Zugriff von Schulnetzwerk verhindert.

Bergler

Benutzer
Mitglied seit
08. Okt 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Guten Tag

Ich habe zu Hause ein NAS stehen auf das ich von extern entweder über den DSM oder per VPN-Verbindung zugreife.
Von der Arbeit und sonstigen Netzwerken funktioniert dies einwandfrei. Will ich jedoch von der Schule aus auf meine heimische DS via DSM zugreifen erscheint folgende Fehlermeldung:
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit meinnas.synology.me:5001 trat ein Fehler auf. PR_END_OF_FILE_ERROR


Die Verbindung via VPN ergibt folgende Fehlermeldung:
Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sciherheitsparameter möglicherweise nicht ordnungsgemäss konfiguriert.

Kann es sein, dass das Netzwerk der Schule Verbindungen auf externe Server (NAS) unterbindet?


Besten Dank für eure Bemühungen

Freundliche Grüsse
Bergler
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Tjo, da hat ein Admin seinen Job halt "richtig" gemacht ;) Wird dann wohl schlichtweg untersagt/verboten sein. Klär das mal besser mit dem dortigen Admin entsprechend ab (bevor es was auf die Mütze, oder gar eine Abmahnung gibt) :)
 

Bergler

Benutzer
Mitglied seit
08. Okt 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Jooa hab ich erst auch gedacht, als ich aber den Laptop von der Arbeit mitgenommen habe und aus dem Schulnetzwerk per VPN-Verbindung auf den Server vom Büro zugreifen wollte hat das ohne Probleme funktioniert.
 

Der Paul

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
131
Punkte für Reaktionen
26
Punkte
28
Büroserver und Heimserver sind nicht die selben Ziele... Da ändert auch ein anderer Client nichts dran. Du solltest also mal versuchen, von der Schule mit dem Arbeitslaptop auf den Heimserver eine Verbindung aufzubauen.
 

Bergler

Benutzer
Mitglied seit
08. Okt 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Büroserver und Heimserver sind nicht die selben Ziele... Da ändert auch ein anderer Client nichts dran. Du solltest also mal versuchen, von der Schule mit dem Arbeitslaptop auf den Heimserver eine Verbindung aufzubauen.
Das habe ich versucht. Funkt nicht. Wenn ich auf die DSM zugreiffen will erscheint obige Fehlermeldung
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Jooa hab ich erst auch gedacht, als ich aber...

Aber was? Mit dem Laptop hast du auch keine Verbindung mit dem Heimnetz hinbekommen.
Wird also so nicht gehen, weil der Admin in der Schule das nicht zulässt.
 

Bergler

Benutzer
Mitglied seit
08. Okt 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Aber was? Mit dem Laptop hast du auch keine Verbindung mit dem Heimnetz hinbekommen.
Wird also so nicht gehen, weil der Admin in der Schule das nicht zulässt.
Aber wieso lässt er die Verbindung mit dem Büronetz zu? Inwiefern können sich diese netze unterscheiden?

Entschuldigt meine unwissenheit, ich bin da auf diesem Gebiet nicht sehr bewandert.
 

Jxhannes

Benutzer
Mitglied seit
08. Okt 2020
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Guten Tag

Ich habe zu Hause ein NAS stehen auf das ich von extern entweder über den DSM oder per VPN-Verbindung zugreife.
Von der Arbeit und sonstigen Netzwerken funktioniert dies einwandfrei. Will ich jedoch von der Schule aus auf meine heimische DS via DSM zugreifen erscheint folgende Fehlermeldung:
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit meinnas.synology.me:5001 trat ein Fehler auf. PR_END_OF_FILE_ERROR


Die Verbindung via VPN ergibt folgende Fehlermeldung:
Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sciherheitsparameter möglicherweise nicht ordnungsgemäss konfiguriert.

Kann es sein, dass das Netzwerk der Schule Verbindungen auf externe Server (NAS) unterbindet?


Besten Dank für eure Bemühungen

Freundliche Grüsse
Bergler
hab genau das gleiche problem gehabt bei meiner Schule. Bei mir haben sie allerdings Port 5000 frei gelassen, damit gehts bei mir (ohen Https)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Blurrrr Har schon recht... Wenn es auf Anhieb nicht geht, admin fragen und gut.
Warum der eine Client den vpn Server erreicht und ein andere Client einen anderen vpn Server nicht erreichen kann hängr evtl. auch mit den genutzten ports zusammen. Also, wenn du mit deinem Client ipsec vpn nutzt, das arbeitsnotebook und der andere vpn Server dagegen openvpn könnte das schon des Rätsels Lösung sein... Oder ihr nutzt beide openvpn aber unterschiedliche ports, oder...
Kurz: IT befragen und um Erlaubnis bitten (und vermutlich ne Abfuhr einkassieren)
:p
 
  • Like
Reaktionen: blurrrr

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Daher sollte man in solchen Netzwerken (oder auch in Hotels), die gerne die benötigten VPN-Ports sperren, auf das SSL-VPN-Protokoll umschwenken, da der https-Port 443 in der Schule wohl kaum gesperrt werden dürfte (sonst könnte man sich ja Webseiten nicht mehr ansehen). Wesentlich besser - vor allem aus Sicherheitserwägungen - wäre es weiterhin, nicht die Synology den VPN-Server spielen zu lassen, sondern den heimischen Router.
 
  • Like
Reaktionen: Synchrotron

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Du solltest also mal versuchen, von der Schule mit dem Arbeitslaptop auf den Heimserver eine Verbindung aufzubauen.
Was ist denn das bitte für eine blöde (sorry) Idee? Wenn schon etwas "unterbunden" wird vom Admin, sollte man NICHT(!!!) versuchen, ob man das ganze irgendwie umgangen bekommt. Sowas fällt nämlich auf. Moment... nebst "sowas"... die "Person" die sowas versucht fällt natürlich EBENFALLS auf. Was sowas konkret bedeuten kann? FRISTLOSE KÜNDIGUNG! Also wäre ich mit solchen "gut gemeinten Tips" mal ganz vorsichtig. Privat bestimmt alles kein Ding, aber wenn die Firma sagt "Nein.", dann ist das auch so.

Gibt dann mehrere Möglichkeiten:

a) Der Admin lacht sich innerlich einen ab und lässt es auf sich beruhen
b) Der Admin rennt zum User und verpasst ihm einen Einlauf (sind die Admins aber i.d.R. viel zu faul zu, weil dann würden sie ständig rennen)
c) Der Admin informiert den Vorgesetzten über den Sicherheitsverstoß (jepp, genau das ist es, da hilft auch kein "aber ich hab doch nur..." oder "aber ich wollte doch nur..."), damit wäre vermutlich schon mal eine Abmahnung fällig... (Glückwunsch!)
d) Je nach Anweisung (und ggf. Firmengröße) hat der Admin den Chef ganz oben zu informieren.

Hatte ich in meiner Laufbahn auch schon öfter und ich kann Dir aus Erfahrung (der anderen ?) sagen, dass die sich "überhaupt nicht" wohl gefühlt haben, als ich samt Abteilungsleiter bei denen im Büro stand. Fremdgeräte via Kabel verbinden? Nicht in dieser Firma! ... Was der Mitarbeiter nicht wusste... Port-Security am Switch, inkl. Mailbenachrichtung bei Verstössen... Wollte halt ein IP-Radio anschliessen... Tja, Abmahnung kassiert und bei dem verschwitzten, panischen Gesichtsausdruck seinerseits wird er vermutlich sein Leben lang nix firmenfremdes in der Firma anschliessen...

Willst Du, dass Du derjenige welche bist? ;)

Kleines Nachwort: Ist natürlich alles recht drastisch und ist bei weitem nicht immer so. Dennoch: Es gibt Richtlinien und wenn auf einmal etwas nicht geht, was normalerweise überall anders geht, kannst Du davon ausgehen, dass es "bewusst" gesperrt wurde. Wenn Du nun "bewusst" versuchst, diesen Sicherheitsmechanismus zu umgehen, ist sowas tendentiell schon abstrafbar, also... besser einfach lassen, oder wenn es ganz ganz GANZ dringend ist... Sprich das mit dem Admin ab :)
 

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
180
Punkte für Reaktionen
47
Punkte
28
Hi,
das wird vermutlich genau so sein.
Normalerweise gibt es eine Dienstanweisung, in der genau festgelegt ist, was ganz klar verboten, oder was unter welchen Umständen erlaubt ist.
Es wird aber alles ganz rigoros gehandhabt.

Bei uns kam ein Mitarbeiter der DV, hat das erklärt und die Kenntnisnahme der DA musste unterschrieben werden.
Man setzt das so um, das generell erstmal alles untersagt ist und nur nach Notwendigkeit schrittweise nach Antrag des Dienstvorgesetzten und Prüfung für den einzelnen MA freigeschaltet wird.

Zb ist ein Stichwort die ausschließliche Nutzung zu dienstlichen Zwecken.

Das ist meiner Meinung nach auch völlig richtig so.
 
  • Like
Reaktionen: blurrrr

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
@Michael336 : Da der Daumen hoch alleine nicht reicht: So "ganz ab und zu" soll es ja durchaus noch Leute geben, welche die Sinnhaftigkeit dahinter verstehen und respektieren... Hut ab! (Das ist übrigens völlig ernst gemeint, da es eher die Ausnahme als die Regel ist) ??
 

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
180
Punkte für Reaktionen
47
Punkte
28
Moin,
danke für die Blumen :).

Letztlich ist die Vorgehensweise so wünschenswert.

Jedoch ist es meiner Meinung nach so, dass oft gewachsene Strukturen und heterogene Systeme usw. vorliegen.
Ganz „schlimm“ empfinde ich auch externe Mail-Accounts für jedermann in Firmen.
Da sollte das Gleiche gelten... nötig? Warum, wofür?

Ich mag auch Terminals, die lediglich eine RDP Verbindung aufbauen, wo physischer Zugriff auf Schnittstellen unterbunden werden kann, der Rechner an sich zentralisiert ist und von Experten gewartet werden kann.

Aber ich schweife ab...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Das sind dann in der Regel "ThinClients" (oder entschlackte FatClients die noch übrig waren). Terminalserver und TK-Anlage aus der Cloud sind heute sowieso das Mittel der Wahl (meiner Meinung nach, aber ich mache sowas ja auch beruflich ;)). Somit haben die Leute nix mehr mit der Wartung der ganzen Geschichte an der Mütze und im RZ fällt eher weniger etwas aus (weder in Sachen Internet, noch in Sachen Hardware und wenn Hardware, wird man vermutlich so schlau gewesen sein und für Redundanz gesorgt haben). Dazu kommen noch die ganzen "Extras" wie red. Stromversorgung über 2 Phasen, USV (inkl. Diesel-Generatoren für den Notfall), Argon-Löschanlage, und und und... (in vernünftigen RZs jedenfalls). Was "Vor-Ort" dann einzig zu beachten wäre: Internetleitung redundant halten und das am besten über 2 verschiedene Medien (z.B. DSL + LTE). 2x DSL bringt nämlich auch nix, wenn irgendwer irgendwo bei Bauarbeiten das Kabel beschädigt, oder dergleichen. Ist halt ein Thema, über welches man sich noch länger unterhalten können, aber das ist dann doch ziemlich OffTopic... Wenn Du Dich ausführlicher darüber unterhalten möchtest, können wir das gern via PN tun, die Abschweiferei lassen wir jetzt mal schön bleiben, sonst müssen die Mods sich noch die Arbeit machen und uns darauf hinweisen ?
 
  • Like
Reaktionen: Michael336


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat