Toon posts:

VPN netwerk hoe de DNS te regelen?

Pagina: 1
Acties:
  • 240 views sinds 30-01-2008
  • Reageer

donderdag 3 februari 2005 11:35

Acties:

Verwijderd

Topicstarter
Situatie is als volgt:
1 Hoofd vestiging ZyXel ZyWall 35 VPN Router
25 clients

10 Locaties ZyXel ZyWall 5 VPN Router
gemiddeld 6 clients + 1 simpele fileserver (normale win2k)

6 thuiswerkers nu GreenBow Client software
of wellicht ZyXel ZyWall 2 VPN Router?


Nu zitten we met het volgende probleem:
De data van de mobile- /thuiswerkers staan op de filserver van de locaties.
deze is gemapped naar een X:-schijf echter is het probleem
dat als je op een andere locatie zit de mapping niet werkt omdat de DNS niet instaat is de locale fileserver te vertalen naar een ip.
bv. \\ws-locatie-1\data (map --> X:)

Ook pingen lukt niet naar deze (ws-locatie-1) naam... Ik heb hier wel een oplossing voor bedacht.
nl. we zouden hier alle "Hosts" files kunnen aanpassen en daar hard inzetten welke IP bij welke naam hoort. Echter vroeg ik mij af of dit wel een proffesionele oplossing is!??
Ik heb geen idee hoe dit anders op te lossen. Er moet toch zo iets zijn als relay DNS en waarom neemt de ZyWall dat niet opzich?

donderdag 3 februari 2005 11:42

Acties:
  • SOCO_cola
  • Registratie: Januari 2005
  • Laatst online: 28-02-2024

SOCO_cola

JA alsik jou was had ik dat toch gedaan, je host file aanpassen, het is natuurlijk geen optie op die router als dns in te stellen (mischien als secondary dns????)

en wat maakt het uit of het professioneel is of niet, als het werkt en het is veilig (who cares ;) )

Grtz

Nintendo SWITCH! FTW

donderdag 3 februari 2005 11:48

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

windowsnamen worden toch door wins gedaan en niet door DNS

donderdag 3 februari 2005 11:48

Acties:

Verwijderd

Topicstarter
SOCO_cola schreef op donderdag 03 februari 2005 @ 11:42:
JA alsik jou was had ik dat toch gedaan, je host file aanpassen, het is natuurlijk geen optie op die router als dns in te stellen (mischien als secondary dns????)

en wat maakt het uit of het professioneel is of niet, als het werkt en het is veilig (who cares ;) )

Grtz
Hee, dat brengt mij op een idee kun je niet de server op het hoofdkantoor
opgeven als secondary DNS?
Zou dat werken??

donderdag 3 februari 2005 11:51

Acties:

Verwijderd

Topicstarter
TrailBlazer schreef op donderdag 03 februari 2005 @ 11:48:
windowsnamen worden toch door wins gedaan en niet door DNS
Hmm, goed punt ja!
Dus eigenlijk moet bij de uitdeling via DHCP ook de WINS server worden bekend gemaakt.
Volgensmij heb ik dat nog nooit ergens bij de instellingen in een router zien langskomen onder DHCP.

donderdag 3 februari 2005 11:54

Acties:

Verwijderd

misschien ondersteund die router netbios-routing...

donderdag 3 februari 2005 11:58

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op donderdag 03 februari 2005 @ 11:54:
misschien ondersteund die router netbios-routing...
Ik zie wel in mijn Router de volgende optie:
Windows Networking (NetBIOS over TCP/IP)
uit/aan Allow between LAN and WAN (You also need to create a firewall rule!)
uit/aan Allow between LAN and DMZ

of zou dit te veel data verkeer opleveren???

donderdag 3 februari 2005 11:59

Acties:
  • SOCO_cola
  • Registratie: Januari 2005
  • Laatst online: 28-02-2024

SOCO_cola

Verwijderd schreef op donderdag 03 februari 2005 @ 11:48:
[...]


Hee, dat brengt mij op een idee kun je niet de server op het hoofdkantoor
opgeven als secondary DNS?
Zou dat werken??
Weet niet denk het wel hoor, ik zou het gewoon test als ik jou was

Nintendo SWITCH! FTW

donderdag 3 februari 2005 12:00

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Verwijderd schreef op donderdag 03 februari 2005 @ 11:51:
[...]

Hmm, goed punt ja!
Dus eigenlijk moet bij de uitdeling via DHCP ook de WINS server worden bekend gemaakt.
Volgensmij heb ik dat nog nooit ergens bij de instellingen in een router zien langskomen onder DHCP.
Wins zit gewoon in de DHCP opties. Zie mijn dhcp config voor thuis.
code:
1
2
3
4
5

host everest {
  hardware ethernet 00:20:ED:B7:52:24;
  fixed-address 192.168.0.2;
  option netbios-name-servers 192.168.0.1;
}

donderdag 3 februari 2005 12:36

Acties:

Verwijderd

Topicstarter
TrailBlazer schreef op donderdag 03 februari 2005 @ 12:00:
[...]

Wins zit gewoon in de DHCP opties. Zie mijn dhcp config voor thuis.
code:
1
2
3
4
5

host everest {
  hardware ethernet 00:20:ED:B7:52:24;
  fixed-address 192.168.0.2;
  option netbios-name-servers 192.168.0.1;
}
Deze optie zit dus niet in onze routers!

donderdag 3 februari 2005 12:57

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

dat ding doet ook aan dhcp relay. dan kan je de DHCp requesten doorsturen naar een andere DHCp server. Dan kan je dus elke DHCP server gebruiken die je wil.

donderdag 3 februari 2005 13:21

Acties:

Verwijderd

Topicstarter
TrailBlazer schreef op donderdag 03 februari 2005 @ 12:57:
dat ding doet ook aan dhcp relay. dan kan je de DHCp requesten doorsturen naar een andere DHCp server. Dan kan je dus elke DHCP server gebruiken die je wil.
Ik ben niet zo heel erg thuis in dit soort zaken maar..
het is nu zo dat alle locaties in een ander subnet zitten.

192.168.170.0
192.186.171.0 etc..

Kun je dit dan ook realiseren met 1 DHCP server?
En wat als je internet verbinding weg valt ...
dan krijg je ook geen IP meer dan je relay DHCP server.

Of zie ik dit verkeerd?

donderdag 3 februari 2005 13:36

Acties:

Verwijderd

no flame intended, maar je ziet een hoop verkeerd...

heb je uberhaupt wel een domaincontroller? zo ja, wat is het os? staan er op meerdere vestigingen dc's? hoe loggen ze daar aan?

donderdag 3 februari 2005 14:07

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Verwijderd schreef op donderdag 03 februari 2005 @ 13:21:
[...]


Ik ben niet zo heel erg thuis in dit soort zaken maar..
het is nu zo dat alle locaties in een ander subnet zitten.

192.168.170.0
192.186.171.0 etc..

Kun je dit dan ook realiseren met 1 DHCP server?
ja de rotuer zla een request sturen met als source zijn ethernetpoort. De DHCP server zoekt dan een range uit die bij dit adres valt een ip adres uitkiezen en terugsturen. naar de router. De rotuer maakt er vervolgens weer een mooie DHCPACK van
En wat als je internet verbinding weg valt ...
dan krijg je ook geen IP meer dan je relay DHCP server.

Of zie ik dit verkeerd?
nee :p
Verwijderd schreef op donderdag 03 februari 2005 @ 13:36:
no flame intended, maar je ziet een hoop verkeerd...

heb je uberhaupt wel een domaincontroller? zo ja, wat is het os? staan er op meerdere vestigingen dc's? hoe loggen ze daar aan?
wie heeft het hier over DC's voorlopig kunnen de clients alleen een windows share niet benaderen door een resolving probleem :?

[ Voor 23% gewijzigd door TrailBlazer op 03-02-2005 14:09 ]

donderdag 3 februari 2005 14:17

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op donderdag 03 februari 2005 @ 13:36:
no flame intended, maar je ziet een hoop verkeerd...

heb je uberhaupt wel een domaincontroller? zo ja, wat is het os? staan er op meerdere vestigingen dc's? hoe loggen ze daar aan?
Nee wij hebben slechts 1 DC
dat is een ML 350 G4 3,2 Ghz 2 gb ram met Windows 2003 advanced.
Op de locaties hebben wij geen DC's staan om dat dit een te dure oplossing zou zijn voor onze organisatie we werken per locatie immers hoog uit maar met 6 clients.
Inloggen gebeurt dus locaal op de pc met ww.

fileserver is een normale pc win2k prof (geen server editie).
hierop staan de gebruikers op dezelfde manier met het zelfde ww.
zo kunnen ze gemakkelijk op hun share komen en kunnen ze snel over hun data beschikken.

Het totale aantal clients in onze organisatie komt op 50.

donderdag 3 februari 2005 14:24

Acties:

Verwijderd

Topicstarter
TrailBlazer schreef op donderdag 03 februari 2005 @ 14:07:
[...]

ja de rotuer zla een request sturen met als source zijn ethernetpoort. De DHCP server zoekt dan een range uit die bij dit adres valt een ip adres uitkiezen en terugsturen. naar de router. De rotuer maakt er vervolgens weer een mooie DHCPACK van
aha... oke dat is duidelijk!

Maarre... als ik het Netbios verkeer open gooi krijg ik dan niet in eens heel veel data verkeer overmijn internet verbinding? Met als gevolg dat alles heel traag wordt??

We hebben immers maar ADLS lite van XS4ALL op de locaties.
We zijn wel bezich om te kijken naar een betere verbinding maar dat laten we nu nog even liggen.

donderdag 3 februari 2005 15:25

Acties:

Verwijderd

wie heeft het hier over DC's voorlopig kunnen de clients alleen een windows share niet benaderen door een resolving probleem :?
als je enig idee hebt hoe een windows domain in elkaar zit, dan begrijp je ook waarom ik die vraag stel...

bijv. wins wordt namelijk helemaal niet meer gebruikt sinds win2k. DNS wel, meer specifiek Dynamic DNS.

Als er slechts 1 DC is en op remote locations wordt er ook op die DC aangemeld, dan is je probleem over, want dan MOET de win2k3 dns gebruikt worden door alle machines in het domain! oftewel je resolving gaat goed!

Je kan nog wel zorgen dat je wat betere performance krijgt door dns op de lokale site te draaien, mooi voorbeeld van het gebruik van stub zones... maar dan moeten er wel win2k3 servers aanwezig zijn!

Als de locatie's niet aanloggen op de DC, maar gewoon in een werkgroep staat, heb je in ieder geval wel een centrale dns server. Maak hier een primary zone aan (<servernaam>.servers.bedrijf.nl; iig scheiden van je win2k3 namespace), installeer dns op de win2k servers en laat maak een secundaire zone aan.
Voeg de servers toe in dns als A record en klaar zonder dat je bootp open zet op routers, want dat wil je niet!

[ Voor 39% gewijzigd door Verwijderd op 03-02-2005 15:39 ]

donderdag 3 februari 2005 15:38

Acties:

Verwijderd

Verwijderd schreef op donderdag 03 februari 2005 @ 15:25:
als je enig idee hebt hoe een windows domain in elkaar zit, dan begrijp je ook waarom ik die vraag stel...

bijv. wins wordt namelijk helemaal niet meer gebruikt sinds win2k. DNS wel, meer specifiek Dynamic DNS.

Als er slechts 1 DC is en op remote locations wordt er ook op die DC aangemeld, dan is je probleem over, want dan MOET de win2k3 dns gebruikt worden door alle machines in het domain! oftewel je resolving gaat goed!

Je kan nog wel zorgen dat je wat betere performance krijgt door dns op de lokale site te draaien, mooi voorbeeld van het gebruik van stub zones... maar dan moeten er wel win2k3 servers aanwezig zijn!
Wordt misschien tijd dat je de opstelling hier goed leest!


Je bent ook met w2k en w2k3 NIET verplicht om netbios er uit te schoppen en op DNS over te stappen.
Het benaderen van shares via \\computernaam\sharenaam gebruikt nog steeds netbios (kan ook via DNSnaam of ipnummer)
En er zijn nog steeds genoeg softwarepakketen in gebruik die OOK op een w2k3 nog netbios nodig hebben

donderdag 3 februari 2005 15:40

Acties:

Verwijderd

inderdaad ja, maar programmeurs van zulke programma's beschouw ik ook als prutsers!

iig stel ik voor dit topic te verplaatsen van dit forum, want de voorgestelde oplossingen zijn niet echt professioneel (understatement)

[ Voor 48% gewijzigd door Verwijderd op 03-02-2005 15:43 ]

donderdag 3 februari 2005 15:46

Acties:

Verwijderd

Verwijderd schreef op donderdag 03 februari 2005 @ 15:40:
inderdaad ja, maar programmeurs van zulke programma's beschouw ik ook als prutsers!

iig stel ik voor dit topic te verplaatsen van dit forum, want de voorgestelde oplossingen zijn niet echt professioneel (understatement)
8)7

donderdag 3 februari 2005 17:01

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op donderdag 03 februari 2005 @ 15:40:
inderdaad ja, maar programmeurs van zulke programma's beschouw ik ook als prutsers!

iig stel ik voor dit topic te verplaatsen van dit forum, want de voorgestelde oplossingen zijn niet echt professioneel (understatement)
Jammer van de bovenstaande opmerking.

Ik vraag hier ook naar een professionele oplossing voor dit probleem.
Met als handicap dat we financieel beperkte middelen hebben we zijn immers een stichting en geen multinational. Voor een professional zou dit toch begrijpelijk moeten zijn? :/

donderdag 3 februari 2005 17:26

Acties:

Verwijderd

het gaat me niet zozeer om jouw topic, maar vnl om de reacties. netbios doorlaten (bootp) om een resolving probleem op te lossen is echt de meest crappy oplossing die je maar kan bedenken. je maakt je terecht druk om teveel netwerk verkeer.

overigens ik heb je ook een oplossing gegeven die je geen cent kost...
maar of dat echt een goede oplossing is, ligt aan hoe je netwerk in elkaar zit, hoe er aangelogd wordt, welke dns servers gebruikt worden enz.

donderdag 3 februari 2005 18:11

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Verwijderd schreef op donderdag 03 februari 2005 @ 17:26:
het gaat me niet zozeer om jouw topic, maar vnl om de reacties. netbios doorlaten (bootp) om een resolving probleem op te lossen is echt de meest crappy oplossing die je maar kan bedenken. je maakt je terecht druk om teveel netwerk verkeer.

overigens ik heb je ook een oplossing gegeven die je geen cent kost...
maar of dat echt een goede oplossing is, ligt aan hoe je netwerk in elkaar zit, hoe er aangelogd wordt, welke dns servers gebruikt worden enz.
ehm sinds wanneer is netbios hetzelfde als bootp. bootp is een protocol om bij diskless clients van software te voorzien en ipaddressen uit te delen. Netbios wordt voor alles en nogwat gebruikt bij windows systemen. De link ontgaat me dus volledig.
Het grote probleem met netbios is dat het nogal veel broadcasts verstuurt. Deze zullen nooit over een wan heen komen.

vrijdag 4 februari 2005 12:21

Acties:

Verwijderd

broadcasts doorlaten op een router >> bootp

vrijdag 4 februari 2005 15:33

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Verwijderd schreef op vrijdag 04 februari 2005 @ 12:21:
broadcasts doorlaten op een router >> bootp
Je kan toch zeggen welke broadcasts je door wil laten. Op een cisco worden standaard een hoop broadcast niet doorgelaten bootp is niet spannend

vrijdag 4 februari 2005 16:24

Acties:

Verwijderd

Lees het antwoord achter de onderstaande link:


http://www.zyxel.com/supp.../vpn_netbios_bradcast.htm

zaterdag 5 februari 2005 15:44

Acties:

Verwijderd

De allermakkelijkste oplossing die ik kan bedenken (beperkte resources in gedachte houdend) is door de mapping gewoon met ip adres te maken.

x: --> \\123.123.123.123\share

dit werkt altijd, van elke client, ongeacht of/welke dns je gebruikt.

--------------------------------------------------

Het probleem waar je waarschijnlijk mee zit is dat je niet de DNS server van je domaincontroller gebruikt.
Als je deze instelt dat deze ook resursive (non-authorative) lookups toestaat (door de root-zone te verwijderen) kan je deze gebruiken voor ALLE dns requests van je clients (ook normale internet requests dus). geen vervolgens de DHCP servers van je routers mee dat ze het adres van de DC moeten gebruiken als DNS server.

Een tweede ding waar je wellicht problemen kan verwachten is het volgende:
Je w2k prof met de shares is waarschijnlijk met een statisch IP adres geconfigureerd. Hierdoor wordt hij niet opgenomen in de DNS door Dynamische DNS. Maak dus handmatig een A record aan in je DNS server om deze client (via DNS!!) te kunnen resolven. (standaard wordt netbios gebruikt die alleen lokaal op het netwerk te resolven is, omdat netbios niet routeable is)

EDIT: in tegenstelling als wat verschillende mensen hier als 'oplossing' aandragen, zou ik NOOIT, maar dan ook NOOIT de netbios poorten open zetten op de firewall/VPN/ander border device, en dus ook niet netbios over de tunnel gaan versturen (je gooit zowel je veiligheid als je bandbreedte in een diepe. diepe put...)

[ Voor 13% gewijzigd door Verwijderd op 05-02-2005 15:46 ]

zaterdag 5 februari 2005 19:06

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 07-05 18:41

Kabouterplop01

chown -R me base:all

Errrr bestaat er zoiets als een ip-helper config voor zyxel routertjes?
Zo ja probleem opgelost....

zaterdag 5 februari 2005 19:19

Acties:
  • Madcat
  • Registratie: Juli 2002
  • Niet online

Madcat

Verwijderd schreef op donderdag 03 februari 2005 @ 12:36:
[...]

Deze optie zit dus niet in onze routers!
zijn deze routers hardware matige routers?
of draait hier gewoon linux op?

zelf heb ik pptpd en pppd gebruikt om een VPN te maken en dat ging redelijk goed eigenlijk.

dns en wins servers kan met behulp van een config file worden doorgegeven naar de clients die dan via dhcp een ip krijgen en tevens worden alle servers doorgeven.

[ Voor 20% gewijzigd door Madcat op 05-02-2005 19:21 ]

zondag 6 februari 2005 10:16

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Verwijderd schreef op zaterdag 05 februari 2005 @ 15:44:

EDIT: in tegenstelling als wat verschillende mensen hier als 'oplossing' aandragen, zou ik NOOIT, maar dan ook NOOIT de netbios poorten open zetten op de firewall/VPN/ander border device, en dus ook niet netbios over de tunnel gaan versturen (je gooit zowel je veiligheid als je bandbreedte in een diepe. diepe put...)
niet lulig bedoeld waarom wordt dit dan in heel veel bedrijfsnetwerken gewoon zo gedaan. Het probleem is dat de meeste mensen imho toch een beetje hobbyen door dit soort dingen over internet te doen. Persoonlijk heb ik alleen ervaring met dit soort dingen over iets veiliger netwerken.

zondag 6 februari 2005 13:37

Acties:
  • Abom
  • Registratie: September 2000
  • Laatst online: 07-05 16:34

Abom

TrailBlazer schreef op zondag 06 februari 2005 @ 10:16:
[...]

niet lulig bedoeld waarom wordt dit dan in heel veel bedrijfsnetwerken gewoon zo gedaan. Het probleem is dat de meeste mensen imho toch een beetje hobbyen door dit soort dingen over internet te doen. Persoonlijk heb ik alleen ervaring met dit soort dingen over iets veiliger netwerken.
Waarschijnlijk omdat de systeembeheerders niet weten hoe ze hun probleem fatsoenlijk op moeten lossen (of te lui/'druk' zijn), dan maar quick&dirty.

Je moet al je broadcast verkeer zien te beperken, vooral over VPN verbindingen.

Aangezien we het hier alleen over win 2k+ hebben, lijkt mij de meest eenvoudige oplossing je DNS server op de hoofdvestiging als secondary DNS in te stellen. Of deze al je DNS opdrachten af laten handelen. Zoals Fredje al zei.

[ Voor 19% gewijzigd door Abom op 06-02-2005 13:48 ]

maandag 7 februari 2005 17:22

Acties:

Verwijderd

toch blij dat er nog een paar mensen het met me eens zijn, resolving is beter op te lossen dan met netbios over vpn :)

vrijdag 11 februari 2005 13:10

Acties:

Verwijderd

Verwijderd schreef op zaterdag 05 februari 2005 @ 15:44:
De allermakkelijkste oplossing die ik kan bedenken (beperkte resources in gedachte houdend) is door de mapping gewoon met ip adres te maken.

x: --> \\123.123.123.123\share

dit werkt altijd, van elke client, ongeacht of/welke dns je gebruikt.

--------------------------------------------------

Het probleem waar je waarschijnlijk mee zit is dat je niet de DNS server van je domaincontroller gebruikt.
Als je deze instelt dat deze ook resursive (non-authorative) lookups toestaat (door de root-zone te verwijderen) kan je deze gebruiken voor ALLE dns requests van je clients (ook normale internet requests dus). geen vervolgens de DHCP servers van je routers mee dat ze het adres van de DC moeten gebruiken als DNS server.

Een tweede ding waar je wellicht problemen kan verwachten is het volgende:
Je w2k prof met de shares is waarschijnlijk met een statisch IP adres geconfigureerd. Hierdoor wordt hij niet opgenomen in de DNS door Dynamische DNS. Maak dus handmatig een A record aan in je DNS server om deze client (via DNS!!) te kunnen resolven. (standaard wordt netbios gebruikt die alleen lokaal op het netwerk te resolven is, omdat netbios niet routeable is)

EDIT: in tegenstelling als wat verschillende mensen hier als 'oplossing' aandragen, zou ik NOOIT, maar dan ook NOOIT de netbios poorten open zetten op de firewall/VPN/ander border device, en dus ook niet netbios over de tunnel gaan versturen (je gooit zowel je veiligheid als je bandbreedte in een diepe. diepe put...)
Veiligheid? Netbios pakketjes gaan door de tunnel net als het gebruik van LMHOST aanvragen, WINS aanvragen of DNS pakketjes, eerlijksheidshalve weet ik niet precies hoeveel bandbreedte het scheelt tussen deze opties(kan dus getest worden), maar Netbios pass through, dus door de IPSEC vpn tunnel zie.ik geen veiligheidsproblemen, uiteraard is het inrichten van een AD(Active Directory)(=DNS) ook een optie(maar de aanvraagpakketjes gaan dus ook door de VPN Tunnel).

Technische info over ZyXEL
Let op : VPN is een laag boven de Firewall en gaat dus langs of over de Firewall(niet door!). De firmware van ZyWALL/ZyXEL kun je beschouwen als een blokkendoos: 1. Filters, 2.VPN, 3. Firewall en (4) NAT etc.
Filters kan men overgens niet instellen in de VPN regels(mag ook niet volgens de standaard RFC).

Mocht het uiteindelijk toch problemen opleveren met de tijdsbestek van verzending tot het ontvangen van de VPN pakketjes, stel dan de CI commando in, zoals de "IPsec Timer"
Lees meer hierover op : http://www.zyxel.nl/support/vpndebug.html#probleem7

[ Voor 7% gewijzigd door Verwijderd op 11-02-2005 13:24 ]

vrijdag 11 februari 2005 13:13

Acties:

Verwijderd

Verwijderd schreef op vrijdag 11 februari 2005 @ 13:10:
[...]


Veiligheid? Netbios pakketjes gaan door de tunnel net als het gebruik van LMHOST aanvragen, WINS aanvragen of DNS pakketjes, eerlijksheidshalve weet ik niet precies hoeveel bandbreedte het scheelt tussen deze opties(kan dus getest worden), maar Netbios pass through, dus door de IPSEC vpn tunnel zie.ik geen veiligheidsproblemen, uiteraard is het inrichten van een AD(Active Directory)(=DNS) ook een optie(maar de aanvraagpakketjes gaan dus ook door de VPN Tunnel).

Let op VPN is een laag boven de Firewall en gaat dus langs of over de Firewall(niet door!). De firmware van ZyWALL/ZyXEL kun je beschouwen als (veiligeheids)lagen : 1. Filters, 2.VPN, 3. Firewall en (4) NAT etc.
Filters kan men overgens niet instellen in de VPN regels(mag ook niet volgens de standaard RFC).
nou, de clients hebben een aparte adsl verbinding voor internet, en dit gaat niet via het centrale netwerk. Als dus een van de clients gecompromiteerd raakt, staat plotseling heel je netwerk open voor netbios aanvallen (een van de kwetsbaarste protocollen die er bestaat).
Heb je daarnaast wel eens gezien hoeveel 'troep' netbios clients op de lijn gooien?

Ik wil niet bashen of flamen, maar het netbios protocol kun je op je netwerk beter kwijt dan rijk zijn...

vrijdag 11 februari 2005 15:12

Acties:

Verwijderd

LAN WAN(staat alles standaard open) - aanvragen van Clients is opzich, weer een beheer(gebruikers rechten, filters, ip alias, dmz..) apart, maar routing aanvragen alleen door de vpn tunnel(via het internet) door de clients, zie ik geen probleem, derhalve zou je inderdaad om te voorkomen dat vreemde aanvragen van de clients naar het internet verloopt (dus niet door de tunnel)een apparaat(IDP 10) of server te plaatsen die alles controleert op pakket niveau.

Los hiervan dat ik dit nog niet getest heb d.m.v. ethereal logs.

[ Voor 7% gewijzigd door Verwijderd op 11-02-2005 15:13 ]

vrijdag 11 februari 2005 16:35

Acties:
  • Yalopa
  • Registratie: Maart 2002
  • Niet online

Yalopa

Less is more!

In de veronderstelling dat die normale win2K weldegelijk een server os is zou ik daar dus ook DC's van maken, en die DC's elk per vestiging in een AD site steken, de dc's worden dan ook nog eens DNS servers (AD repliceerd het zaakje wel) eventueel stel je ze ook in als lokalen DHCP server.

lokaal aanmelden is mogelijk (spaart je wat wan trafiek)
dns is lokaal beschikbaar (lost je DNS probleem op)

betreft het geen server OS (win2K) dan zou ik dat toch wel ERNSTIG overwegen

met firewall block je over die VPN dan af wat niet nodig is, en je vpn (die duur is veronderstel ik) houd nog wat over voor nutttige dingetjes.

maja 100 mensen 100 oplossingen natuurlijk

[ Voor 8% gewijzigd door Yalopa op 11-02-2005 16:39 ]

You don't need eyes to see, you need vision

vrijdag 11 februari 2005 16:51

Acties:

Verwijderd

Yalopa schreef op vrijdag 11 februari 2005 @ 16:35:
In de veronderstelling dat die normale win2K weldegelijk een server os is zou ik daar dus ook DC's van maken, en die DC's elk per vestiging in een AD site steken, de dc's worden dan ook nog eens DNS servers (AD repliceerd het zaakje wel) eventueel stel je ze ook in als lokalen DHCP server.

lokaal aanmelden is mogelijk (spaart je wat wan trafiek)
dns is lokaal beschikbaar (lost je DNS probleem op)

betreft het geen server OS (win2K) dan zou ik dat toch wel ERNSTIG overwegen

met firewall block je over die VPN dan af wat niet nodig is, en je vpn (die duur is veronderstel ik) houd nog wat over voor nutttige dingetjes.

maja 100 mensen 100 oplossingen natuurlijk
Helaas, dan was het een stuk makkelijker. Maar op de branches staan helemaal geen DC's en de fileserver is een w2k bak met een lokale SAM waar handmatig de usernames en passwords worden overgezet...
Pagina: 1
Reageer