Verteilung mit VPN eingeschaltet verhindern

Antworten
Vittorio
Beiträge: 101
Registriert: 03. Sep 2015, 08:26
Kontaktdaten:

Verteilung mit VPN eingeschaltet verhindern

Beitrag von Vittorio » 19. Feb 2016, 10:07

Guten Tag, wie kann man die Verteilung eines Pakets verhindern, wenn jmd sich mit einem VPN verbunden ist? Wir haben im Einsatz Shrewsoft VPN Client (2.2.2) und Cisco VPN Client. Ein Weg, den ich gefunden habe, ist einfach eine Übeprüfung vor der Installation reinbauen, wo ich überprüfe, ob die Prozesse von Cisco/Shrewsoft laufen, wenn ja, wird die Installation beendet, sonst nicht, aber ich bin nicht sicher, das ist der optimaler Weg. Was könnt ihr mir empfehlen? :?: :) Danke!

dirkh
Beiträge: 29
Registriert: 10. Jun 2013, 15:01
Kontaktdaten:

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von dirkh » 21. Feb 2016, 14:12

Ich baute für so ein Szenario (für eine anderen SW-Verteilung) mal einen Dienst, welcher den SW-Verteil-Dienst entsprechend steuert (startet oder stoppt). Wir hatten Standorte in der Pampa, die teilweise mit extrem langsamen Modems angebunden waren, wo keine SW-Verteilung stattfinden sollte.

Dieses Script wuchs dann mit der Zeit um diverse Funktionen an - u.a. einem VPN-Dienste-Stopp :-)

Kein Projekt was man mal eben nebenbei macht. Aber vielleich hast Du ja die Möglichkeit, irgendwie bei Tunnelaufbau noch ein "net stop eris" zu triggern ...?

Vittorio
Beiträge: 101
Registriert: 03. Sep 2015, 08:26
Kontaktdaten:

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von Vittorio » 22. Feb 2016, 08:00

Hey dirkh, danke für deine Antwort! :) das ist genau unser Problem: wir haben verschiedne Standorte in Deutschland und einen zweiten Standort in Afrika. Wir werden kürzlich Depot-Server einrichten, dann sollte die Distanz kein großes Problem sein. Das Problem ist nur, wenn jmd sich mit seinem Laptop über einen USB-Stick mit einer Mobilnetz-Tarif oder auch nur mit dem WLAN von seinem Haus verbinden will, weil die Netzwerkverbindung sehr langsam werden könnte oder sogar die GB/MB der Tarif sofort verbrauchen kann. Ich habe aber nicht ganz verstanden, was du meinst. Kannst du mir das better erklären (ein Beispiel kann nützlich sein)? danke!

dirkh
Beiträge: 29
Registriert: 10. Jun 2013, 15:01
Kontaktdaten:

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von dirkh » 22. Feb 2016, 10:02

Hi,

ich meine irgendwas ala "IF <IP-Adresse> = <VPN-IP-Adresse> then Stoppe_Empirum_Dienst"
Das Ganze setzt natürlich auch entsprechende Rechte voraus. Daher habe ich das damals in Form eines Dienstes realisiert.

Du könntest Dir ansonsten vielleicht ein Batch bauen, was vor vpn-connect den Empirumdienst beendet oder so.

Ansonsten gibt es im Agenttemplate ja noch die Möglichkeit, eine minimale Bandbreite einzustellen. Vielleicht kommst Du damit weiter?

"Minimale Bandbreite
Hier können Sie einstellen, ab welcher minimalen Bandbreite Pakete vom Server und Log-Dateien zum Server über die Transportschicht übertragen werden. Wird diese minimale Bandbreite nicht erreicht, erfolgt keinerlei Übertragung von Paketen"

Vittorio
Beiträge: 101
Registriert: 03. Sep 2015, 08:26
Kontaktdaten:

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von Vittorio » 22. Feb 2016, 10:16

Hey danke wieder für die Antwort! jetzt habe ich verstanden :) das Problem deiner Lösung ist aber eins. Stellen wir uns vor, ich bin zu Hause und mache Home-Office. Ich öffne den VPN Client und verbinde mich mit dem Netzwerk meines Unternehmens und bekomme durch das VPN ein Paket, das verteilt werden muss. Ich klicke auf Verteilen (wir nutzen die Z-Dialog-Meldung) und der Dienst wird beendet. ich komme morgen ins Büro und mein ERIS-Dienst ist deaktiviert; das bedeutet, ich kann nicht mehr Software verteilen, weil der Dienst deaktiviert wurde.

Die perfekten Lösungen wären:

1)wenn ich mich wieder an dem NW meines Unternehmens verbinden würde, würde der Dienst automatisch erneut gestartet. wie und wie weißt man, dass Empirum bestimmt jener Client seinen Dienst beendet hat, weil er durch ein VPN verbunden wurde?
2)pro Paket in Set:Product überprüfen, ob die VPN-Prozesse läufen. Wenn sie laufen, unterbreche ich die Verteilung des Pakets und sende ich an der Konsole eine Fehlermeldung zurück (mit LogErrMsg oder sowas) und mache ich ein Abort. Diese Meldung sagt, dass die Verteilung wegen einer Verbindung durch das VPN fehlgeschlagen ist. Ich musste dann die Verteilung erneut manuell pushen. Das Problem ist dann, dass man der Verteilungsprozess ständig überwachen und erzwingen müsste, wenn man sich mit einem VPN verbindet. Wenn ich das Paket wieder pushen würde und der ist wieder mit dem VPN verbunden, bekomme ich erneut eine andere Fehlermeldung, usw. Das ist dann nicht automatisch und das ist aber nicht ganz perfekt

Was schlägst du vor? Danke! :) 8) :idea:

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7626
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von Hendrik_Ambrosius » 22. Feb 2016, 11:00

Voten Sie für meine Idee, das dürfte dadurch abgedeckt sein weil der DNS im HomeOffice / unterwegs wohl anders ist als im Office:
http://ideas.matrix42.com/ideas/IDEA-I-940
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Vittorio
Beiträge: 101
Registriert: 03. Sep 2015, 08:26
Kontaktdaten:

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von Vittorio » 22. Feb 2016, 11:09

habe ich jetzt eine Upvote gegeben, danke! ;) was mache ich, bis die Sache implementiert wird (falls es überhaupt implementiert wird)?

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7626
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von Hendrik_Ambrosius » 22. Feb 2016, 11:17

Ich würde ein Script erstellen das abhängig von der erkannten Umgebung die EmpirumServer Variable setzt oder löscht.
Dann kann der Dienst, auch wenn er läuft, nicht syncen.
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

dirkh
Beiträge: 29
Registriert: 10. Jun 2013, 15:01
Kontaktdaten:

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von dirkh » 22. Feb 2016, 11:38

Vittorio hat geschrieben:Hey danke wieder für die Antwort! jetzt habe ich verstanden :) das Problem deiner Lösung ist aber eins. Stellen wir uns vor, ich bin zu Hause und mache Home-Office. Ich öffne den VPN Client und verbinde mich mit dem Netzwerk meines Unternehmens und bekomme durch das VPN ein Paket, das verteilt werden muss. Ich klicke auf Verteilen (wir nutzen die Z-Dialog-Meldung) und der Dienst wird beendet. ich komme morgen ins Büro und mein ERIS-Dienst ist deaktiviert; das bedeutet, ich kann nicht mehr Software verteilen, weil der Dienst deaktiviert wurde.
Meine Idee war eher, den Dienst zu beenden bevor überhaupt Jobs gesynct werden. Oder eben die EmpirumServer-Variable löschen - auch eine gute Idee. Man muss den Dienst ja nicht direkt deaktivieren ;) Dann ist er beim nächsten Reboot wieder aktiv. Da meine User damals eher standby/hibernate nutzten, habe ich dieses Event im Eventlog überwacht. Da kann man über ein Event auslesen, ob ein Rechner aus Standy/Hibernate aufwacht. Bei so einem Event habe ich dann erneut geprüft, wo der Rechner ist (office/homeoffice) - und ggf. den Dienst wieder gestartet.

Eine einfache Lösung gibt es wohl im Moment dafür (noch) nicht. Die DNS-Idee wäre natürlich nett.

Viper9000
Beiträge: 307
Registriert: 13. Okt 2005, 20:44
Kontaktdaten:

Re: Verteilung mit VPN eingeschaltet verhindern

Beitrag von Viper9000 » 22. Feb 2016, 16:47

Hallo,

wir machen zwar genau das Gegenteil und forcieren den Sync und die Installation nach VPN Connect, aber das verwendete Prinzip sollte gleich bleiben:

Per GPOs oder Empirum Paket einen "geplanten Task" verteilen. Dieser Task wird von einem Eventlog-Eintrag getriggert und führt ein Powershellskript oder anderes Skript aus.

Ob System oder Userkontext hängt von den benötigten Rechten ab.

So forcieren wir immer GPUpdate und ERIS Sync bei jedem VPN Connect. Ihr müsstet natürlich den Erisdienst stoppen oder so.

Das Taskskript kann sehr einfach per GPO aktualisieren und "verbessern".

Gruß Viper

Antworten

Zurück zu „Paketierung“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 15 Gäste