Bestimmte URLs zulassen
-
Mahlzeit,
folgendes Problem: Die Clients hinter der pfSense dürfen nicht ins Internet, außer einigen wenigen Auserwählten. Dies war soweit kein Problem und das funktioniert auch. Nun sollen die Clients aber (die eigentlich keinen Zugriff in Inet haben sollen) auf eine bestimmte Website zugreifen können und per Teamviewer fernsteuerbar sein.
Nun die eigentliche Frage: Ist dies auch ohne Proxy realisierbar? Und wen ja, wie?
Ich danke euch schonmal im Voraus für eure Hilfe.
-
Hallo,
ohne den Umweg über einen Proxy zu gehen, ist in diesem Fall wohl auch der bessere Weg.
Am besten packst du alle FQDNs bzw. IPs, die die Clients ansteuern dürfen, in einen Alias (Firewall > Aliases) und ebenso alle Port, die erlaubt sind (vermutlich 80 u. 443) und verwendest diese beiden Aliases in der Allow-Regel am Interface, an dem die Clients hängen, um den Zugriff freizugeben.
Für Clients die weitere Rechte haben, legst du spezielle Regeln an, die in der Liste darüber positioniert werden. Das setzte aber auch voraus, dass diese Clients an Hand der IP zu unterscheiden sind.Standardmäßig hat pfSense am LAN Interface eine Allow any to any Regel. Die muss entfernt werden, bzw mit den o.g. Aliases angepasst werden.
Teamviewer ist eine aktive Verbindung, die vom Client aufgebaut wird und ebenso mit obiger Regel erlaubt werden kann.
-
Ok Danke erstmal. Also Port 80 und 443 ist klar…
Weißt du zufällig welche FQDN der Client benötigt um den Teamviewer ordentlich zum laufen zu bekommen? Und muss nur eine ausgehende Regel vorhanden sein oder auch eine eingehende?
-
Moin,
für einen Rechner der sonst nicht in das Internet darf habe ich für Teamviewer eine Regel die nur Zielport 5938 TCP erlaubt und die Fernwartung klappt.
-teddy
-
Also ein portforward auf die Rechner mit dem Port tcp 5938?
-
Nein.
Eine Regel die nur ausgehenden Verkehr mit Zielport Port tcp 5938 zuläßt:IPv4 TCP (IP des Rechners der darf) * * 5938 * none
Ich habe kein Portforwarding eingerichtet.
-teddy
-
Teamviewer stellt die Verbindung im Normalfall für das tolle Feature "Umgehung von Firewalls etc." über einen Proxy selbst her. Sprich der TV Client, dem geholfen wird, stellt eine Verbindung zu einem zentralen Server bei TV her und wartet dort. Dann startet der Helfer seinen Client und verbindet sich ebenfalls mit dem zentralen TV Server. Nach Eingabe der entsprechenden ID Nummer die der Client dem Helfer gibt, werden die beiden Verbindungen dann miteinander verknüpft.
Dieser "man in the middle" der die Verbindung knüpft ist auch der Grund, warum große Unternehmen lieber eine Inhouse Lösung für sowas bevorzugen. Bei denen steht nämlich mitunter in Sicherheitsvereinbarungen, dass sie ihre Daten nicht durchs Ausland o.ä. blasen dürfen, und unverschlüsselt schon gar nicht. Da u.a. viele ursprünglich deutsche Lösungen (Teamviewer, Netviewer, …) in den letzten Jahren von US oder UK Firmen gekauft wurden, hat das nochmal mehr Brisanz bekommen.
Fun Fact: Aus dem Grund des Aufkaufs von Teamviewer durch einen UK Investor hat sich ein Teil der ehemaligen Crew ja inzwischen in Stuttgart unter dem neuen Label "AnyDesk" wieder neu gegründet, damit Sie für diverse Datenschutzerklärungen wieder sagen können "jup, Daten laufen nur in DE".Der langen Rede kurzer Sinn: Deshalb schreibt Teddy auch "ausgehend", da das Teamviewer Konstrukt via Man-in-the-Middle keine eingehenden Verbindungen benötigt, weil es damit versucht Firewall etc. auszuhebeln. (Sehr zum Unbill vieler Admins ;))
-
Moin,
danke für die informative Zusammenfassung, leider musste ich die Kröte Teamviewer für einen PC schlucken die Geschäftsleitung hat entschieden, aber dank pfSense sitzt diese Kiste mit Ihrer Steuerung in einem eigenen LAN Segment vollkommen isoliert ohne weitergehenden Internetzugang. Aufgrund des nahezu stillgeschwiegenen Verkaufs ist Teamviewer für mich privat gestorben.
-teddy
-
Apropos stillschweigend: Das ging wohl wirklich letztes Jahr sehr sehr leise über die Bühne:
http://stadt-bremerhaven.de/teamviewer-milliarden-us-dollar/
…wurde Teamviewer bereits Anfang Mai von dem im London ansässigen Unternehmen Permira für 1,1 Milliarden US-Dollar übernommen. Weder im Pressebereich von Teamviewer ist davon etwas zu lesen, noch wird sonst irgendwo auf der offiziellen Seite die Übernahme erwähnt.
Auch Permira äußerte sich gegenüber des Wall Street Journals dazu nicht, allerdings ist hier wenigstens eine Pressemitteilung zu finden, die auf den 6. Mai datiert ist. Ist natürlich nicht unspannend, wenn eine in Deutschland entwickelte Software zur Fernwartung von einem anderen Unternehmen übernommen wird.
http://www.permira.com/technology/investments/teamviewerKaum einen Monat später (3.6.2014) tauchte dann AnyDesk auf der Bildfläche auf.
Weiterer Fun Fact: Der Verkauf an Permira (UK) ging ja von GFI aus (die US Unternehmen sind). Zwar agiert Teamviewer selbst als GmbH und argumentiert korrekt, dass sie sich an deutsches Recht halten müssen, aber … hmm nunja. Ist alles korrekt, bringt einem dann aber doch nichts, wenn bspw. der Vermittlungsserver (MITM) dann bspw. in UK oder US steht. Dann untersteht der ggf. deren Gerichtsbarkeit bzw. kann an dem Standort dann abgegriffen werden. Da die wenigsten Leute prüfen werden, wogegen sich ihr Client alles verbindet, ist das eben das Risiko. War u.a. nach dem Verkauf von Netviewer an Citrix Online ja ebenso, dass man die NV Produktsparte zugunsten der US basierten GoToXY Produkte ablösen wollte. Alles auf SaaS Basis, inHouse Lösungen wie bei Telekom und Co. sollten abgeschafft werden. Damit rennt man nur bei deutschen Unternehmen keine Türen ein ;)
-
Mir bleibt leider auch nichts anderes übrig. Wir verwenden Unternehmensweit Teamviewer zur Fernwartung und haben auch entsprechend eine teure Lizenz dafür. Es ist bequem und ziemlich performant, aber natürlich Datenschutz-technisch nicht so das Gelbe vom Ei.
Die Lizenz ist jetzt nunmal vorhanden und jeden Protest dagegen kann man nur schwer der Geschäftsleitung vermitteln. Deshalb muss man diesen Klopps jetzt schlucken.
Ich werde das mal probieren. Danke für euere Hilfe.
-
So ich habe es jetzt nochmal probiert. Folgendes habe ich eingestellt:
Unter NAT
WAN 10.1.0.0/20 * * * WAN address * NO
Unter Rules LAN
IPv4 UDP 10.1.0.0/20 * * 5938 * none
Doch leider bekomme ich damit keine Verbindung zustande. Muss man da nicht irgendwie noch eine eingehende Verbindung zulassen?
Jemand eine Idee woran das liegt?
-
Also die NAT Einstellung ist ja praktisch default (LAN network mapped on WAN address).
Die Regeln auf dem LAN abgehend sehe ich als "fast" richtig an. Meines Wissens nutzt Teamviewer (sinnvollerweise) TCP, nicht UDP und checkt zusätzlich 80/443. Letzteres nur als Fallback wenn 5938/tcp nicht offen ist.
Grüße
-
Ich habe den Fehler gefunden:
Ich hatte vergessen für die Clients die nicht ins Inet dürfen DNS zu erlauben. Somit kann es nicht funktionieren, da Teamviewer mit FQDN´s arbeitet.
Komischerweise funktioniert es mit TCP auch… scheinbar geht beides, es sei den man deaktiviert in den erweiterten Einstellungen von Teamviewer "UDP erlauben".
Die Default NAT-Einstellungen habe ich deaktiviert und zu meiner Übersicht neu angelegt. Den ich habe viele Subnetze zu verwalten. ;D
