Tudok telepítés nélkül VPN klienst használni Mac-en?

Fórumok

Asszonynak van két Macbookja. Az egyiken nem adminisztrátor. Erről a gépről szeretne VPN-en át kapcsolódni az itthoni hálózatunkhoz.

Én itthon fel tudok tenni mondjuk egy OpenVPN-t és be tudom állítani az itteni eszközöket úgy, hogy valakit kívülről beengedjenek, de nincs tapasztalatom Mac-kel, a másik laptopjára ha valami kellett, azt feltelepítettem aztán kész.

Amit gyors Google kereséssel találtam, az telepítésről szól. De nem tudom, hogy azért-e, mert a legtöbb felhasználónak ez praktikusabb, vagy azért, mert ez az egyetlen lehetőség.

Arra számítanék, hogy ha van TUN/TAP eszköz a MacOS-ben, akkor simán felhasználóként futtatva a programot kapcsolódnia kellene. Azt nem tudom, hogy a hálózati konfiguráció (pl. IP cím regisztrálás, route beállítása) menne-e így.

Van olyan eszköz*, amihez nem kell admin jog, vagy felejtsem el?

*nem ragaszkodom OpenVPN-hez, de más VPN üzemeltetésében nincs tapasztalatom. Mondhattok akár pénzes terméket is, de nem akarunk nagy összeget szánni erre.

Hozzászólások

A system preferences - network részben hozzá lehet adni többféle VPN-t is és ha jól emlékszem ehhez nem kell adminisztrátornak lenni, nincs ott a kis lakat. Másik ötlet az ssh socks5 proxy, kifelé ssh-zni gondolom tud, a firefoxban szerintem admin jog nélkül beállíthat proxyt a saját profiljában.

"Everything fails, all the time."

Szerkesztve: 2021. 10. 23., szo – 01:39

Ahol nem admin, ott gondolom jó ok van arra, hogy nem az (mert mondjuk munkaeszközként kapott céges gép). Jobb helyen a kifelé VPN-t illendően lecsapják/nem engedik (szintén okkal...)...

Jobb helyen a kifelé VPN-t illendően lecsapják/nem engedik (szintén okkal...)...

Honnan kifelé?

A saját lakásomból kifelé? Én, mint a lakás security policy megalkotója, nem tiltom a kifelé menő VPN-t.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Feltehetőleg céges gép, amin nem admin (és nem is lehet az), az ilyen eszközt jellemzően az adott munkáltató hálózatán használják, ahonnan "kifelé" nem igazán szokás vpn-csatornákat engedni.

Ha meg privát gép, akkor a VPN-re adj neki admin jogot (ha tud ilyet a makkos), oszt' jó'van... :)

Nem tudom, te merre élsz, mifelénk van egy Covid-19 nevű vírus, ami miatt az emberek jellemzően otthonról dolgoznak.

Az asszony pl. postán megkapta a céges Macbookot és azóta itthonról dolgozik. Még sosem járt a cég irodájában.

Egyébként a cég bizonyára védi a céges hálózatot, gondolom van tűzfaluk meg a kifelé irányuló forgalmat analizálják és szűrik.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A távmunka jó dolog, itt is van (sőt...), természetesen megfelelő vpn és egyéb nyalánkságok segítségével, ha a gép nem a céges hálón "belül" van. Ha meg igen, akkor onnan "kifelé" jellemzően nem engednek vpn-t akárkinek/akárhova.

A céges gép nem arra van, hogy akárhonnan el lehessen róla érni a dolgozó otthoni hálózatát, hanem arra, hogy a céges hálózatot elérje.

A céges gép nem arra van, hogy akárhonnan el lehessen róla érni a dolgozó otthoni hálózatát, hanem arra, hogy a céges hálózatot elérje.

Értem én, hogy elméleti kifogásod van a szándékkal szemben. Tudomásul vettem.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Tudom, hogy "divat" a céges biztosnági policy-t, meg a biztonságtudatosságot keresztbe sz@rni, de ez van, ha meg a delikvenst kérdőre vonják, vagy épp "neki hála" bemegy valami, aminek nem kéne, illetve kijut olyasmi, aminek pláne nem kéne, akkor meg jön a pislogás ezerrel, hogy "decsakazotthoni..." meg "denemtudtamhogy..."

Ezt én értem, de most jól értem, azt mondod, hogy az egyébként otthon használt gépet egy kávézóban használva és VPN-nel az otthoni hálóra kötve hirtelen valami veszélyesebb lesz mint addig volt?

Én azt gondolnám, hogy a biztonságot növelnénk, nem csökkentenénk ezzel.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A kommenteket olvasva enélkül én például abban sem voltam biztos, hogy nem az-e a cél, hogy otthonról használva vpn-es trükközéssel érje el az otthoni hálózatot. 

Ha a gép úgy van beállítva, hogy a teljes forgalmat a céges neten vigye át, akkor a dupla vpn-nel lehet azt érnéd el, hogy a cég szerverén át folyna minden forgalom az otthoni hálózat elérésekor is. 
De gondolom ez nem is menne, mert route szabályt nem tud módosítani jog hijján és a céges vpn átjáró a legmagasabb prioritású gondolom. 

Szóval a trükközés helyett vigye le a nem céges laptopot kávézni. Ha azt ottfelejti / ellopják tőle az kevésbé problémás.

Ha a gép úgy van beállítva, hogy a teljes forgalmat a céges neten vigye át

Nem így van beállítva. Ha így lenne (lenne egy céges VPN alapból), akkor nem merült volna fel ez az egész kérdés.

trükközés helyett vigye le a nem céges laptopot kávézni.

Dolgozni csak a céges laptopról tud, csak arról tud belépni azokra a helyekre, ahová kell neki.

Persze, mondhatjuk azt, hogy munkaidőben csak otthon ülni szabad és nem szabad kimennie, de azért szerintem ez egy kicsit túlzás. Nem? Főleg úgy, hogy a cégnél nincs ilyen policy, csak a hup-on néhány kolléga szerint nem lenne szabad ezt vagy azt.

Például üzleti útra se vigyen laptopot? Majd addig nem dolgozik, csak mosolyog az ügyfélre és papírra jegyzetel tintaceruzával, aztán majd hazatérve mindent szépen begépel, minden email-re és chat üzenetre válaszol.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ha tényleg nem trükközés, és szoftveresen nem megoldható, akkor még mindig ott a külső hardveres megoldás.

Valami mini router, ami usb-ről is táplálható. És azon beállítani, hogy a router lépjen fel a nyilt wifire és használjon vpn-t a kimenő kapcsolathoz, amit aztán lan-on vagy esetleg wifin át a géppel megoszt. Amúgy nálunk a cégnél egyik mac kapcsán úgy láttam, hogy wifi hálózat felvételéhez is admin user kellett, a korlátozott fiókkal nem engedte. Nekem utazáskor egy NEXX WT3020F openwrt-vel volt eltéve, hogy az instabil hotel wifire azon át menjek fel, hogy legyen belső hálózatom. Hátránya, hogy két kábel menne a gépbe - usb és lan.  Más esetben mobil app fejlesztéskor csináltunk belőle céges vpn-t használó wifi hotspotot, hogy elérje a teszt telefon az appnak szükséges hálózatot.

Kreatívabb esetben egy raspberry pi zero W is lehet felkofigurálható úgy, hogy usb-be dugva gadget módban lan adapterként mutassa magát. S hogy ő menjen fel wifire, vpn-re. Úgy az usb kábel egyben táp és vezetékes adatátvitel is lenne felé. Valami olyan file rendszerrel, ami nem sérül, ha csak úgy kihúzza az áramot. Nem tudom openwrt -vel lehet-e gadget módot aktiválni rajta. Úgy egy kábellel, mint egy dongle megoldható lenne.

Ez egy érdekes kérdés.

Ha lenne ilyen policy, valószínűleg nem akarná az asszony megszegni. Én igazából nem néztem utána, hogy van-e náluk ilyesmi, az asszony nem mondta, eddig csak annyit tudunk, hogy zeller kolléga feltételezi, hogy van vagy lehet ilyesmi.

Az Agile jó abban, hogy korábban is létező problémákat felszínre hoz és így lehetősége lesz a szervezetnek, hogy megpróbálják javítani a helyzetet.

Ha pl. egy policy valami olyasmit ír elő, ami miatt valaki a munkáját körülményesebben tudja csak elvégezni, akkor erre pl. egy teljesen jó válasz az, hogy a policy szükségességét kérdőjelezzük meg (nem megszegve, hanem csak egy fórumon megbeszélni, hogy tényleg kell-e, tényleg így kell-e, stb).

A konkrét eset teljesen más, nem tudjuk, hogy van-e ilyen policy, és első sorban nem munka miatt akarja, hanem azért, hogy nem megbízható WiFi hálózatokon (szállodában, kávézóban) dolgozva védve legyen megfigyeléstől illetve jobban védje a gépét mindenféle támadásoktól.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Szvsz, ha nem tudjátok van -e ilyen policy, akkor arra nem az a megoldás, hogy amiről nem tudtok, az nem létezik, hanem például megkérdezitek az IT-t. Ha nem ütközik semmilyen szabályba, akkor lehet az IT segít az otthoni vpn konfig felvételébe is a gépre és akkor választhat, hogy melyik hálózatba akar belépni.

Ha nem akarjátok az IT segítségét kérni, akkor gondolom sejtitek, hogy  tilosban jártok valószínűleg.

Igazából nem tudom, hogy van náluk, de te most azt feltételezed, hogy van olyan, hogy céges IT, meg az IT segít az otthoni gép beállításában. Ez azért nincs mindenhol így.

Én dolgoztam már olyan helyen, ahol nem volt olyan, hogy IT, meg olyan helyen is, ahol az IT az egy ember volt valami másik országban, és ugyan lehetett mindenféléket kérni, de nagyon korlátozott volt az, amit egyáltalán meg tudtak csinálni.

Ennél a cégnél pl. úgy ment az angol irodában az új laptopok telepítése, hogy az IT-s ember elküldte DHL-lel azt a néhány DVD-t, amit kellett, emailben leírta, hogyan telepíthetjük fel a céges image-et, mi legyen a jelszó, meg ez meg az, aztán aki épp nem volt projekten, az telepítgethetett.

Hetente egyszer az ember a belső hálón lógó új gépeket egyesével beléptette a domain-be, onnantól ki lehetett adni a kollégáknak.

Aztán ha nekem gondom volt a gépemmel, akkor a mi IT embereink a géphez nem fértek hozzá, változtatni semmit nem tudtak, max. felírtuk, hogy majd ha legközelebb olyan városban járok, ahol van iroda és IT is, akkor menjek be mert valami majd lesz.

Hiba esetén meg a gyártótól jött ki ember, aki ott az ügyfélnél, ahol épp dolgoztam, megjavította / kicserélte, akármi.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

De az nem ceges problema, hogy a feleseged az otthoni gepet akarja elerni es idegen VPN halozatra csatlakozni (ez kb feler azzal, hogy tarva nyitva a gep hiszen a ceges security policyt ezzel ugyesen megkerulod)

Kifogast mindig lehet talalni. Eszkalalni kell. Ha jogos akkor meg fog oldodni. 

Nem megbizhato halozaton a ceges VPN-t kell hasznalni es nem neked farigcsalni az otthonival.

Én nem is mondtam, hogy céges probléma.

Nincs céges VPN, amit használni lehetne.

Amúgy nem teljesen értem, hogy miért jöttök ezekkel a fenntartásokkal / kifogásokkal.

Megkérdezte, hogy lehet-e ilyesmit. Én nem tudtam, megkérdeztem itt, és többen mondták, hogy igen, lehet. Tud a Mac IPSEC-et, csak be kell állítani, nem kell hozzá a céges IT, nem kell hozzá telepíteni.

Én értem, hogy ha ti lennétek a céges IT, akkor nem örülnétek annak, ha valaki így használná a gépét, de nem az ő cégénél dolgoztok (vagy ha igen, akkor nem titeket kértek fel a céges policy megírására és a gépek jó biztonságosra bekonfigurálására).

Én is dolgoztam olyan helyen már, ahol az IT-nak ki volt adva, hogy a céges hálózatot meg kell védeni.

A céges gép indulás után azonnal fellépett a céges VPN-re, és semmi nem volt a VPN-en nélkül elérhető. Ha megérkeztem egy üzleti úton egy szállodába, a szállodai WiFi-re kapcsolódva egy google maps-t nem tudtam megnézni, ha a VPN nem volt aktív.

Lehet így is. Meg lehet úgy is, ahogyan pl. az asszony cége csinálja, hogy vannak a világon mindenki által elérhető oldalak, és azokra kell bejelentkeznie az asszonynak, ha mondjuk emailt akar olvasni vagy a jirát piszkálni, vagy akármi.

a feleseged az otthoni gepet akarja elerni es idegen VPN halozatra csatlakozni (ez kb feler azzal, hogy tarva nyitva a gep hiszen a ceges security policyt ezzel ugyesen megkerulod)

OK, ez nem először kerül elő. Mondd el, légy szíves, hogy a közvetlenül az otthoni WiFi-re csatlakozó géphez képest mennyivel veszélyesebb, ha ugyanez a gép VPN-nel csatlakozik az otthoni hálózatra, mondjuk egy random WiFi hotspotról vagy telefonról megosztott mobilnetről?

Illetve idézd be légy szíves a céges security policy-nak azt a részét, amit megkerülne ezzel!

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

"Nincs céges VPN, amit használni lehetne"

Hat ez elszomorito

Mondd el, légy szíves, hogy a közvetlenül az otthoni WiFi-re csatlakozó géphez képest mennyivel veszélyesebb, ha ugyanez a gép VPN-nel csatlakozik az otthoni hálózatra, mondjuk egy random WiFi hotspotról vagy telefonról megosztott mobilnetről?

Ilyenkor kell hasznalni a ceges VPN-t de mivel nincs innentol kezdve kutya mindegy, hogy mit csinalsz. 100%, hogy az adott ceg halozata mar most atjarohaz...

A nem ceges VPN-t azert tiltjuk mert az uzemeltetes nem latja, hogy mi tortenik azokon a vegpontokon, nincs authority, nincs EDR nincs EDM plusz egy unmanaged eszkozon vegigzavarod az osszes ceges adatod logint es lofaszt.

A nem ceges VPN-t azert tiltjuk mert az uzemeltetes nem latja, hogy mi tortenik azokon a vegpontokon, nincs authority, nincs EDR nincs EDM plusz egy unmanaged eszkozon vegigzavarod az osszes ceges adatod logint es lofaszt.

Ez rendben van, de nem ugyanez történik VPN nélkül? Az üzemeltetés nem látja, hogy mi történik az én lakásomban a végponton, a szállodában, a reptéren vagy a kávézóban. Ugye a kávézóban / reptéren akár a WiFi végpont a szomszéd asztalnál ücsörgő ember hátizsákjában is lehet akár.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ezzel nem értek egyet.

Simán lehet olyan eset, hogy valami valós volt, de valami miatt nem tudatosult.

Mondjuk dolgoztam egy cégnél, ahol a legtöbb projekt jellemzően 2-3 évig futott. A release manager év elején bekérte azt, hogy az év során tervezett 11 (havonta 1, kivéve december) release-be mi kerül majd. Minden release előtt 1 hónappal code freeze volt aztán 1 hónapon át kézzel tesztelgették a csomagot majd kitolták élesbe.

Szerintem pl. itt az, hogy egy hónapig tart egy release candidate tesztelése, az egy probléma. Vagy ennek folyományaként az is, hogy nem lehet havi 1-nél sűrűbben kitenni dolgokat élesbe.

Az, hogy az agile workstreamek esetén az üzlet azt akarta, hogy a marketinges ötletétől max. 3 hónapon belül élesbe kerüljenek a változások, az pl. felszínre hozta azt, hogy a 3 hónapos engedélyezett időből 4-8 hetet a release team kezében tölt minden változás (ugye attól függően, hogy a code freeze-ek között mikor készült el).

Szerintem ez egy valós és fontos, de addig nem sürgős probléma volt, és nem hiszem, hogy az Agile ezt erősítette, egyszerűen ami addig működgetett, az onnantól kezdve már nem volt igazán megfelelő.

Te hogy látod?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem tudom ezek alapján megitélni.
Az agilis transzformáció, itt most konkrétan a sűrű release-eknek pénzben kifejezhető költsége van - az üzlet tudja eldönteni, hogy több haszonnal jár-e, mint költséggel.
Agile nem l’art_pour_l’art, hogy cost-benefit elemzés nélkül vezessük be.

Ha a command-line openvpn2 klienssel probalok csatlakozni sima mezi user fiokbol, akkor operation not permitted van, amikor a megprobalna a tun interfacet hasznalni. Sudoval mukodik. Szoval, az OpenVPN szerintem nem fog menni igy.

A kérdés, hogy milyen szolgáltatást szeretne VPN-en keresztűl elérni?

Ha megvan a lista, akkor ssh port forward-dal oldanám meg.

SoftEther vpn-t viszonylag egyszerűen fel lehet tenni, ami tud L2TP/IPsec et (is).

Ipsec van natívan, olyat szervert csináltunk korábban kulcsos auth-al, de gondolom PSK is menne. Ez pont azért frankó, mert natívan támogatott a legtöbb platformon.