Mx-Mac + Parallels + Win 11 + Checkpoint VPN

quiddjes · 12.12.23

Moin.

Ich eruiere gerade, ob das ginge: Man nehme einen Non-Intel-Mac, installiere darauf Parallels, erzeuge eine VM mit Win 11 für Arm, installiert dort CheckPoint VPN-Client, um mit MS Remote Desktop auf einem Kunden-Win 11 zu arbeiten. Das sind so „virtuelle Rechner“, die alle auf irgendeinem Server laufen. Auf einem Intel-Mac mache ich das genau das seit Jahren erfolgreich. Die beiden Programme werden vom Kunden vorgegeben.

Alles, was ich an Quellen dazu gefunden habe, sagt mir: Das geht nicht. Das hieße: Meine Parallels-Strategie zum Arbeiten würde nicht funktionieren. Und nur dafür brauche ich Parallels.

Und weil das so ein No-Go für mich wäre, würde ich gern sicher gehen, dass ich mich nicht irre.

Bitte KEINE Diskussion, wie sinnvoll diese Konfiguration ist, das hatten wir hier schon. Es gibt gute Gründe dafür (die ich hier nicht nenne, sonst diskutieren wir hier doch wieder).

Danke an alle, die kundige Antworten dazu haben.

froyo52 · 12.12.23

Ein ARM-Windows 11 ist immer eingeschränkt und etliche Anwendungen funktionieren damit nicht. Besonders dann nicht, wenn es auch noch in einer Virtualisierung installiert ist.

Marcel Bresink · 12.12.23

quiddjes schrieb:
Die beiden Programme werden vom Kunden vorgegeben.

Beide Programme gibt es auch für macOS. Den "Check Point Endpoint Remote Access VPN Client" allerdings offiziell noch nicht für macOS 14, sondern nur für 13. Es ist also eher die Frage, ob man Windows überhaupt braucht.

quiddjes schrieb:
Alles, was ich an Quellen dazu gefunden habe, sagt mir: Das geht nicht.

Man kann Parallels und Windows einfach herunterladen und ausprobieren. Man könnte die benötigte Software also in wenigen Minuten testen.

quiddjes · 12.12.23

Zum Test fehlt mir der Apple Silicon Mac. Auf einem Intel Mac läuft es in genau dieser Konfiguration seit Jahren erfolgreich.

Dass ich mich auch mit MacOS einwählen könnte, weiß ich. Das möchte ich aber aus verschiedenen Gründen nicht.

quiddjes · 18.12.23

Hier gab es schonmal eine Diskussion darüber, von mir initiiert, die finde ich aber nicht mehr. Das Problem ist: Wenn ich den Mac mit einem VPN verbinde, läuft der gesamte Netztraffic über das VPN. Das heißt, auch mein privater und außerdem sind viele Internetseiten gesperrt, Mails kommen nicht an, etc. Das ist im Moment das Problem, weil ich mich mit dem Mac meiner Frau mit dem VPN verbinde und ich dann genau diese Effekte habe.

DARUM habe ich die Windiws-VM. Damit ich den Traffic zum Kunden trennen kann von meinem privaten. Auf dem Mac habe ich freien Zugriff aufs Internet, auf dem Windows die direkte Verbindung zum Kunden.

Im damaligen Thread (vllt ist wer geschickter im Finden als ich) wurde eine Technologie benannt, die das ohne virtuelles System schafft, indem irgendwie festgelegt wird, das nur der Traffic bestimmter Apps oder so durch das VPN läuft. Wenn ich jetzt davon ausgehe, dass VPN mit Win11 für ARM nicht geht, brauche ich eine andere Lösung (die zugleich deutlich schlanker wäre, das Parallels ist schon ein Leistungsfresser….).

Die Frage ist dann, ob ich das mit CheckPoint VPN hinkriege bzw. ob mein Kunde das überhaupt unterstützt. Dazu muss ich aber wissen, wonach ich fragen muss.

Gefunden: https://www.apfeltalk.de/community/threads/win-11-parallels-17-rdp.565376/page-2#post-5674532 — was ich suche ist split tunneling".

AndaleR · 18.12.23

Mal eine Frage: Wieso suchst du nicht einen einfachen Windows-Rechner, mit dem du das machen kannst? Diese virtuellen Umwege machen es doch alles noch komplizierter als es eh schon ist mit dem Setup.

quiddjes · 18.12.23

Zwei Rechner = zwei Tastaturen und Trackpads, zweimal Strom, zweimal LAN, ich kann nicht mehrere virtuelle Desktops benutzen, habe keine einheitliche Zwischenablage, muss zwei Rechner schleppen, mein Schreibtisch müsste größer werden, ….

Die Liste der Vorteile ist endlos, wenn ich nur einen physischen Rechner verwende.

Kompliziert ist daran eigentlich nichts. Ich habe ein Minimal-Windows, auf dem praktisch nur CheckPoint und MS Remote Desktop drauf ist.

maniacintosh · 18.12.23

Kurzes Googeln nach "checkpoint vpn windows 11 arm" ergibt folgendes: https://support.checkpoint.com/results/sk/sk170777

Es sieht also so aus, als wenn daran gearbeitet wird, dass es demnächst läuft. Bzw. gerade Remote Access wird dort als Available gelistet. Ggf. kommt ja für deine Tunnel auch ein anderer Client auf deiner Seite in Frage? Weil VPN funktioniert natürlich grundsätzlich auch mit Windows 11 ARM.

Marcel Bresink · 18.12.23

quiddjes schrieb:
Wenn ich den Mac mit einem VPN verbinde, läuft der gesamte Netztraffic über das VPN.

Nein, normalerweise nicht.

Ein normales VPN ist üblicherweise so konfiguriert, dass es nur den Datenverkehr zum VPN-Ziel (also beispielsweise der gesicherte Zugang von einem Heimarbeitsplatz zu einer Firma) so behandelt. Der gesamte andere Verkehr (also ins eigene Netz und ins restliche Internet) läuft genau wie vorher.

Nur diese berüchtigten Anonymisierungsdienste ("VPN-Anbieter") wollen das anders machen und behaupten, sie würden den gesamten Datenverkehr durchs VPN schicken, jedenfalls solange sie nicht von den Apple-Betriebssystemen daran gehindert werden.

quiddjes schrieb:
was ich suche ist split tunneling

Dafür sorgt normalerweise der VPN-Server automatisch, indem er dem Client direkt nach der Einwahl einen entsprechenden Routing-Befehl sendet. (Nach dem Motto "Standadroute ins Internet bleibt gleich. Ausnahme ist nur die Route in die eingewählte Firma.")

quiddjes · 18.12.23

maniacintosh schrieb:
Kurzes Googeln nach "checkpoint vpn windows 11 arm" ergibt folgendes: https://support.checkpoint.com/results/sk/sk170777

Es sieht also so aus, als wenn daran gearbeitet wird, dass es demnächst läuft. Bzw. gerade Remote Access wird dort als Available gelistet. Ggf. kommt ja für deine Tunnel auch ein anderer Client auf deiner Seite in Frage? Weil VPN funktioniert natürlich grundsätzlich auch mit Windows 11 ARM.

Ah, ich hatte lauter Threads gefunden, dass das nicht geht. Das macht ja Hoffnung, wenngleich Split Tunneling die schlankere Lösung wäre….

Marcel Bresink schrieb:
Nein, normalerweise nicht.

Ein normales VPN ist üblicherweise so konfiguriert, dass es nur den Datenverkehr zum VPN-Ziel (also beispielsweise der gesicherte Zugang von einem Heimarbeitsplatz zu einer Firma) so behandelt. Der gesamte andere Verkehr (also ins eigene Netz und ins restliche Internet) läuft genau wie vorher.

Nur diese berüchtigten Anonymisierungsdienste ("VPN-Anbieter") wollen das anders machen und behaupten, sie würden den gesamten Datenverkehr durchs VPN schicken, jedenfalls solange sie nicht von den Apple-Betriebssystemen daran gehindert werden.

Dafür sorgt normalerweise der VPN-Server automatisch, indem er dem Client direkt nach der Einwahl einen entsprechenden Routing-Befehl sendet. (Nach dem Motto "Standadroute ins Internet bleibt gleich. Ausnahme ist nur die Route in die eingewählte Firma.")

Ich arbeite schon seit vielen Jahren über VPNs und hatte noch nie einen Kunden, der das unterstützt hat. Sobald ich mich einwähle, läuft alles über das VPN. Und das bei einer ganzen "Latte" von Kunden.

Und wenn dem so ist: Was ist dann split tunneling? Was muss ich dem Kunden sagen, damit das, was du beschreibst, funktioniert?

Update: Ich habe mal die Kollegen im Projekt befragt, die behelfen sich alle mit einer VM, selbst die mit Windows-Rechnern, eben weil der gesamte Netzwerkverkehr durch den Tunnel geht. Jetzt warte ich mal ab, was die Kunden-IT sagt, ob sie split tunneling liefern wollen und können. Gibt es Sicherheitsargumente, die dagegen sprechen? Könnte ein Eindringling aus der nicht-getunnelten Verbindung Zugriff auf die Kundendaten erhalten?

quiddjes · 20.12.23

quiddjes schrieb:
Ah, ich hatte lauter Threads gefunden, dass das nicht geht. Das macht ja Hoffnung, wenngleich Split Tunneling die schlankere Lösung wäre….

Ich arbeite schon seit vielen Jahren über VPNs und hatte noch nie einen Kunden, der das unterstützt hat. Sobald ich mich einwähle, läuft alles über das VPN. Und das bei einer ganzen "Latte" von Kunden.

Und wenn dem so ist: Was ist dann split tunneling? Was muss ich dem Kunden sagen, damit das, was du beschreibst, funktioniert?

Update: Ich habe mal die Kollegen im Projekt befragt, die behelfen sich alle mit einer VM, selbst die mit Windows-Rechnern, eben weil der gesamte Netzwerkverkehr durch den Tunnel geht. Jetzt warte ich mal ab, was die Kunden-IT sagt, ob sie split tunneling liefern wollen und können. Gibt es Sicherheitsargumente, die dagegen sprechen? Könnte ein Eindringling aus der nicht-getunnelten Verbindung Zugriff auf die Kundendaten erhalten?

Also, split tunneling kriege ich beim Kunden aus Sicherheitsgründen nicht durchgesetzt, ich bin also darauf angewiesen, eine VM zu nutzen. Da haben wohl schon eine ganze Reihe von Leuten nach gefragt. Die VPN-Lösung soll wohl im Q1 ausgetauscht werden. Man darf gespannt sein….

Im Moment beschäftigt mich die Frage: Wie finde ich eine Experten, der mir ein Windows 11 "so klein und anspruchslos" macht, dass das nicht mehr so ein Leistungsfresser ist? Bzw. mir erklärt, wie das geht. Mal recherchieren.

Suche

Suche

Mx-Mac + Parallels + Win 11 + Checkpoint VPN

quiddjes

Danziger Kant

froyo52

Lord Grosvenor

Marcel Bresink

Breuhahn

quiddjes

Danziger Kant

quiddjes

Danziger Kant

AndaleR

Moderator

quiddjes

Danziger Kant

maniacintosh

Strauwalds neue Goldparmäne

Marcel Bresink

Breuhahn

quiddjes

Danziger Kant

quiddjes

Danziger Kant

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)