MS Teams und die Verbindungen dorthin

Hallo zusammen,

als ich das erste mal meinen Windows-Firmenlaptop zu Hause eingeschaltet habe, lief mein pihole-Log fast über. Unglaublich, was Microsoft da über meine(!) Datenleitung schickt.

Kurz und gut - ich habe alle DNS-Anfragen Richtung Microsoft, Teams, Office, etc. im pihole geblocked. Zudem stecke ich den Laptop inzwischen erst in mein (Gast-)Netzwerkkabel an, sobald er hochgefahren ist und der VPN-Client zum Verbinden bereit ist. Dann nämlich zeigt mein pihole-Log nix mehr an.

Heute sprach ich mit einem Netzwerker aus unserer Firma, der mir sagte, dass alle Outlook- und MS-Teams-Verbindungen NICHT über die VPN Leitung laufen, sondern direkt über meinen heimischen DSL-Anschluss. Das würde der VPN-Client kaum packen und das Firmennetzwerk unnötig belasten.

Oje, dachte ich - und prüfte direkt wieder mein pihole-Log. Ergebnis: Leer. Ich kann mir das nur so erklären, dass sämtliche DNS-Anfragen über den VPN-Client laufen und der Firmenlaptop dann mit den dort „geholten“ IP-Adressen sich weiter Richtung Teams verbindet. Wenn dem so ist, sehe ich diese Verbindungen natürlich nicht im pihole-Log.

Auf dem Firmenlaptop kann ich nichts installieren, kein Wireshark oder sonst ein Tool, was mir den Netzwerkverkehr anzeigen würde. Einzige Möglichkeit ist wohl, in der FritzBox einen Paketmitschnitt zu starten und den dann über Wireshark zu prüfen.

Oder habt Ihr eine Idee, wie man das sonst herausfinden könnte? Wenn es so ist, wie ich vermute, könnte ich evtl. mühsam die (weiß der Geier wieviele) IP-Adressen von Office, Teams, Office365, Windows, Microsoft sperren - aber dann wird’s mit dem Arbeiten schwer :slight_smile:

Ich bin privat inzwischen auf Linux Mint umgestiegen, damit ich für mich das Gefühl habe, dass Microsoft keine Verbindung zwischen mir, meinem dort bekannten Namen (durch Teams) und meinem privaten PC herstellen kann.

Wie geht Ihr damit um? Pobacken zukneifen und einfach akzeptieren, dass es kaum anders geht? Oder einen zweiten DSL-Anschluss für Firmenzwecke einrichten, den die Firma natürlich nicht bezahlt? Oder bin ich schon viel zu paraniod? :smirk:

1 „Gefällt mir“

Warst du denn in deinem normalen Netz? Denn oben hast du erwähnt, dass du nur über das Gastnetz ins Internet gehst.

1 „Gefällt mir“

Ja, zuerst im normalen Netz. Als ich dann das Log sah, habe ich den Laptop „vorsichtshalber“ mal ins Gastnetz gesteckt. Nun sehe ich noch gefühlte 1000 firmeninterne DNS-Anfragen im pihole-Log, für die im pihole-Log als Client „fritz.box“ angezeigt wird. Aber eben keine (ok - kaum noch) MS-Aufrufe (nur noch ein paar geblockte in der kurzen Zeit, bis die VPN-Verbindung hergestellt ist).

Die Laptops sollen so konfiguriert sein, dass wenn kein VPN möglich ist, wir trotzdem via Teams und Outlook „arbeitsfähig“ sein sollen.

@thegustavo
Ich habe ein ähnliches Setup wie du: Firmenlaptop mit Firmen-VPN und Pi-hole zuhause, der aber bei aktiviertem Firmen-VPN nicht genutzt wird, weil DNS-Abfragen per VPN erfolgen.
Ich habe mir aber erlaubt meine lokale /etc/hosts mit dem Ergebnis dieses kleinen Skripts zu „pimpen“, was bisher in nur einem einzigen Fall mich genervt hat, weil ich keine Logfiles zu so einem MS-Support-Case per „MS secure file exchange“ hochladen konnte, weil ich einen Host zu viel damit geblockt hatte: browser.events.data.microsoft.com

sqlite3 --readonly pihole-FTL.db \
  "select domain from queries \
    where (status != 2 and status != 3 and status != 12 and status != 13 and status != 14 and status != 0) \
      and client in ('192.168.0.123') \
    group by domain order by count(domain) desc limit 1000" |
  grep -vE "more.suse.com" \
    >/tmp/pi-hole-gravity-db-domains-"$(date +%Y%m%d-%H%M)".txt
sed -i 's/^/0.0.0.0 /' /tmp/pi-hole-gravity-db-domains-"$(date +%Y%m%d-%H%M)".txt

# count domains in exported file from gravity-db:
wc -l /tmp/pi-hole-gravity-db-domains-"$(date +%Y%m%d-%H%M)".txt

IP ist die meines Firmenlaptops, wenn das Firmen-VPN nicht aktiv ist nutzt es ja den Pi-hole. status siehe: https://docs.pi-hole.net/database/ftl/#supported-status-types

Danke Dir für meine Rückmeldung. Habe als Problemlösung die Firma gewechselt. Hier wird WebEx und Jabber eingesetzt

2 „Gefällt mir“

Sooooo kann man das Problem natürlich auch lösen :rofl: Aber das war doch sicher nicht der einzige Grund, oder!? :scream:

Nein, natürlich war das nicht der einzige Grund, einer eher untergeordneter sogar :wink:

Und wenn ich ganz ehrlich bin, würde ich mir lieber einen zweiten DSL-Anschluss nur für den Firmenlaptop zulegen und weiter mit Teams arbeiten, als dieses WebEx und Jabber zu benutzen. DAS ist eine Katastrophe… . Wirklich schlümm.

Jabber + WebEx = Cisco at its best… Kann nur bestätigen, dass danach Teams wie eine Erlösung erscheint :wink:

Bezüglich zweiter Anschluss: Könntest überlegen ob nicht eine alternative Anschlussart was fürs Firmennotebook wäre:

  • Kabelanschluss
  • Glasfaser (wobei das dann lieber fürs private Netz :wink: )
  • Mobilfunk – da haben alle Anbieter „Boxen“ aus denen LAN rauspurzelt im Angebot. Da einfach den Firmenrechner dranhängen und der ist komplett raus aus der privaten Infrastruktur

Ich werde weder Kabelanschluss, noch Glasfaser nehmen, solange es noch DSL-Anschlüsse mit IPv4 und Zwangstrennung mit neuer IP gibt :wink:
Oder gibt es neue IPs „auf Knopfdruck“ (in der FritzBox) bei Kabelanschluss oder Glasfaser?

7 Beiträge wurden in ein neues Thema verschoben: Netzversorgung und IP-Wechsel

Ja.