Veilige VPN connectie

rdp over ssl?

Simpel junipertje (SSG5) kan dit....
Misschien een firewall rule instellen met een source adres (op je huidige setup) die 2 adressen en dan opzetten voor vnc over ssl?

Meeste huis/tuin/keuken routers hebben wel een firewall.

Wat moet je doen:
- Poort TCP/1723 forwarden naar je SBS
- Protocol GRE forwarden naar je SBS
- In de firewall instellen dat er maar vanaf een aantal IP-adressen daarnaartoe geconnect mag worden.

Welk model/type router heb je nu?

In wezen is VPN zelf ook al veilig, of in ieder geval net zo veilig als je username/password combinaties

Neem een oude computer of beter nog, een laptop. Zet er IPCop op met de Zerina addon. Installeer OpenVPN clients op de remote computers, verwijs ze naar de IPCop machine, klaar.

CherandarGuard schreef op donderdag 29 november 2007 @ 19:17:
Neem een oude computer of beter nog, een laptop. Zet er IPCop op met de Zerina addon. Installeer OpenVPN clients op de remote computers, verwijs ze naar de IPCop machine, klaar.

Idd, voor een kleine omgeving is Monowall ook erg geschikt goedkoop, goed, simpel

support kost wat geld. Met een simpele cisco pix/asa kan het ook allemaal wel alleen het is veel beter gesupport dan die open oplossingen zoals openvpn. Ik zeg niet dat het niet werkt maar vaak is het toch meer gepuzzel.

En bv een sonicwall? Is een stuk goedkoper, en kan ook heel prima VPN-nen

Een TZ-170 is een heel prima oplossing en kost je iets van 500 eur. (25-node versie). Daarmee kun je vanaf buiten ook een tunnel opzetten, en met de enhanced firmware ook fail-over doen op een 2e internet verbinding

(ik weet ff niet of bij de goedkopere versies ook vpn client licenties inzitten, maar dan nog is dat wel <1400 eur)

Paul Nieuwkamp schreef op donderdag 29 november 2007 @ 22:26:
Windows Server 2003 (ook de SBS versie) kan heel goed een (PPTP) VPN aanbieden, dus een router/firewall/kastje die dat ook kan is een beetje overdreven lijkt me.

Als je gebruikers een beetje een goed wachtwoord hebben hoef je in de firewall niet eens op ip-basis dingen af te gaan vangen, maar als je dat wel wilt (en het mogelijk is, dwz geen laptopgebruikers of inbellers) kan vrijwel iedere huis-tuin-en-keuken router dat wel voor je regelen, als de Windows Firewall het al niet kan.

topictitle is "veilige"....

PPTP is nu niet echt meer een actueel iets, en niet echt verstandig om nu nog te implementeren. Een beetje wat WEP voor wifi is...
Ik zou zeker IPsec oid overwegen en niet het (uitgefaseerde) PPtP

[ Voor 99% gewijzigd door DJSmiley op 29-11-2007 22:37 ]

Windows Server 2003 (ook de SBS versie) kan heel goed een (PPTP) VPN aanbieden, dus een router/firewall/kastje die dat ook kan is een beetje overdreven lijkt me.

Als je gebruikers een beetje een goed wachtwoord hebben hoef je in de firewall niet eens op ip-basis dingen af te gaan vangen, maar als je dat wel wilt (en het mogelijk is, dwz geen laptopgebruikers of inbellers) kan vrijwel iedere huis-tuin-en-keuken router dat wel voor je regelen, als de Windows Firewall het al niet kan.

Tja, naar mijn ervaring is IPCop uitermate makkelijk in gebruik/beheer.
Ik heb één keer een probleem gehad waar ik niet uit kwam bij het opzetten van een net-to-net VPN tussen twee IPCop machines, maar op het IRC kanaal was men zeer behulpzaam.
Het bleek uiteindelijk aan een geblokkeerde poort op een PIX ergens op de route te liggen. Die hebben we inmiddels ook al verwijderd, omdat IPCop het werk van die PIX minstens zo goed kan doen.

Om het op IP-basis dicht te zetten moeten de gebruikers inderdaad een vast IP hebben. Als ze dat niet hebben (of je om een andere reden niet op IP dicht kunt of wilt zetten) is de goedkoopste oplossing om een portforward te maken in de router naar je SBS en bij Routing en Remote Access een VPN-server op te zetten.

Ik kan me haast niet voorstellen dat je 3com niet in staat is een TCP-poort en het GRE-protocol te forwarden, dus je hebt alles wat je nodig hebt al in huis.

Paul Nieuwkamp schreef op vrijdag 30 november 2007 @ 08:59:
Om het op IP-basis dicht te zetten moeten de gebruikers inderdaad een vast IP hebben. Als ze dat niet hebben (of je om een andere reden niet op IP dicht kunt of wilt zetten) is de goedkoopste oplossing om een portforward te maken in de router naar je SBS en bij Routing en Remote Access een VPN-server op te zetten.

Ik kan me haast niet voorstellen dat je 3com niet in staat is een TCP-poort en het GRE-protocol te forwarden, dus je hebt alles wat je nodig hebt al in huis.

GRE hoeft niet geworfward te worden. Het gaat om GRE in IPSec

De tunnel zelf gaat toch over GRE? De TCP-poort is alleen voor de initiele opzet (connectie maken, authenticatie, encryptiegegevens) voor zover ik weet.

je encapsuleert GRE in IPSEC dus het buitenste packetheader is IPSEC proto (88?) Dus Gre zal die firewall/router niet zien. Die innitiele setup is ISAKMP en is UDP poort 500

[ Voor 16% gewijzigd door TrailBlazer op 30-11-2007 10:44 ]

Misschien is Hamachi een interessant alternatief?

Eigenschappen:
• LAN over the Internet Arrange multiple computers into their own secure network, just as if they were connected by a physical cable.
• Remote Access Remote control any machine on your network with Remote Desktop.
• Files and Network Drives Access critical files and network drives.
• Zero-configuration Works without having to adjust a firewall or router.
• Security Industry leading encryption and authentication.
• Cost Effective Basic version is free to use. Premium begins at $4.95/month.

Hamachi creeert een directe peer 2 peer verbinding zonder dat je poorten hoeft in te stellen of statische IP-adressen hoeft te hebben.

Was hamachi niet onveilig ?
Ik wou tijdje geleden vpn-servertje opzetten en daar postte iemand mij hamachi, maar als minus dat het niet veilig was.
Je hebt al een sbs draaien, waarom dan niet gewoon zoals bij mij via RRAS een VPN-server opzetten en het poortje forwarden? Moet je niets extra kosten maken...

Waarom zo'n duur apparaat voor maar 2 gebruikers, er zijn goedkopere alternatieven. kijk eens naar SSL VPN, sonicwall heeft al een instap model voor een kleine 300 euro waarbij er maximaal 10 gebruikers tegelijk kunnen werken. voordeel hiervan gebruiker logt in op de webportaal en vanaf daar wordt de RDP connectie geinitialiseert.

Erwinkemink schreef op zaterdag 01 december 2007 @ 11:32:
Waarom zo'n duur apparaat voor maar 2 gebruikers, er zijn goedkopere alternatieven. kijk eens naar SSL VPN, sonicwall heeft al een instap model voor een kleine 300 euro waarbij er maximaal 10 gebruikers tegelijk kunnen werken. voordeel hiervan gebruiker logt in op de webportaal en vanaf daar wordt de RDP connectie geinitialiseert.

Wil ik nog even inhaken, waarom extra apparatuur kopen als sbs dit zelf heel goed kan (na wat portforwards in je router)

"Weet je zeker dat je jezelf wilt QUOTEN??" en stug ja klikken he

Wat je hiervoor moet hebben is PPTP-server enabled. Ik weet niet of je modem dan zelf als VPN-endpoint gaat fungeren of dat hij het door wil sturen naar iets anders.

Als hij het zelf doet ben je er in wezen meteen vanaf (mogelijk wil de modem nog wat meer dingen weten), anders moet je in je SBS bij Routing en Remote access nog de VPN-server opzetten.

Of het echt veiliger is met 2 netwerkkaarten? Alleen als je Premium hebt, ISA installeert en deze goed dichtzet, waarbij dan die netwerkkaart een publiel IP-adres krijgt. Dat is met je 3com modem/router niet aan de orde.

Dat er nog niemand is die zich afgevraagd heeft hoe de rest van de omgeving er dan uitziet

Als er niet al te veel users achte die bak zitten te surfen en je inderdaad maar enkle users PN toegang wil geven, zijn er imho zat routertjes uit het SOHO segment dit dat kunnen (routing vor ene man of 10, 2 vpns termineren). Qua configuratie houdt het echt niks in.
Voor je dynamische ip neem je een dynamische dns (dyndns of een van de vele andere).

Als je wil vermijden dat dat ding om de x weken een schop nodig heeft,geef je wat meer uit en kom je bij Juniper/netscreen, dat voor een paar honderd euro een pracht van een router levert!

vinux schreef op maandag 03 december 2007 @ 00:06:
Ik las in een andere thread hier dat SBS veiliger is met 2 NIC's.
1 voor intern netwerk en 1 voor internet toegang.

Kan je even zeggen waar? Ik zit me al de hele tijd in een ander topic af te vragen waarom dat je beter dat gebruikt en een degelijke uitleg erachter...

the_stickie schreef op maandag 03 december 2007 @ 00:44:
Als je wil vermijden dat dat ding om de x weken een schop nodig heeft,geef je wat meer uit en kom je bij Juniper/netscreen, dat voor een paar honderd euro een pracht van een router levert!

In het SBS-segment is "een paar honderd euro" vaak een zeer groot deel van het IT jaarbudget, als het niet al het hele budget is! Dat is iets wat een hoop systeembeheerders/adviesgevers hier op GoT nogal eens uit het oog verliezen.

Goed, zodra het plat ligt jammeren de heren directeuren wel, en hoe erger het bedrijf op zijn IT infrastructuur leunt hoe hoger dat budget wordt, maar voor veel bedrijfjes waar het zoontje van een kennis van de overburen van de administratiejuffrouw het systeembeheer doet is dat nu eenmaal de realiteit.

Ik hoor dan ook van alle kanten dat je een modem/router kunt kopen die als VPN endpoint kan dienen, maar niemand over waarom Windows' eigen RRAS niet zou voldoen.

@ hieronder: Je neemt het te letterlijk Met "niemand" bedoel ik uiteraard degenen die het op een router willen termineren.

Ik zou voor zakelijke doeleinden echter geen Hamachi gebruiken. Je hebt er namelijk zelf 0,0 controle op welke routes het neemt, als de Hamachi-servers eruit liggen kun je niet inloggen, per update verschilt het of het fatsoenlijk werkt etc.

[ Voor 15% gewijzigd door Paul op 03-12-2007 13:37 ]

Paul Nieuwkamp schreef op maandag 03 december 2007 @ 09:28:
[...]
Ik hoor dan ook van alle kanten dat je een modem/router kunt kopen die als VPN endpoint kan dienen, maar niemand over waarom Windows' eigen RRAS niet zou voldoen.

HyperBart schreef op zaterdag 01 december 2007 @ 00:47:
Was hamachi niet onveilig ?
Ik wou tijdje geleden vpn-servertje opzetten en daar postte iemand mij hamachi, maar als minus dat het niet veilig was.
Je hebt al een sbs draaien, waarom dan niet gewoon zoals bij mij via RRAS een VPN-server opzetten en het poortje forwarden? Moet je niets extra kosten maken...

Ik ben een goedkope jongen!