NEWS
Tailscale möchte nicht hinter Sophos
-
Hey,
hat hier jemand Ahnung von Tailscale und Sophos?
Ich bekomme einfach keine Direktverbindungen hin.Es geht um die Firewall bei mir auf der Arbeit.
Unser IT Dienstleister kennt sich mit Tailscale nicht aus und er meint es steht in keinem Verhältnis sich dafür da einzuarbeiten......Evtl. hat ja jmd Tips für mich oder kann sich das mal bei einem netten Telefonat per Teamviever mit mir zusammen anschauen.
Da es "geschäftlich" ist (wenn es auch eher eine Private Ingension hat mit dem Tailscale), ist es okay wenn ihr da nicjidran wollt oder ggf. einen € für sehen wollt.
-
Hey,
hat hier jemand Ahnung von Tailscale und Sophos?
Ich bekomme einfach keine Direktverbindungen hin.Es geht um die Firewall bei mir auf der Arbeit.
Unser IT Dienstleister kennt sich mit Tailscale nicht aus und er meint es steht in keinem Verhältnis sich dafür da einzuarbeiten......Evtl. hat ja jmd Tips für mich oder kann sich das mal bei einem netten Telefonat per Teamviever mit mir zusammen anschauen.
Da es "geschäftlich" ist (wenn es auch eher eine Private Ingension hat mit dem Tailscale), ist es okay wenn ihr da nicjidran wollt oder ggf. einen € für sehen wollt.
diese links kennst du schon?
https://tailscale.com/kb/1082/firewall-ports
https://tailscale.com/kb/1181/firewallswie erfolgt die kontaktaufnahme von innen heraus mit dem internet?
benötigt man eine berechtigung?
wird ein proxy eingesetzt?
gibt es ein proxy skript mit der richtige Ausgang gefunden wird? WPAD (wahrscheinlich nur bei größeren unternehmen)das könnten alles gründe sein warum eine software von innen heraus nicht ins internet kommt. als mitarbeiter merkt man das meist nicht, da ja das für die unternehmensgeräte alles bereits für die standardfälle vorkonfiguriert ist.
Das waren bei mir immer wieder mal die besonderheiten mit denen ich mich rumschlagen musste.
Ein VPN Tunnel im Unternehmen, was nicht durch das Unternehmen gemanaged wird ist auch immer ein Sicherheitsrisiko, da dann ein Tunnel mitten ins Netzwerk eröffnet wird, das sämtliche eingerichtete Sicherheitsvorkehrungen (Firewalls/Scanner/etc.) umgeht.
Man stelle sich so ein SMB Wurm vor, der eigentlich schon an irgendeiner Firewall abgefangen wird, dein Tunnel da aber dahinter herauskommt.Wenn es geschäftlichen Hintergrund hat, muss die IT sich eine Lösung überlegen
Wenn es privaten Hintergrund hat, spricht da sicherlich eine Betriebsvereinbarung oder Sicherheitsrichtlinie dagegen sowas zu tun. -
diese links kennst du schon?
https://tailscale.com/kb/1082/firewall-ports
https://tailscale.com/kb/1181/firewallswie erfolgt die kontaktaufnahme von innen heraus mit dem internet?
benötigt man eine berechtigung?
wird ein proxy eingesetzt?
gibt es ein proxy skript mit der richtige Ausgang gefunden wird? WPAD (wahrscheinlich nur bei größeren unternehmen)das könnten alles gründe sein warum eine software von innen heraus nicht ins internet kommt. als mitarbeiter merkt man das meist nicht, da ja das für die unternehmensgeräte alles bereits für die standardfälle vorkonfiguriert ist.
Das waren bei mir immer wieder mal die besonderheiten mit denen ich mich rumschlagen musste.
Ein VPN Tunnel im Unternehmen, was nicht durch das Unternehmen gemanaged wird ist auch immer ein Sicherheitsrisiko, da dann ein Tunnel mitten ins Netzwerk eröffnet wird, das sämtliche eingerichtete Sicherheitsvorkehrungen (Firewalls/Scanner/etc.) umgeht.
Man stelle sich so ein SMB Wurm vor, der eigentlich schon an irgendeiner Firewall abgefangen wird, dein Tunnel da aber dahinter herauskommt.Wenn es geschäftlichen Hintergrund hat, muss die IT sich eine Lösung überlegen
Wenn es privaten Hintergrund hat, spricht da sicherlich eine Betriebsvereinbarung oder Sicherheitsrichtlinie dagegen sowas zu tun.@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
diese links kennst du schon?
Ja, hatte ich unserem Dienstleister auch weitergeleitet
@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
Ein VPN Tunnel im Unternehmen, was nicht durch das Unternehmen gemanaged wird ist auch immer ein Sicherheitsrisiko, da dann ein Tunnel mitten ins Netzwerk eröffnet wird, das sämtliche eingerichtete Sicherheitsvorkehrungen (Firewalls/Scanner/etc.) umgeht.
So weit habe ich noch garnicht gedacht.
Ob dir Sophos sowas allerdings prüft weiß ich nicht. So weit ich weiß prüft diese "nur" den Internetverkehr.
Wir haben über Sophos auch ein VPN. Das ist nur so abartig langsam. Und wir haben eh schon nur einen 40er upload. Davon gehen evtl 25% durch die Leitung.......@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
Wenn es privaten Hintergrund hat, spricht da sicherlich eine Betriebsvereinbarung oder Sicherheitsrichtlinie dagegen sowas zu tun.
Naja, wir sind ein Kleinunternehmen, knappe 10 Angestellte und ich der Juniorchef. In der Größe gibt's keine Richtlinien (Die so ins Detail gehen) 🤣.
-
@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
diese links kennst du schon?
Ja, hatte ich unserem Dienstleister auch weitergeleitet
@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
Ein VPN Tunnel im Unternehmen, was nicht durch das Unternehmen gemanaged wird ist auch immer ein Sicherheitsrisiko, da dann ein Tunnel mitten ins Netzwerk eröffnet wird, das sämtliche eingerichtete Sicherheitsvorkehrungen (Firewalls/Scanner/etc.) umgeht.
So weit habe ich noch garnicht gedacht.
Ob dir Sophos sowas allerdings prüft weiß ich nicht. So weit ich weiß prüft diese "nur" den Internetverkehr.
Wir haben über Sophos auch ein VPN. Das ist nur so abartig langsam. Und wir haben eh schon nur einen 40er upload. Davon gehen evtl 25% durch die Leitung.......@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
Wenn es privaten Hintergrund hat, spricht da sicherlich eine Betriebsvereinbarung oder Sicherheitsrichtlinie dagegen sowas zu tun.
Naja, wir sind ein Kleinunternehmen, knappe 10 Angestellte und ich der Juniorchef. In der Größe gibt's keine Richtlinien (Die so ins Detail gehen) 🤣.
@David-G. sagte in Tailscale möchte nicht hinter Sophos:
Ob dir Sophos sowas allerdings prüft weiß ich nicht
wie soll sophos was prüfen was es nicht sieht.
es sieht nur einen verschlüsselten datenstrom.
was immer da auch drin ist.das ist wie ein tunnel der im keller des gebäudes mitten auf dem betriebsgelände herauskommt.
die security am tor merkt da nix davon.wenn du sagst der vorhandene vpn ist langsam?
evtl sollte man da ansetzen.
entweder falsch konfiguriert oder zu schwachbrüstige maschine (bei ausreichender bandbreite)ich will hier nicht zu sehr schwarz sehen.
aber im betrieblichen Umfeld würde ich da mal einen IT Profi drüber schauen lassen.Nur mal aus dem Nähkästchen aus dem Bekanntenkreis:
Durch öffnen eines Word EMail-Anhangs konnte ein mittelgroßes mittelständische Unternehmen mit mehreren europäsichen Produktionsstandorten ca 6 Monate nicht mehr wirklich mit der IT arbeiten. Alles nur noch Offline. Auf schnell neu installierten Rechnern aber ohne wirkliches Netzwerk. Ich glaube die wollen nicht nachrechnen was das an Kosten bedeutet hat, wenn man denkt, das neben Produktion auch der Vertrieb nicht richtig arbeiten konnte. Die haben sich einen Krypto-Trojaner geholt.Also vor dem basteln lieber ein wenig Geld ausgeben.
-
Also, normalerweise geht aus dem Firmennetzwerk nichts, sondern nur was erlaubt ist.
http und https (Port 80 und 443) sind oft erlaubt, gerne mit einem Transparenten Proxy dazwischen. Kannst du daran erkennen das du dir das Zertifikat anderer Webseiten anschaust, wenn es von SOPHOS ist, das ist so ein Proxy dazwischen.
In der Regel Funktionen dann aber z.B. Dinge nicht die Websockest benötigen.Und alles jenseits der Ports ist eh verboten. Wenn man solche Ports dann doch erlaubt, muss bei der Regelerstellung beachten
- Quelle: von welchen Gerät
- Quellport: und von welchem Port
- Ziel: auf welches Gerät
- Zielport: auf welchen Port
So auf die schnelle geschaut benutzt Tailscale - auch, unter anderem - Port 443 https, das wird ein Proxy dazwischen kaputt machen.
Dann müsste man für das Ziel eine Ausnahme bauen das der Proxy umgangen wird. Wenn das Ziel eine dynamische IP hat, ist das schlecht.Also, wenn das nicht geht, könnte das durchaus ein Daumen hoch für eure IT sein :-)
ioBroker@Ubuntu 24.04 LTS (VMware) für: >260 Geräte, 5 Switche, 7 AP, 9 IP-Cam, 1 NAS 42TB, 1 ESXi 15TB, 4 Proxmox 1TB, 1 Hyper-V 48TB, 14 x Echo, 5x FireTV, 5 x Tablett/Handy VIS || >=160 Tasmota/Shelly || >=95 ZigBee || PV 8.1kW / Akku 14kWh || 2x USV 750W kaskadiert || Creality CR-10 SE 3D-Drucker
-
Also, normalerweise geht aus dem Firmennetzwerk nichts, sondern nur was erlaubt ist.
http und https (Port 80 und 443) sind oft erlaubt, gerne mit einem Transparenten Proxy dazwischen. Kannst du daran erkennen das du dir das Zertifikat anderer Webseiten anschaust, wenn es von SOPHOS ist, das ist so ein Proxy dazwischen.
In der Regel Funktionen dann aber z.B. Dinge nicht die Websockest benötigen.Und alles jenseits der Ports ist eh verboten. Wenn man solche Ports dann doch erlaubt, muss bei der Regelerstellung beachten
- Quelle: von welchen Gerät
- Quellport: und von welchem Port
- Ziel: auf welches Gerät
- Zielport: auf welchen Port
So auf die schnelle geschaut benutzt Tailscale - auch, unter anderem - Port 443 https, das wird ein Proxy dazwischen kaputt machen.
Dann müsste man für das Ziel eine Ausnahme bauen das der Proxy umgangen wird. Wenn das Ziel eine dynamische IP hat, ist das schlecht.Also, wenn das nicht geht, könnte das durchaus ein Daumen hoch für eure IT sein :-)
Tailscaile arbeitet mit den Standard Ports.
Deswegen geht das normalerweise auch immer durch -
Tailscaile arbeitet mit den Standard Ports.
Deswegen geht das normalerweise auch immer durch@OliverIO außer wenn da ein transparenter Proxy dazwischen ist. Weswegen man unter anderem eine Sophos nimmt weil die das kann.
Da steht zwar auf tailscale.com das es bei Sophos direkt geht.
Aber nur weil es ab Werk - wie bei vielen anderen Firewalls die ich kenne - die Default-Regel gibt die dann alles durchlässt wenn nichts vorher passte.
Die knippst man natürlich aus.
Wenn die Firewall richtig konfiguriert ist, sollte das eigentlich bei fast keiner Firewall gehen. Letztendlich hat Tailscale zwar jede Menge "Plan B" in petto, aber eigentlich prüft es damit nur durch ob der Admin was vergessen hat.
Nehme ich mal in meine Tests bei Kunden mit auf :-)ioBroker@Ubuntu 24.04 LTS (VMware) für: >260 Geräte, 5 Switche, 7 AP, 9 IP-Cam, 1 NAS 42TB, 1 ESXi 15TB, 4 Proxmox 1TB, 1 Hyper-V 48TB, 14 x Echo, 5x FireTV, 5 x Tablett/Handy VIS || >=160 Tasmota/Shelly || >=95 ZigBee || PV 8.1kW / Akku 14kWh || 2x USV 750W kaskadiert || Creality CR-10 SE 3D-Drucker
-
@OliverIO außer wenn da ein transparenter Proxy dazwischen ist. Weswegen man unter anderem eine Sophos nimmt weil die das kann.
Da steht zwar auf tailscale.com das es bei Sophos direkt geht.
Aber nur weil es ab Werk - wie bei vielen anderen Firewalls die ich kenne - die Default-Regel gibt die dann alles durchlässt wenn nichts vorher passte.
Die knippst man natürlich aus.
Wenn die Firewall richtig konfiguriert ist, sollte das eigentlich bei fast keiner Firewall gehen. Letztendlich hat Tailscale zwar jede Menge "Plan B" in petto, aber eigentlich prüft es damit nur durch ob der Admin was vergessen hat.
Nehme ich mal in meine Tests bei Kunden mit auf :-)aber wie will sophos das, ohne deep paket inspection genau herausfinden?
grob ist doch der ablauf so:
- die tailscale clients auf den devices melden sich bei tailscale an (also 443 an server im internet, wie beim browser auch)
- wenn verbindung aufgebaut wird vermittelt tailscale server beide geräte an einen relay server (derp)
- die clients verbinden sich dann zum gemeinsamen relay server, worüber dann die verschlüsselte kommunikation läuft. beide verbindungen werden wiederum über port 443 vom device aus aufgebaut (genau wie es ein browser macht)
daten sind ende zu ende verschlüsselt, so das der derp-server da nix mitlesen kann.
alle anderen talescale möglichkeiten der verbindungsaufnahme fallen meist eh aus, sobald da ein firewall dazwischen ist.
-
aber wie will sophos das, ohne deep paket inspection genau herausfinden?
grob ist doch der ablauf so:
- die tailscale clients auf den devices melden sich bei tailscale an (also 443 an server im internet, wie beim browser auch)
- wenn verbindung aufgebaut wird vermittelt tailscale server beide geräte an einen relay server (derp)
- die clients verbinden sich dann zum gemeinsamen relay server, worüber dann die verschlüsselte kommunikation läuft. beide verbindungen werden wiederum über port 443 vom device aus aufgebaut (genau wie es ein browser macht)
daten sind ende zu ende verschlüsselt, so das der derp-server da nix mitlesen kann.
alle anderen talescale möglichkeiten der verbindungsaufnahme fallen meist eh aus, sobald da ein firewall dazwischen ist.
@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
aber wie will sophos das, ohne deep paket inspection genau herausfinden?
Die Deep Paket Inspection ist doch genau der Grund. 443 ist normalerweise ein Transparenter Proxy.
Internet Proxy kennst du ja bestimmt, da musst du im z.B. System extra einstellen das die Browser usw. den Proxy mit der IP 123.123.123.123 auf Port 3128 verwenden müssen.
Ist nur blöd, kann nicht jedes Programm mit umgehen usw.
Bei einem Transparenten Proxy lässt du diesen einfach auf Port 80 und 443 laufen. DNS funktioniert ganz normal über die DNS Server. Aber genau, die Pakete werden dabei geprüft, SSL wird aufgebrochen, nach intern wird dir ein gefaktes Zertifikat gemeldet (dem du vertraust weil der Admin das überall hinterlegt hat), nach außen findet dann die normale Kommunikation statt, aber mit der Firewall als "Man-in-the-middle"
Inzwischen muss man bei so etwas umfangreiche Ausnahmelisten pflegen weil die Gegenstelle, wenn diese denn will, feststellen kann ob die Verbindung aufgebrochen wurde und die Kommunikation verweigert. Banken lassen so etwas z.B. nicht zu, Microsoft 365 wird auch immer ausgenommen (und braucht auch noch UDP auf Port 443).
Und Websockets funktionieren - soweit ich weis und aus meiner Erfahrung - auch nicht. Außer man macht eine Ausnahme.Der einfach Test ist, eine verschlüsselte Webseite aufzurufen und sich deren Zertifikat an zu sehen. Am besten eine Seite die wohl eher nicht in der Ausnahmeliste steht, z.B. das Forum hier.
Zudem: Tailscale nutzt den Port 443, richtig. Aber nicht unbedingt das https-Protokoll. Also den Port wie der Browser, aber nicht das Protokoll wie der Browser.
Support us
852
Online32.6k
Benutzer81.9k
Themen1.3m
Beiträge