Toegang nodig tot AD via VPN, kan pfsense in een VM?

Wie kan mij helpen met het volgende:

Mijn werkgever heeft me een nieuwe laptop opgestuurd die met een image is voorbereid waarop ik in moet loggen met onze credentials in de AD, maar ik zit (half)ziek thuis en ben dus niet op kantoor... ICT "Service" zegt ga maar gewoon naar kantoor, maar mijn dokter zegt van niet.. Oftewel, ik zoek een oplossing waarbij de nieuwe laptop denkt in het juiste netwerk te zitten en zich netjes aan kan melden en registreren bij onze AD.

Ze gebruiken GlobalConnect van Palo Alto voor de VPN naar het bedrijfsnetwerk, daar heb ik op mijn oude laptop ook keurig toegang mee. In mijn optiek moet het technisch prima mogelijk te zijn om het netwerkverkeer van de nieuwe laptop even tijdelijk via de oude te leiden en zo te faken dat ik op kantoor zit, maar de twee netwerken aan elkaar hangen mbv bridge lijkt niet te werken, ten minste niet zoals ik het probeerde.

Als alternatief ben ik op zoek gegaan naar een oplossing als router via een VM omdat deze in NAT keurig via de "beveiligde" verbinding zou moeten communicaren.

Op de oude laptop heb ik inmiddels een VM draaien met pfsense, deze heb ik zo basic mogelijk / standaard geconfigureerd en ik dacht dat dit zou moeten werken, maar blijkbaar niet. Iemand tips? Wat zie ik over het hoofd? Vanuit de VM heb ik internet, anders kon pfsense ook niet installeren. Ik kan ook pingen. De interfaces heb ik volgens mij goed staan, de LAN zijde is een daadwerkelijk USB realtek adapter die verbonden is met de nieuwe laptop. De VM netwerkkaart staat bridged en pfsense WAN zit op em0. Ik zou verwachten dat pfsense nu alles doorlaat, maar heb daar verder geen ervaring mee. Kom ook niet op de GUI omdat ik alleen een broser heb in de host en het ip adres van de guest daar niet te bereiekn is.

Wie kan me helpen of onderbouwen waarom dit niet zou kunnen gaan werken?

FredvZ schreef op woensdag 19 maart 2025 @ 19:48:
Ik zou het bij je manager neerleggen: laptop werkt niet, it wil me op kantoor, mag niet van dokter, stuur je deze week iemand?

Want als je ziek bent, is het wel gek om extra werk te gaan doen omdat de it-afdeling je niet helpt.

Dank voor je reactie en natuurlijk heb je gelijk ware het niet dat mijn oude laptop het gewoon nog wel doet en ik daar prima ook op zou kunnen blijven werken, en de ICT zegt gewoon "kan niet thuis"..
Simpele oplossing: gewoon een collega vragen om hem bij me op te komen halen, mee naar kantoor te nemen, 1x in te loggen met mijn naam en gegevens en dan weer hier thuis af te leveren. maar ja, technisch zie ik niet in waarom dat zou moeten en is het natuurlijk ook gewoon lollig als ik het wel via een omweg thuis voor elkaar krijg, noem me nerd en eigenwijs

Ha @MasterL L dank voor je bericht en vooral de toevoeging, ik zie het als volgt, maar verbeter me vooral wanneer het niet klopt:

Reguliere (oude) laptop logt in op mijn thuisnetwerk en krijgt een 192.168.10.x ip. Palo Alto ziet dat er internetverbinding is en start automatisch de VPN sessie, er komt een nieuw ip-adres in de 10.x.x.x en de routes worden zo ingesteld dat _alle_ netwerkverkeer via deze tunnel loopt. Ik kan bijvoorbeeld niet meer mijn eigen ip-printer of persoonlijke pc benaderen zo lang alles standaard is ingesteld. (Voordat hij gestart is en zodra ik de vpn handmatig afsluit kan ik dat weer wel).

Nu de VMware image, hierin draai ik pfsense als software router/firewall die vanuit de VM Workstation een virtuele netwerkkaart heeft die in NAT verbinding met de host draait. Deze krijgt een IP-adres 192.168.11.x en die staat ingesteld als WAN-poort van de "router" Hetzelfde gedrag is te zien, als VPN actief dan geen toegang meer tot prive apparaten, als VPN uit wel. Internet toegang in de router via WAN ok. (ook een win11 VM image met dezelfde settings gedraagt zich identiek aan wat ik hier schets.)

Ik heb vervolgens een USB netwerkkaart in mijn oude laptop toegevoegd aan de VM waarmee mijn router dus nu ook een LAN poort heeft, Deze wordt door VMWare rechtstreeks aan de VM gekoppeld en wordt in de host niet zichtbaar. In die LAN-poort stop ik mijn nieuwe laptop en deze krijgt een IP-adres 192.168.1.x, draait DHCP en zo krijgt de nieuwe laptop een IP adres van de "router" en alle verkeer zou nu via de "router" naar de VM netwerkkaart naar de VPN moeten gaan..

Wanneer ik een pkg update doe, zie ik ook de teller van de VPN packets in & uit keurig oplopen en de data komt in ieder geval op de "router" binnen. Aangezien ik op de nieuwe laptop nog niet kan inloggen, kan ik daar nog niet zo veel. USB start staat uit in de bios, dus een winCE starten lukt helaas ook niet.

Of het VPN verkeer een bepaalde server/service niet toestaat die op kantoor wel toegankelijk is, zou natuurlijk kunnen. Ik zou wireshark op de host en/of de "router" kunnen draaien, maar dan kom je inderdaad een beetje in de hoek van dwars/eigenwijs/kut ICT leest niet wat je vraagt en reageert bot ok, maar dan gaat er me te veel tijd in zitten.

Overigens, mijn wachtwoord aan mijn collega geven voor de 1e inlog is natuurlijk absurd minder veilig dan zo'n certificaat gewoon desnoods per post op een USB stick naar mijn huisadres sturen of een download link telefonisch doorgeven nadat ik me heb geidentificeerd als echt degene die ik ben en zo

Kortom, een beetje "omdat ik dénk dat het wel moet kunnen" en vooral omdat die jongens op het hoofdkantoor niet willen aannemen dat ik niet met mijn laptop fysiek naar kantoor toe kan de komende weken.. Zoals ook al eerder gezegd kan ik inderdaad ook tegen mijn leidinggevende klagen en het hoog opspelen, maar de oude laptop is alsnog een i7 waar prima mijn huidige (thuis)werk op te doen is, dus die noodzaak zie ik niet.

@sig69 iets met ondanks de pijn wel staand/liggend korte stukjes wat op de laptop kunnen en willen werken vs. niet kunnen zitten en dus niet in de auto naar kantoor kunnen, Niks besmettelijks gelukkig maar wel al weken uit de running, dus alles wat ik kan doen is meegenomen.

[ Voor 7% gewijzigd door hufkes op 20-03-2025 10:04 ]

Ja de verbinding is er. Maar, niet op de nieuwe laptop, want geen toegang, maar een curl -4 icanhazip.com in de vm van pfsense geeft toch nog wel mijn eigen provider IP adres ipv de internet gateway van het brdrijf. Echter een nslookup van een verkorte servernaam die alleen in ons kantoor/werknetwerk bestaat, geeft in de vm van pfsense keurig netjes het juiste interne 10.xxx IP-adres terug, Ik kan hem daarvandaan ook pingen.

Hoe kan ik testen of een domein request vanaf de windows machine wel goed doorkomt dan? ik zie wel pakketjes met tcpdump op de pfsense. Naast voornamelijk ICMP echo requests en replies, zie ik zo nu en dan ook een brodcast ethertype Unknow (0x8912) weer, zegt dat je iets? Wellicht dat die niet door de firewall komt?