VPN veilig voor eigen netwerk?

In principe klopt je verhaal, vpn werkt 2 kanten op.
Je kunt uiteraard dingen lokaal met een firewall oplossen, maar standaard heb je dus gelijk.

Dat ligt er helemaal aan op wat voor apparaat je het VPN termineert. Als je een software VPN client op een PC draait, zal alleen die PC deel uitmaken van het remote netwerk. Als je je VPN op een router termineert, is er in feite sprake van een koppeling tussen de twee netwerken en zul je dus iets van een firewall moeten gebruiken om dingen te blokkeren. Grote kans trouwens dat op het VPN device aan de bedrijfskant ook wel de nodige regels zullen staan om verkeer de verkeerde kant op tegen te gaan (of eigenlijk: om alleen gewenst verkeer door te laten en standaard te blokkeren)

Je hoeft met een VPN niet je default route ook over die lijn te gooien, maar je kan ook prima alleen een klein subnet doen. Het is maar net wat je als route erop zet of laat zetten (als je de configuratie van de server trekt).

Echt alles is mogelijk hoor als je zelf de server/client beheert. Het is alleen "populair" om met een VPN ook je hele internetverbinding (default route) eroverheen te doen. Zo betekent in de volksmond een VPN gelijk ook dat je internet via de VPN "loopt".

Wanneer je alleen bepaalde subnets over de VPN laat lopen en DNS nog gewoon vanuit huis doet bijvoorbeeld, verandert er weinig, behalve dat je die specifieke subnets ineens kan bereiken over de tunnel.

Als je nu even wat specifieke zaken over je situatie toelicht: wat voor VPN software je gebruikt, wat het beleid is van de beheerders van "de zaak" (of je je config mag aanpassen bijvoorbeeld), etc. dan kunnen we je beter helpen.

Ik gebruik zelf veel OpenVPN en heb voor de meeste peers alleen routes bepaalde subnets (site-to-site, maar ook client-to-managementnetwerk). Er is slechts één VPN verbinding waarbij ook de default route eroverheen gaat; die van mijn laptop als ik remote werk en de verbinding niet vertrouw (hotspot ofzo), dan slinger ik die VPN aan.

[ Voor 26% gewijzigd door gertvdijk op 20-03-2015 00:57 ]

Strict gezien werkt een VPN inderdaad twee kanten op, echter is vanaf de remote kant naar jouw netwerk komen makkelijker gezegd dan gedaan. Jouw computer moet daar namelijk ook aan meewerken. Typisch gezien zijn computers niet ingesteld om IP verkeer te routeren namelijk, en dat is hiervoor wel nodig.

Je éigen PC is natuurlijk wel vanuit het remote netwerk te bereiken.

Aanvulling op de twee prima posts hierboven: hoewel de meeste VPNs op L3 opereren, kun je bv. OpenVPN ook in L2/tap mode configureren. Dan wordt het een stuk lastiger om de client ook fatsoenlijk te scheiden van het VPN-netwerk.

Ik geef TS gelijk, Het bedrijf heeft niets met zijn thuis netwerk te maken.

Wat mogelijk zou moeten kunnen zijn is de VPN router van het werk op je eigen router aansluiten. De bedrijfs pc / telefoon sluit je dan weer aan op de VPN router van het bedrijf.

Je eigen pc's etc. Laat je aangesloten op je eigen router. Hierdoor kunnen ze van het bedrijf alleen maar op de bedrijfs pc en telefoon (met moeite zouden ze ook weer via de VPN router WAN poort terug op je netwerk kunnen komen. Maar dat kun je dan wel zien als computervredebreuk, zullen ze niet zo snel doen dus).

Dus zo:

Internet ------- Eigen router --------- VPN Router werk ------- Werk PC / Telefoon
|
----------- Eigen apparatuur.

(lijntje Eigen apparatuur hoort aan "Eigen router" te hangen. Op de een of andere manier komen de spaties niet mee)

Doordat de tunnel terminate op de VPN router gaat dat verkeer dus alleen door je eigen netwerk heen alsof het publiek internet is. De verbinding met je werk is dus beveiligd tot op de VPN router. Bijkomen voordeel is dus ook jouw eigen router vanaf het netwerk van het bedrijf niet zichtbaar is. Het bedrijf ziet alleen dit:

Bedrijf ---- VPN router bedrijf ------ VPN router TS ----- Werk PC / Telefoon

Dit zou voldoende moeten zijn om ze (zonder al te veel gekke dingen te doen) buiten je eigen netwerk te houden. Ook kan de apparatuur op jouw netwerk niet op de VPN van het bedrijf komen (en daar zijn zij dan weer blij mee waarschijnlijk).

[ Voor 3% gewijzigd door Brabix op 20-03-2015 02:33 . Reden: commentaar tekening toegevoegd. ]

Zitten een boel aannames en scenario's in dit topic. Misschien een optie om bij de helpdesk/netwerk beheer na te vragen hoe een en ander ingesteld is?

Eigenlijk kun je alle bovenstaande post samenvatten in 'afhankelijk wat je routeerd'.
Daarnaast heb je nog de optie om middels een firewall dingen wel/niet door te laten.

Standaard is een client vpn een /32 tunnel dus gaat alleen verkeer van/naar die ene pc in je netwerk.

Ga voor jezelf ook even na wat er in je thuisnetwerk staat en of je bv shares etc beveiligd met user password of niet. Evolueer eerst de risico voordat je uit pure angst gaat beveiligen. Maak daar bewuste keuzes in, stel ook op je werk de vraag of de verbindingen actief gemonitord worden hiertegen. Stel voor om de VPN verbindingen in eigen vlans te zetten. Kortom informeer eerst eens goed naar het hele plaatje en stel vragen, leg ook duidelijk de verantwoordelijkheid bij de werkgever in deze.

Als je router een VPN kan koppelen aan een VLAN en je bedrijfsapparatuur zet je in dat VLAN dan heb je je doel bereikt en is je prive netwerk ook echt prive.

Vanaf de VPN tunnel zou dit niet mogelijk moeten zijn. Het is even koffiedik kijken maar ik ga er even van uit dat er op de VPN tunnel geen NAT translatie zit (zou uitzonderlijk zijn als dit wel zo was).

Aangezien ze op het werk alleen de IP range die je achter de VPN hebt zitten zullen instellen als het subnet wat te bereiken is via de VPN tunnel zal er geen verkeer mogelijk zijn over de VPN van je andere IP range.

Als de VPN is ingesteld kan het ook zo zijn dat al het verkeer via de VPN gestuurd wordt. Vanaf dat moment kun je vanaf je werk pc's ook niet meer bij je eigen netwerk. Dat hoeft dus niet zo te zijn. Is afhankelijk van de VPN instellingen.

als leek het volgende.

Is het niet zo dat als je iets download via een vpn je dan toch het laatste stukje gewoon zichtbaar bent en als je iets download ( muziekje of filmpje ) de ontvangende ip ; computer ook zichtbaar is..

Zichtbaar voor wie?

Als jij iets download via een vpn tunnel, dan is de IP van de vpn provider zichtbaar voor de uploader, en voor alle routers daar tussen in, en is jouw IP zichtbaar voor de vpn provider.