaszt hasznalja. Namarmost ha a public NS valaszol hamarabb nxdomainnal, akkor nem tudja feloldani. Ellenben ha OpenVPN-ben beallitod a block-outside-dns kapcsolot, akkor mindent bent probal meg feloldani, ami lehet nem lesz neked hajlando megmondani, hogy a hiteles.gov.hu hol lakik, mert o csak a belso DNS-t hajlando feloldani.

En is pont ilyen felallasban dolgozom, nalam a megoldas a Virtualbox lett, ahol a network "Bridged Adapter" modban csatlakozik a halozathoz.
Igy el tudom donteni, hogy mikor mit hasznaljak ha eppen VPN-re vagy privat dolgokra van szuksegem.

Most pont az a felallas, hogy a Win10 host-n megy az MS Teams, Outlook, Skype for Business (rohaggyonle). Ezekhez nem kell VPN mert kliens certificate alapu azonositast hasznalnak es egybekent is cloud.

 A Virtualboxban meg linux alatt dolgozok VPN kapcsolat mellett. (vagy VPN kikapcs ha nem dolgozok)

Support Slackware: https://paypal.me/volkerdi

Én azért kíváncsi lennék, hogy honnan veszi a témanyitó, hogy az internet forgalma el van terelve, ha csatlakozik a vpn-re. Én megnéznék egy "what is my ip" oldalt vpn csatlakozás előtt és vpn kapcsolatban. Ha semmi nem változik, kár aggódni. Igaz a DNS még el lehet terelve, valamint a vírusírtó es más programok is jelenthetnek a cég fele. Ne menjen az ember "érdekes" oldalakra céges gépről. A rendszergizda meg vagy csináljon split tunnelt, vagy blokkolja a vpn-en a nethozzáférést, mert leeszik a kliensek a sávszélességet.

Ha nincs routing beállítva az alhálózatok között, akkor nem. Sőt legtöbb esetben, akkor is eldobja a tűzfal. Max NAT esetén van probléma, ha te direkt beállítod a hálózatok között. Egyébként meg ha nincs külön céges / magán eszköz, akkor a magán időben nyugodtan beszedhet valami férget a gépre és utána mikor felcsatlakozik a céges hálózatra, akkor simán adhatja tovább..

ssh proxy-t beállítottam firefox-ba (céges hálón megy)

chrome saját neten

Ha forditva gondolkodunk, ssh alatti proxy mellett nem kell vpn a céghez befelé. Csak egy mezitlábas user a vpn serverre. (Vagy bármire, ami kintről ssh-zható, és belát annyira amennyire neked kell) 

És kurvanehéz naplózni. :D

"A megoldásra kell koncentrálni nem a problémára."

Szerkesztve: 2020. 03. 21., szo - 14:08

Legegyszerűbb lenne megfelelően konfigurálni a klienst, de ha ez nem megy, akkor kapcsolódás után:
Megnézed a route táblát. Valószínűleg benne lesz egy bejegyzés, ami mindent áttol a VPN-en. Létrehozol egy ennél specifikusabb bejegyzést (a munkahelyi hálózati tartományt, amit szintén oda irányítasz), aztán törlöd a korábbi általános bejegyzést a táblából. Ennyi.

Írd meg milyen VPN-t használsz vagy a route táblát másold be és akkor meg tudjuk adni a parancsokat.
(+ a munkahelyi hálózati címtartományt is írd le)

Ennél egy sokkal bonyolultabb megoldás is létezik, ahol egy program példányára külön tudsz specifikálni route táblát: network namespace.
Ebben az az előny, hogy nem kell tudni a munkahelyi hálózati tartományt.
Itt egy példa rá:
Using Linux Network Namespaces for per processes routing
https://www.evolware.org/?p=293

Szerkesztve: 2020. 03. 21., szo - 18:21

Amikor _dolgozol_ akkor a munkaidődet töltötd, minkaidőben meg "privát" forgalmad legyen csak annyi, amennyi "bentről" is szokott lenni. Ennyike.

Pedig a távmunka erről szól: nem a céges asztalodnál ülsz, de a gép,amin dolgozol, a céges hálózat része. Vagy lehet úgy is csinálni,hogy oké, oda mész a géperdől a vpn mellett, hova akarsz a nagyvilágba, viszont a céges hálózatban egy darab terminálszervert érsz el, (vágólap, fájlmásolás és hasonlók tiltva) és onnan tudsz dolgozni, illetve szükség esetén továbblépni más belső gépekre.

Pedig a távmunka erről szól: nem a céges asztalodnál ülsz, de a gép,amin dolgozol, a céges hálózat része.

Ne általánosíts. A távmunka (pontosítva home office) arról szól, hogy nem az irodában végzed el a munkád, hanem otthon. Ennyi. Senki nem mondja hogy annak a munkának egyébként szüksége van céges hálózatra vagy eszközökre. Van akinek adnak céges gépet és dolgozik azon, van aki megoldja sajáton. Van akinek online felületen kell kattintgatni ami amúgy is elérhető publikusan, van akinek elég egy vscode. 

MIvel a topic eleve munkahelyi VPN-ről szól, talán feltételezhetjük, hogy a munkának szüksége van céges hálózatra vagy eszközökre. Úgy is lehetne fogalmazni, hogy a topic az otthoni munkavégzésnek erről a részhalmazáról szól. Nincs értelme bővíteni ide nem illő - bár kétségtelenül előforduló - esetekkel.

talán feltételezhetjük, hogy a munkának szüksége van céges hálózatra vagy eszközökre

Oké, de szerintem az is ideillő eset az, amikor a VPN-re csak azért van szükség, hogy egy intranetes oldalt bizgess néha a munkád részeként, még akkor is, ha teszem azt a magángépeden kell dolgoznod, és közben minden más mehetne VPN nélkül is. Úgy gondolom az, hogy "a munkának szüksége van céges hálózatra vagy eszközökre" se feltétlenül egy esetet takar, amire csak egy jó recept van.

Amikor olyan helyzet volt nálunk, hogy saját gépről mehetett, csak fel kellett telepíteni a VPN klienst, akkor virtuális gépből indítottam a VPN-t, a host meg arra ment, amerre én akartam. Split tunnel akkor se volt, bár nem jól állították be, mert a local subnet elérhető volt.

(az is igaz, hogy elsősorban azért csináltam ezt, mert a VPN kliens windows-only volt, és semmi kedvem nem volt átváltani Windowsra Linuxról, a virtuális gép egyszerűbb megoldás volt)

Jelenleg egyikük sem ír elő kizárólagosságot, ahogy az ügyfeleimmel sem számoltatnak el, én pedig nem route-olok a hálózataik közt, és betartom az előírásaikat. A jogosultságaim megfelelő módon vannak korlátozva az összes környezetben, diszjunkt rendszerek által szabályozva. A forgalmat a megfelelő csatornákba terelem annak természetétől függően, és nem biztosÍtok azok közt átjárást. (Egyébként nem azt mondtam, hogy alapértelmezésként, ha kell, ha nem, az összes VPN-re csatlakoztatva vagyok 24/7.) Mindezzel együtt természetesen megértem az álláspontod és tiszteletben tartom attól még, hogy eltér az enyémtől - hozzátéve, hogy ha bármely ügyfél kifejezetten előírná hasonló helyzetek tilalmát, úgy magától értetődő módon azt is tiszteletben tartanám és alkalmazkodnék hozzá.

Azt azért ne felejtsük el, hogy amíg az internet előfizetést, a gépet,a villanyszámlát és a telephelyet nem a cég biztosítja, fizeti, így hadd használja már a dolgozó a munkája mellett időnként magáncélra is!

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nem írta hogy saját gépet használ. A VPN végpontok pedig a céges hálózat részei, értelemszerűen védeni kell azt az irányt is.

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Szerkesztve: 2020. 03. 24., k - 21:37

A vpn kapcsolaton konfigolj. Hálózat->Tcp tulajdonságok->speciális. (alapértelmezett átjáró)

Ha ez kilövöd becsatlakozás után a benti hálót eléred, de a géped az otthonin nyomja a netet. Így az otthoni porno letöltés csavarhat tovább, közben a munkaadót sem lassítod. :-D

 

Nálam a vpn kliensek külön tartományon bejönnek. Speed limit minden tartományi ipn.

Az eszközén egyedileg be lett állítva, hogy saját magát terhelje a youtube-al, de a céges dolgokba bemehessen. Így tud nyomtatni miegymás, de a default gateway a saját nete maradt. Nincs olyan felső szolgáltatásunk ami ip címre szűrne így megoldva.

Amikor openvpn volt, akkor egyszeruen kapcsolodas elott elmentettem a default route-t egy tmp fileba, majd az openvpn a config alapjan visszaallitotta:

route-up /usr/local/bin/vpn_up.sh

Ocsmany megoldas, de mukodott.

 

connect script

#!/bin/bash
cd /root/OpenVPN_Config/
ip ro ls | grep default | awk '{print $3}' > /tmp/defgw
openvpn --config  /root/OpenVPN_Config/ceges.ovpn 

cat /usr/local/bin/vpn_up.sh
#!/bin/bash
a=$(ip ro ls | grep default | awk '{print $3}') ; echo $a ;route del default gw $a
b=$(cat /tmp/defgw) ; route add default gw $b
route add -net 10.0.0.0/8 gw $a
exit 0

Sajna most, hogy ipsec van (shrewsoft vpn) mar nem jarhato, valami mast kell kitalalnom. Egyelore virtualboxbol fut az ipsec client, szoval igy elvagyok, de szivesen melloznem a vboxot.
 

http://www.micros~1
Rekurzió: lásd rekurzió.

Amikor oktattam (még az előző évezredben), akkor sajnos láttam. Meg néhány "gyári" telepítőcsomagnál is vannak szörnyűségek, illetve sokaknak a sysvinit - systemd átállás is erősen nehezére esik, is borzasztó tákományokkal állnak elő. De említhetném a Java-ban fejlesztők egy részért is, meg azokat,a kik megragadtak a DOS-os bat fájlok szintjén...
Sajna ilyeneknek a produktumai is szembe jönnek néha...

Azt hiszem a jira installerben a 7-es verzio kornyeken mar sikerult javitani, hogy ne csesszen el mindent is telepites/upgrade eseten.
Ha nem rootkent futtattad, kilepett. Ha rootkent futtattad, akkor kb minden root jogban maradt, majd jol rainditotta jira user neveben a szoftvert, ami ugyebar irasi jog hianyaban pillanatok alatt bedolt.

Ubuntu Apache csomag, telepítés/frissítés hibára fut. Ugyan nem telepítőscript, hanem konfig, de hasonló bzmg érzés: a frissítés után IPv6-on is listen-elni akar, az meg az adott gépen le volt tiltva, mert oda minek... Koncepcionálisan tartom baromságnak azt, hogy az install el is indít bármilyen szolgáltatást, annak a default beállításaival.

Igen ez egy érdekes dolog. Én például Nginx-et használok már évek óta mindenütt, erre egy PHP csomag, ami kellett az Nginx-hez lehúzott és elindított egy egész Apache-ot, mert dependency-ként volt jelölve. Ubuntu vagy Debian, már nem emlékszem. Valahogy finomítani kellene ezeken a dolgokon, valami make menuconfig jellegű felület kellene vagy nem tudom.. :)

Ugyanígy elég gáz, hogy egy csomag újabb verziója megpusztul, mert config fájlban valami már nem jó neki. Tiszta szerencse, ha esetleg már csak akár 1 verzióval korábban warning-olt deprecation-re, de ez a ritkább eset.

Mi az oprendszer? Én épp az imént csináltam meg a céges rendszergazdánk támogatásával. Fedora 32, NetworkManager, a titok nyitja egy pipa a routing-nál a

Use this connection only for resources on its network

elé. Ekkor nem fog minden csomagot a VPN tunnelen áterőltetni, csak azokat, amelyek abba az alhálózatba indulnak. A többi marad vagy a lokális hálódon, vagy kimeg a default gateway-en a netre. Így van VPN-ed, de a saját net eléréseden van neted.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Viszont nem esélytelen, mert a routing-nál lehet finomhangolni, végső kétségbeesésben pedig saját otthoni hálózatot el lehet tenni másik alhálózatba, hogy ne legyen ütközés. Nyilván én sem borogatnám örömmel a saját, ezer éve bekonfigurált hálózatomat, de van megoldás.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE