Ehrlich?
Nein.
In einem vernünftigen Netzwerk gibt es einen DHCP-Server, überhaupt statische IP's an einem Client einzustellen zu müssen ist schlicht ein Unwissen/Designfehler des Netzwerk-Admins, sorry

Makki

Edit: Proxy-Arp ist Kernschrott hoch 10 und löst das problem auch nicht wirklich: der Netzwerk-admin tut alles dagegen (mit Grund&recht, weil er nicht so Kindergartensysteme wie den HS in seinem WAN haben will - verstehe ich 300%!!)

Ein letzter Vorschlag: eine VM auf dem Arbeitsrechner und ein Switch mit sep. Vlans, da könnte ich aus beiderlei Sicht mit leben..

Makki

Mönsch Makki,

mit steigender später Stunde sinkt Dein Harmoniebedürfnis aber wirklich ins Bodenlose.... Ist das schon die senile Bettflucht ?

Sprich doch mal aus warum Proxy ARP hier nicht funktionieren sollte?

Dass die Loesung nicht "sauber" werden kann ist klar, wenn der Admin des Netzes das verhindern will, der Betreiber aber Umgehungen sucht.... Setze mal voraus, dass die Installation von Zusatzsoftware wie Deiner VM ebenso geblockt ist.

mfg

Wenn es nur darum geht, http/https-Traffic zwischen beiden Netzen auszutauschen, wäre meiner Meinung nach die einzige saubere Lösung folgende:

1. Alle Rechner erhalten nur eine einzige IP-Adresse (aus dem besagten Firmen-LAN)
2. Einer der Rechner baut die Privat-VPN-Verbindung auf (auf einem anderen Interface, Routing zwischen den Netzen ist deaktiviert)
3. Auf diesem Rechner läuft Apache als Reverse-Proxy und nimmt die Anfragen im LAN auf und leitet sie an das VPN weiter.

Vorteile: Die Netze sind getrennt
Es muss nichts am Default-GW geändert wernde
Es werden nur die Anfragen zum HS weitergeleitet (Sicherheitsgewinn)

@swenga: Bei jeglichen Ideen mit Proxy-ARP bekomme ich - mit Verlaub, unabhängig von der Tageszeit - schlicht PICKEL!

Wir denken auch mal kurz an "Company" und warum "Company" das wohl macht(?) (ich weiss ja wer und wie&warum..)
-> Hier mutwillig Backdoors einzubauen kann auch sehr, sehr kontraproduktiv sein. Weil wenn dann hintenrum der HS 1:1 ins Inet geschaltet und darüber ein Angriff? Dann wirds eklig.
Wieviele Fortune 500 haben in den letzten Monaten noch gleich ein paar Millionen Datensätze "verloren"? Sowas ist eben einer der ersten möglichen Schritte dazu..

Und ich glaube dafür will der TE auch nicht den Kopf hinhalten, daher sollte man dringend darauf hinweisen, welche Gefahren aus dem ein oder anderen "Workaround" erwachsen könnten.


Der letzten Vorschlag von cava, Reverse-Proxy (ohne eigenen Inet-Zugriff!): gefällt mir! So bliebe alles sauber, sicher und getrennt.

Makki

vielleicht probierst mal ein Gesichtswasser

Im Ernst: Viele Wege führen nach Rom. Sicher gibt es einige Möglichkeiten, das aufgezeigte Szenario umsetzen zu können.

Dass der sicherheitstechnische Aspekt sowie die Legalität dessen möglichwerweise fraglich sind, ist glaube ich dem TE klar geworden und unterliegt nun seiner Risikoabschätzung.

Persoenlich sehe ich noch keinen sicherheitsrelevanten Unterschied zwischen rev-proxy und p-arp. Beides liesse sich konfigurationstechnisch mit fw-tables "zumachen" so dass nur Verbindungen zwischen den gewollten Zielrechnern mit den notwendigen Protokollen möglich ist. Beides ist zeitgleich ein Sicherheitsrisiko, weil in einem closed LAN, das nur per VPN mit der Firmenzentrale verbunden ist, plötzlich ein anderes "unkontrolliertes" LAN-Segment hineinconnected wird. Zu definieren wäre, aus welchem Segment für welche Bereiche Gefahr droht. Der Schwachpunkt ist dabei immer der Gateway.

my 0.02 EUR...