Frage für eine Freundin:
Sie geht mit Ihrem Rechner via VPN ins Firmennetzwerk.
Da es gelegentliche Zugangsbeschränkungen gibt und aus anderen Gründen möchte sie gerne auch dann, wenn sie unterwegs ist, quasi von Deutschland aus "ins Internet" bzw. in ihr Firmennetz.
Sie könnte natürlich z.B. über einen deutschen VPN-Provider oder simpel über eine heimische Fritzbox-VPN ins Internet.
Die Frage ist, wenn sie so per VPN aus D im Internet ist, kann sie dann nochmals per Firmen-VPN ins Firmennetz, also eine Art VPN^2 aufsetzen?
Oder ist das aus irgendwelchen Gründen unmöglich.

Man kann mehrere VPN Verbindungen gleichzeitig nutzen, solange sich diese in den Routen trennen lassen. Also z.B. das 10er Netz über Tunnel A und der restliche Traffic über Tunnel B. Lässt sich auch noch weiter ausbauen. Die Limits kommen da vom System irgendwann.

Einen Tunnel in einen Tunnel leiten - puh, da müssen die Netzwerker hier antworten. Theoretisch sollte aber auch ein Tunnel einen weiteren Tunnel als Gateway nutzen können?!

Danke @@Stefanie Ramroth,
von der parallelen Nutzung habe ich gelesen.
Es geht letztlich darum, seriell zu tunneln. Es soll also das letzte VPN denken, es würde aus dem Land aufgerufen, das das erste VPN vorgibt zu sein.

Das wird nur dann funktionieren wenn das erste VPN unabhängig vom Rechner funktioniert. Man ist unterwegs und hat einen Router dabei der zum Router nach Hause eine Verbindung aufbaut. Das erzeugt ein Site-to-Site VPN, von dem der Rechner nichts mitbekommt. Das müsste auf dem Rechner schon eine sehr auf Sicherheit bedachte VPN Lösung sein, die das erkennen kann.

Also z.B. zwischen zwei Fritzboxen?

Genau. Aber das können auch unterschiedliche Hersteller sein. Geräte vom selben Hersteller machen die Konfiguration u.U. einfacher.

Eventuell ist auch Remote-Desktop eine Lösung.

Das funktioniert, wenn:
- (Splitt-)DNS sauber konfiguriert ist
- keine Firewall dazwischen VPN verbietet
- es keine Überschneidung bei den im VPN eingestellten Routen gibt
Wir reden hier von einem Double-Hop-Szenario. Heißt, die beiden VPNs werden nicht gleichzeitig vom selben Rechner ausgeführt.
Vom Rechner verbindet man sich zuerst auf einen Jumphost in Netz 1, und von dort auf das eigentliche Ziel in Netz 2.
Lösungen wie Citrix, VMware Horizon oder M$ RDP ersparen ggfs. diese Methode.

In der Theorie könnte das auch von einem Rechner funktionieren, indem man sämtlichen Traffic über VPN 1 schickt, und für VPN 2 ein Policy-Based-Routing erstellt. Ich bezweifle aber, dass das mit Boardmitteln geht, und mir fällt grad auch keine geeignete Software dazu ein.

Das meinte ich mit meinem Hinweis auf die Netzwerker
Ich meine schon, dass man im Terminal die Routen so umbiegen kann, dass der zweite Tunnel den ersten als Gateway nutzt. Kann es nur momentan nicht testen, weil am iPad
Eine Software würde mir auch nicht einfallen.

Ob das funktioniert hängt von der Konfiguration des Firmen-VPN ab. Das wird eine Friemelei mit ungewissem Ausgang. Die Erfolgswahrscheinlichkeit halte ich für gering.

Hmmm. Wenn auf dem Firmen-Rechner (!!) ein Zugang ins Firmen-Netz (!!) per VPN eingerichtet ist, sollte es eine kompetente Firmen-IT (!!) geben, die diese Fragen exakt beantworten kann und ggf. Lösungen dazu umsetzt.

Vielen Dank für die vielen Antworten.
Das mit den zwei per VPN gekoppelten Routern scheint mir am erfolgversprechendsten.
Ich werde mal bei AVM anfragen, was die meinen. Dann könnte die Freundin zwei passende Router besorgen und los gehts.

Ja, der Konjunktiv

Dann würde ich die Finger davon lassen. Denn. In einem Worst-Case wird die Firmen-IT sämtliche Verantwortung von sich weisen und Deine Freundin ist jobtechnisch uU ziemlich am Arsch.

Zudem. Auf meinem Firmenrechner könnte ich nichts installieren, was solch ein Szenario erlauben würde. Oder ist sie auf ihrem Rechner als Admin unterwegs?

Ist das Ganze nicht so kompliziert oder habe ich zu später Stunde etwas nicht verstanden?
Ich bin gerade per Laptop via Synology VPN Plus (SSL VPN) mit meinem Synology-Router verbunden. Dabei nutze ich den mobilen Hotspot des iPhone (LTE), der ebenfalls per VPN mit dem Router verbunden ist. Ich kann meine internen IP-Adressen nutzen, die sonst nicht erreichbar sind (192.168,1.x), und nutze als DNS-Server mein Pi-hole. Ich müsste doch jetzt ein eigentlich ein VPN innerhalb eines VPN haben.
Schalte ich VPN vom Laptop ab, kann ich immer noch im eigenen Netz arbeiten. Ich müsste also auch in ein Firmen-VPN kommen - wie von Zuhause.

Das hat nichts mit meinem Anliegen zu tun, sorry.

Doch. Mein iPhone fungiert hier als Router und baut eine Site-to-Site-Verbindung auf. Innerhalb dieses erweiterten Heimnetzes an zwei Standorten kann eine weitere VPN-Verbindung vom Laptop aufgebaut werden. Das würde auch zwischen zwei Synology-Routern funktionieren. Aber gut, ist ja nicht mein Anliegen.

Dann solltest Du evtl. Deine Beschreibung überarbeiten.

Und nein, es ist keine moralische Belehrung. Sondern es ist die einfache Frage, hat sie überhaupt administrativen Zugriff auf ihren Rechner, so dass sie technisch das überhaupt lösen könnte?

Nur als Verdeutlichung. Firmenlaptop. Login über Keycard. Sofern Internet vorhanden ist, wird sich automatisch per VPN ins Firmennetzwerk eingeloggt. Dort übernehmen dann Filter Zugangsbeschränkungen. Zugriff z.B. auf Netflix, YT, Facebook, gmail, etc. ist gesperrt. Zugriff auf USB ist verdongelt, geht nur mit Speichermedien, die den passenden Key haben. In so einem Szenario wäre ein zweites VPN schlichtweg sicherheitstechnisch für sie nicht machbar. Das muss aber nicht das Szenario darstellen.

In Deinem beschriebenen Fall gehe ich davon aus, dass das Firmen-VPN ein Login aus bestimmten geographischen Regionen unterbindet. Und das erfolgt in der Regel nicht ohne einen firmenpolitischen Grund, über den ich nicht urteile. Entsprechend ist aber die Umgehung solcher Beschränkungen ein persönliches Risiko.

Bisher wurde nur immer von einem Firmenrechner geschrieben. Wir gehen davon aus, es handelt sich um einen Mac. Wird es aber eher nicht sein. Ist das ein Windows Rechner sind alle Ansätze das Problem über das OS zu lösen, von vorn herein zum Scheitern verurteilt.

Es kann ein Mac-Laptop sein oder auch ein PC. Ich werde das mit den zwei Routern mal ausprobieren.
Ich werde berichten, wie es geklappt hat (oder nicht geklappt hat).