Hoi allemaal, ik ben nieuw op deze subreddit met een vreemde en vrij specifieke vraag waar ik geen antwoord op heb kunnen vinden. Ik heb recent een nieuw bedrijf aangenomen en onderdeel van het WFH-proces is verbinding maken met een bedrijfscomputer op locatie via een VPN. Het probleem is dat deze VPN vrijwel alles blokkeert, inclusief veel nuttige sites voor het werk. De verbinding met de bedrijfscomputer wordt gemaakt via standaard Windows Remote Desktop.
Is het mogelijk om de VPN actief te houden (het is GlobalProtect, ter info), maar alleen mijn Remote Desktop-verbinding erdoor te laten gaan? Of tenminste, andersom, dat alles de VPN gebruikt maar specifieke apps zoals Chrome via mijn normale, niet-geëncrypteerde verbinding worden gerouteerd?
Je kunt een split-tunnel doen als je bestemming met een IP kan worden gedefinieerd.
Als je een GP-abonnement hebt, kun je sommige applicaties door de tunnel routen en domeingebaseerd split-tunneling toepassen.
Run een tweede kopie van Windows in een VM en installeer daar de VPN. Als je Pro hebt, komt de Hyper-V rol erbij.
Iedereen haat het om onder een volledig tunnel te werken, inclusief de mensen die het hebben opgezet en het ook moeten gebruiken. Dus het zou niet zo zijn tenzij er een reden voor is.
Heb je je desktop support/security team gevraagd om de websites te deblokkeren? Je bedrijf zou policies moeten hebben om dit te doen in plaats van de beveiligingscontroles die er momenteel zijn te omzeilen.
VPN’s worden steeds ‘slimmer’ met functies die ze applicatie-bewuster en applicatiegebaseerd maken, maar het is nog vrij nieuw. Het lijkt erop dat jouw bedrijf een volledige tunnel gebruikt en alleen bepaalde dingen op het internet toelaat. Het kan door het ontwerp zijn, of niet, maar het is iets dat je met je bedrijf moet bespreken. Ik weet dat veel organisaties niet/geen split-tunneling kunnen doen vanwege compliance/beveiligingsredenen.
Je zou in een GPO kunnen specificeren dat het applicatietraffic moet worden getagd met een specifieke dscp en dan de VPN-router zo configureren dat alleen dat dscp-waarde verkeer wordt getunneld. Of de VPN-tool, als die dat kan.
Mijn organisatie heeft een soortgelijke setup. We kunnen ook kiezen voor een web-SSL-verbinding naar de GlobalProtect-gateway en dat biedt een webgebaseerde RDP-omgeving naar de interne host. Dit maakt het mogelijk om onze standaard bedrijfs-VPN te gebruiken terwijl we een RDP-sessie naar de doelhost bieden. Iets om te bekijken.