9
Fortigate VPN Verbindung von anderem Rechner aus initiieren
Hallo,
folgendes Szenario:
- Ein Mitarbeiter sitzt im Homeoffice und arbeitet (hoffentlich).
- Wenn er eine Software verwenden will, wofür interner Netzwerkzugriff notwendig ist, verbindet er sich bei Bedarf über einen Fortigate VPN Client mit Username + Passwort + 2FA (Email Token an separate, nur hierfür verwendete Emailadresse, die nur auf seinem Smartphone hinterlegt ist).
Das funktioniert soweit gut.
Nun möchte ich gerne als Admin die Möglichkeit haben, von meinem Rechner aus, die VPN Verbindung am Laptop des Kollegen zu initiieren. Und den 2FA-Token einzugeben (auf den ich bereits Zugriff habe).
Sinn der Sache ist, dass ich gerne eine Remotedesktopsitzung initiieren will, auch wenn der Kollege gerade nicht am Rechner sitzt, zum Beispiel Abends.
Also es wäre spannend, ob euch hier irgendeine Möglichkeit einfällt, das Umzusetzen. Ein Herstellen der VPN-Verbindung nur bei Bedarf und mit Email-2FA-Token würde ich gerne beibehalten.
[Hintergrund:
Wir waren gerade dabei, hierfür anydesk auszurollen, als der aktuelle Hack publik wurde. Haben das dann sofort wieder von allen Maschinen runter geworfen. Daher hab ich jetzt wirklich keine Lust mehr auf Anydesk, Teamviewer und Co!]
folgendes Szenario:
- Ein Mitarbeiter sitzt im Homeoffice und arbeitet (hoffentlich).
- Wenn er eine Software verwenden will, wofür interner Netzwerkzugriff notwendig ist, verbindet er sich bei Bedarf über einen Fortigate VPN Client mit Username + Passwort + 2FA (Email Token an separate, nur hierfür verwendete Emailadresse, die nur auf seinem Smartphone hinterlegt ist).
Das funktioniert soweit gut.
Nun möchte ich gerne als Admin die Möglichkeit haben, von meinem Rechner aus, die VPN Verbindung am Laptop des Kollegen zu initiieren. Und den 2FA-Token einzugeben (auf den ich bereits Zugriff habe).
Sinn der Sache ist, dass ich gerne eine Remotedesktopsitzung initiieren will, auch wenn der Kollege gerade nicht am Rechner sitzt, zum Beispiel Abends.
Also es wäre spannend, ob euch hier irgendeine Möglichkeit einfällt, das Umzusetzen. Ein Herstellen der VPN-Verbindung nur bei Bedarf und mit Email-2FA-Token würde ich gerne beibehalten.
[Hintergrund:
Wir waren gerade dabei, hierfür anydesk auszurollen, als der aktuelle Hack publik wurde. Haben das dann sofort wieder von allen Maschinen runter geworfen. Daher hab ich jetzt wirklich keine Lust mehr auf Anydesk, Teamviewer und Co!]
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21821912584
Url: https://administrator.de/contentid/21821912584
Printed on: April 27, 2024 at 21:04 o'clock
9 Comments
Latest comment
Rustdesk mit eigenem Vermittlungsserver ist dann wohl die beste Alternative.
1
Hello
Du willst Dich also irgendwie per rdp aud den Laptop schmeißen und von dort per vpn in die Firma?
Du von zuhause vielleicht noch ungesichert über rdp auf den Laptop und von dort .....? oder:
Du von der Firma aus per irgendwas auf den Laptop und von dort die vpn-Verbindung aufbauen, damit Du am ....?
Hat der Kollege eine fixe oder eine wechselnde WAN-IP?
Was auch denkbar wäre: Die vpn Verbindung wird bei jedem Abmelden bzw Neustart aufgebaut, der User kann sie aber deaktivieren. Somit ist sie "bei Bedarf" und Du kannst, wenn der Rechner im Leerlauf ist, von der Firma aus auch drauf ..... außer er ist abgedreht oder zumindest abgesteckt 😊
Du willst Dich also irgendwie per rdp aud den Laptop schmeißen und von dort per vpn in die Firma?
Du von zuhause vielleicht noch ungesichert über rdp auf den Laptop und von dort .....? oder:
Du von der Firma aus per irgendwas auf den Laptop und von dort die vpn-Verbindung aufbauen, damit Du am ....?
Hat der Kollege eine fixe oder eine wechselnde WAN-IP?
Was auch denkbar wäre: Die vpn Verbindung wird bei jedem Abmelden bzw Neustart aufgebaut, der User kann sie aber deaktivieren. Somit ist sie "bei Bedarf" und Du kannst, wenn der Rechner im Leerlauf ist, von der Firma aus auch drauf ..... außer er ist abgedreht oder zumindest abgesteckt 😊
Hi,
ich denke du bist hier auf einem falschen Weg und solltest eher mal in Richtung Softwareverteilung gucken.
Vermutlich läuft es auf Software Updates heraus, oder?
Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.
Alles andere geht auch in der Arbeitszeit.
Das wird eh nicht funktionieren wenn das Notebook heruntergefahren ist
VG
Deepsys
ich denke du bist hier auf einem falschen Weg und solltest eher mal in Richtung Softwareverteilung gucken.
Vermutlich läuft es auf Software Updates heraus, oder?
Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.
Alles andere geht auch in der Arbeitszeit.
Das wird eh nicht funktionieren wenn das Notebook heruntergefahren ist
VG
Deepsys
Hello
Ich auch nicht, ist aber nicht mein Problem, er wird schon wissen warum er das will.
Nicht wenn das Ding gerade in Verwendung ist.
.... oder wenn es gerade die WAN-IP gewechselt hat. Wenn der Kollege gerade in der Karibik am Strand liegt .... 😂
Zitat von @Deepsys:
Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.
Jedenfalls wüsste ich nicht warum ich mich sonst außerhalb der Arbeitszeit auf einen Rechner einwählen sollte.
Ich auch nicht, ist aber nicht mein Problem, er wird schon wissen warum er das will.
Nicht wenn das Ding gerade in Verwendung ist.
.... oder wenn es gerade die WAN-IP gewechselt hat. Wenn der Kollege gerade in der Karibik am Strand liegt .... 😂
Danke für eure Antworten!
Außerhalb der Arbeitszeit, weil ich a) die Kollegen nicht bei der arbeit stören will und b) Arbeite ich normalerweise eh Abends / Nachts, aus persönlicher Präferenz.
Kreativ Gedacht / frei gesponnen, hatte ich in folgende Richtung gedacht:
Klingt das wirklich so völlig abwegig?
Vorteil:
- VPN-Verbindung wird nach wie vor nur bei Bedarf aufgebaut.
- Ich würde das als ziemlich sicher ansehen (auch gegen Man-in-the-middle), insbesondere wenn VPN-user und PW lokal auf dem Rechner gespeichert sind, also nicht mit verschickt werden oder ein zusätzliches Client-Zertifikat verwendet wird.
- ohne 2FA-Token kann niemand die Verbindugn aufbauen.
Meine Hoffnung war, dass es da ein tool dafür geben könnte oder dass man sowas scripten kann mit Powershell / Batch oder so. Aber vermutlich ist der Empfang des Signals /Auslösen der Aktion hier die Herausforderung...
Außerhalb der Arbeitszeit, weil ich a) die Kollegen nicht bei der arbeit stören will und b) Arbeite ich normalerweise eh Abends / Nachts, aus persönlicher Präferenz.
Kreativ Gedacht / frei gesponnen, hatte ich in folgende Richtung gedacht:
- Wenn die VPN-Verbindung aufgebaut werden soll, schicke ich ein (verschlüsseltes) Email oder eine Chatnachricht oder ähnliches an den Computer des Kollegen.
- Das Email enthält username und pw zum Herstellen der VPN-Verbindung.
- Ein kleines programm auf dem Rechner des Kollegen liest dieses aus und startet den Fortigate client, fügt username und PW ein und drückt auf Verbinden.
- (Alternativ könnte VPN-user und PW auch nur lokal beim Kollegen gespeichert sein, so dass lediglich ein Befehl "stelle VPN-Verbindung her" übermittelt werden muss.)
- Ich rufe nun auf meiner Seite den 2FA-Token ab und sende ein zweites Mail mit dem Token hinterher.
- Das Programm fügt auch den Token ein und bestätigt. Und siehe da, die VPN-Verbindung steht. Ich kann dann ab sofort per Windows Remotedesktop weiter machen.
Klingt das wirklich so völlig abwegig?
Vorteil:
- VPN-Verbindung wird nach wie vor nur bei Bedarf aufgebaut.
- Ich würde das als ziemlich sicher ansehen (auch gegen Man-in-the-middle), insbesondere wenn VPN-user und PW lokal auf dem Rechner gespeichert sind, also nicht mit verschickt werden oder ein zusätzliches Client-Zertifikat verwendet wird.
- ohne 2FA-Token kann niemand die Verbindugn aufbauen.
Meine Hoffnung war, dass es da ein tool dafür geben könnte oder dass man sowas scripten kann mit Powershell / Batch oder so. Aber vermutlich ist der Empfang des Signals /Auslösen der Aktion hier die Herausforderung...
Das hört sich ziemlich komplex an in der Umsetzung.
Hat der Mitarbeiter vielleicht einen Router mit VPN Funktion zu Hause rumstehen? Dann könntest du dich bei Bedarf dort einwählen und dann wieder per RDP auf den Rechner
Hat der Mitarbeiter vielleicht einen Router mit VPN Funktion zu Hause rumstehen? Dann könntest du dich bei Bedarf dort einwählen und dann wieder per RDP auf den Rechner
1
Der Rechner muß eh laufen, somit kann auch der Forticlient ......
Hallo Zusammen,
wir haben vor kurzem genau für diesen Zweck eine kleines Open Source Programm geschrieben:
https://github.com/ar-ml/VPNremoteSignup
Ich freue mich, wenn jemand Interesse hat, sich das anzuschauen / zu testen und Feedback zu geben!
wir haben vor kurzem genau für diesen Zweck eine kleines Open Source Programm geschrieben:
https://github.com/ar-ml/VPNremoteSignup
Ich freue mich, wenn jemand Interesse hat, sich das anzuschauen / zu testen und Feedback zu geben!
