Zugriff von Schulnetzwerk verhindert.

[Bergler]

Guten Tag

Ich habe zu Hause ein NAS stehen auf das ich von extern entweder über den DSM oder per VPN-Verbindung zugreife.
Von der Arbeit und sonstigen Netzwerken funktioniert dies einwandfrei. Will ich jedoch von der Schule aus auf meine heimische DS via DSM zugreifen erscheint folgende Fehlermeldung:
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit meinnas.synology.me:5001 trat ein Fehler auf. PR_END_OF_FILE_ERROR

Die Verbindung via VPN ergibt folgende Fehlermeldung:
Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sciherheitsparameter möglicherweise nicht ordnungsgemäss konfiguriert.

Kann es sein, dass das Netzwerk der Schule Verbindungen auf externe Server (NAS) unterbindet?


Besten Dank für eure Bemühungen

Freundliche Grüsse
Bergler

 

[blurrrr]

Tjo, da hat ein Admin seinen Job halt "richtig" gemacht Wird dann wohl schlichtweg untersagt/verboten sein. Klär das mal besser mit dem dortigen Admin entsprechend ab (bevor es was auf die Mütze, oder gar eine Abmahnung gibt)

 

[Bergler]

Jooa hab ich erst auch gedacht, als ich aber den Laptop von der Arbeit mitgenommen habe und aus dem Schulnetzwerk per VPN-Verbindung auf den Server vom Büro zugreifen wollte hat das ohne Probleme funktioniert.

 

[Der Paul]

Büroserver und Heimserver sind nicht die selben Ziele... Da ändert auch ein anderer Client nichts dran. Du solltest also mal versuchen, von der Schule mit dem Arbeitslaptop auf den Heimserver eine Verbindung aufzubauen.

 

[Bergler]

Büroserver und Heimserver sind nicht die selben Ziele... Da ändert auch ein anderer Client nichts dran. Du solltest also mal versuchen, von der Schule mit dem Arbeitslaptop auf den Heimserver eine Verbindung aufzubauen.

Das habe ich versucht. Funkt nicht. Wenn ich auf die DSM zugreiffen will erscheint obige Fehlermeldung

 

[Puppetmaster]

Jooa hab ich erst auch gedacht, als ich aber...

Aber was? Mit dem Laptop hast du auch keine Verbindung mit dem Heimnetz hinbekommen.
Wird also so nicht gehen, weil der Admin in der Schule das nicht zulässt.

 

[Bergler]

Aber was? Mit dem Laptop hast du auch keine Verbindung mit dem Heimnetz hinbekommen.
Wird also so nicht gehen, weil der Admin in der Schule das nicht zulässt.

Aber wieso lässt er die Verbindung mit dem Büronetz zu? Inwiefern können sich diese netze unterscheiden?

Entschuldigt meine unwissenheit, ich bin da auf diesem Gebiet nicht sehr bewandert.

 

[Jxhannes]

Guten Tag

Ich habe zu Hause ein NAS stehen auf das ich von extern entweder über den DSM oder per VPN-Verbindung zugreife.
Von der Arbeit und sonstigen Netzwerken funktioniert dies einwandfrei. Will ich jedoch von der Schule aus auf meine heimische DS via DSM zugreifen erscheint folgende Fehlermeldung:
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit meinnas.synology.me:5001 trat ein Fehler auf. PR_END_OF_FILE_ERROR

Die Verbindung via VPN ergibt folgende Fehlermeldung:
Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sciherheitsparameter möglicherweise nicht ordnungsgemäss konfiguriert.

Kann es sein, dass das Netzwerk der Schule Verbindungen auf externe Server (NAS) unterbindet?


Besten Dank für eure Bemühungen

Freundliche Grüsse
Bergler

hab genau das gleiche problem gehabt bei meiner Schule. Bei mir haben sie allerdings Port 5000 frei gelassen, damit gehts bei mir (ohen Https)

 

[the other]

Moinsen,
Blurrrr Har schon recht... Wenn es auf Anhieb nicht geht, admin fragen und gut.
Warum der eine Client den vpn Server erreicht und ein andere Client einen anderen vpn Server nicht erreichen kann hängr evtl. auch mit den genutzten ports zusammen. Also, wenn du mit deinem Client ipsec vpn nutzt, das arbeitsnotebook und der andere vpn Server dagegen openvpn könnte das schon des Rätsels Lösung sein... Oder ihr nutzt beide openvpn aber unterschiedliche ports, oder...
Kurz: IT befragen und um Erlaubnis bitten (und vermutlich ne Abfuhr einkassieren)

 

[servilianus]

Daher sollte man in solchen Netzwerken (oder auch in Hotels), die gerne die benötigten VPN-Ports sperren, auf das SSL-VPN-Protokoll umschwenken, da der https-Port 443 in der Schule wohl kaum gesperrt werden dürfte (sonst könnte man sich ja Webseiten nicht mehr ansehen). Wesentlich besser - vor allem aus Sicherheitserwägungen - wäre es weiterhin, nicht die Synology den VPN-Server spielen zu lassen, sondern den heimischen Router.

 

[blurrrr]

Du solltest also mal versuchen, von der Schule mit dem Arbeitslaptop auf den Heimserver eine Verbindung aufzubauen.

Was ist denn das bitte für eine blöde (sorry) Idee? Wenn schon etwas "unterbunden" wird vom Admin, sollte man NICHT(!!!) versuchen, ob man das ganze irgendwie umgangen bekommt. Sowas fällt nämlich auf. Moment... nebst "sowas"... die "Person" die sowas versucht fällt natürlich EBENFALLS auf. Was sowas konkret bedeuten kann? FRISTLOSE KÜNDIGUNG! Also wäre ich mit solchen "gut gemeinten Tips" mal ganz vorsichtig. Privat bestimmt alles kein Ding, aber wenn die Firma sagt "Nein.", dann ist das auch so.

Gibt dann mehrere Möglichkeiten:

a) Der Admin lacht sich innerlich einen ab und lässt es auf sich beruhen
b) Der Admin rennt zum User und verpasst ihm einen Einlauf (sind die Admins aber i.d.R. viel zu faul zu, weil dann würden sie ständig rennen)
c) Der Admin informiert den Vorgesetzten über den Sicherheitsverstoß (jepp, genau das ist es, da hilft auch kein "aber ich hab doch nur..." oder "aber ich wollte doch nur..."), damit wäre vermutlich schon mal eine Abmahnung fällig... (Glückwunsch!)
d) Je nach Anweisung (und ggf. Firmengröße) hat der Admin den Chef ganz oben zu informieren.

Hatte ich in meiner Laufbahn auch schon öfter und ich kann Dir aus Erfahrung (der anderen ?) sagen, dass die sich "überhaupt nicht" wohl gefühlt haben, als ich samt Abteilungsleiter bei denen im Büro stand. Fremdgeräte via Kabel verbinden? Nicht in dieser Firma! ... Was der Mitarbeiter nicht wusste... Port-Security am Switch, inkl. Mailbenachrichtung bei Verstössen... Wollte halt ein IP-Radio anschliessen... Tja, Abmahnung kassiert und bei dem verschwitzten, panischen Gesichtsausdruck seinerseits wird er vermutlich sein Leben lang nix firmenfremdes in der Firma anschliessen...

Willst Du, dass Du derjenige welche bist?

Kleines Nachwort: Ist natürlich alles recht drastisch und ist bei weitem nicht immer so. Dennoch: Es gibt Richtlinien und wenn auf einmal etwas nicht geht, was normalerweise überall anders geht, kannst Du davon ausgehen, dass es "bewusst" gesperrt wurde. Wenn Du nun "bewusst" versuchst, diesen Sicherheitsmechanismus zu umgehen, ist sowas tendentiell schon abstrafbar, also... besser einfach lassen, oder wenn es ganz ganz GANZ dringend ist... Sprich das mit dem Admin ab

 

[Michael336]

Hi,
das wird vermutlich genau so sein.
Normalerweise gibt es eine Dienstanweisung, in der genau festgelegt ist, was ganz klar verboten, oder was unter welchen Umständen erlaubt ist.
Es wird aber alles ganz rigoros gehandhabt.

Bei uns kam ein Mitarbeiter der DV, hat das erklärt und die Kenntnisnahme der DA musste unterschrieben werden.
Man setzt das so um, das generell erstmal alles untersagt ist und nur nach Notwendigkeit schrittweise nach Antrag des Dienstvorgesetzten und Prüfung für den einzelnen MA freigeschaltet wird.

Zb ist ein Stichwort die ausschließliche Nutzung zu dienstlichen Zwecken.

Das ist meiner Meinung nach auch völlig richtig so.

 

[blurrrr]

@Michael336 : Da der Daumen hoch alleine nicht reicht: So "ganz ab und zu" soll es ja durchaus noch Leute geben, welche die Sinnhaftigkeit dahinter verstehen und respektieren... Hut ab! (Das ist übrigens völlig ernst gemeint, da es eher die Ausnahme als die Regel ist) ??

 

[Michael336]

Moin,
danke für die Blumen .

Letztlich ist die Vorgehensweise so wünschenswert.

Jedoch ist es meiner Meinung nach so, dass oft gewachsene Strukturen und heterogene Systeme usw. vorliegen.
Ganz „schlimm“ empfinde ich auch externe Mail-Accounts für jedermann in Firmen.
Da sollte das Gleiche gelten... nötig? Warum, wofür?

Ich mag auch Terminals, die lediglich eine RDP Verbindung aufbauen, wo physischer Zugriff auf Schnittstellen unterbunden werden kann, der Rechner an sich zentralisiert ist und von Experten gewartet werden kann.

Aber ich schweife ab...

 

[blurrrr]

Das sind dann in der Regel "ThinClients" (oder entschlackte FatClients die noch übrig waren). Terminalserver und TK-Anlage aus der Cloud sind heute sowieso das Mittel der Wahl (meiner Meinung nach, aber ich mache sowas ja auch beruflich ). Somit haben die Leute nix mehr mit der Wartung der ganzen Geschichte an der Mütze und im RZ fällt eher weniger etwas aus (weder in Sachen Internet, noch in Sachen Hardware und wenn Hardware, wird man vermutlich so schlau gewesen sein und für Redundanz gesorgt haben). Dazu kommen noch die ganzen "Extras" wie red. Stromversorgung über 2 Phasen, USV (inkl. Diesel-Generatoren für den Notfall), Argon-Löschanlage, und und und... (in vernünftigen RZs jedenfalls). Was "Vor-Ort" dann einzig zu beachten wäre: Internetleitung redundant halten und das am besten über 2 verschiedene Medien (z.B. DSL + LTE). 2x DSL bringt nämlich auch nix, wenn irgendwer irgendwo bei Bauarbeiten das Kabel beschädigt, oder dergleichen. Ist halt ein Thema, über welches man sich noch länger unterhalten können, aber das ist dann doch ziemlich OffTopic... Wenn Du Dich ausführlicher darüber unterhalten möchtest, können wir das gern via PN tun, die Abschweiferei lassen wir jetzt mal schön bleiben, sonst müssen die Mods sich noch die Arbeit machen und uns darauf hinweisen ?