1 (terminal?) server voor remote access naar klanten

wat je zou kunnen doen is als volgt.

bij kpn epacity dienst afnemen (www.epacity.nl) Hiermee krijg je een eigen netwerk. Dit netwerk is dan vanaf de zaak bereikbaar. Vervolgens installeer je een machine die bij de klant in het netwerk komt te hangen. deze heeft dan 2 netwerk aansluitingen. 1 voor in de lan kant (de klant zn netwerk) 1 voor in het epacity netwerk waar jij dan vanaf de zaak weer bij kunt.

De server die je in het netwerk bij de klant hangt kun je dan bereikben met RDP. Vervolgens kun je vanaf hier ook door met RDP naar alle servers van de klant

voila

Ik begrijp hier uit dat de remote sides ook verschillende manieren hebben om naar te connecten?

Is het niet handig om dit gelijk te trekken en dan ieder toegang krijgt tot die uniforme manier van connecten?

Uiteraard zou je een terminal server (citrix) kunnen inrichten met daar de verschillende connect manieren ingebouwd. (VPN verbinding die al actief zijn op de citrix server bijvoorbeeld.)

Zelf vind ik een terminal zeer handig voor zulk soort zaken, dat hebben de gebruikers 1 duidelijk manier om te connecten met de verschillende sides én je kunt het makkelijk beheren.

[ Voor 0% gewijzigd door Evos op 30-11-2007 15:51 . Reden: moet sites nou met een D of T? ja in dit geval D ]

je zou eens naar omgevingen als logmein.com kunnen kijken.. Kan je al je klanten in gooien door middels van agent installaties. Iedereen kan dan vervolgens met een login op die site met een druk op de knop servers overnemen waar die agent op geinstalleerd is + een aantal andere handige beheerstaken uitvoeren.

En anders is er altijd nog de VMWare (ESX) oplossing waarbij je de VM's per klant bij jezelf kunt draaien. De consultants kunnen dan met bijvoorbeeld de infrastructure client die machines overnemen en contact maken met de diverse klanten.

Zorg dan wel voor een goede CAG/VPN omgeving waarmee de consultants naar je omgeving connecten.

ToolkiT schreef op zaterdag 01 december 2007 @ 21:49:
[...]

een van de consultants gebruikt al VMware op zijn laptop zoals jij beschrijft, en mijn idee is ongeveer wat jij beschreef maar ik wist niet 100% zeker of het mogelijk was.
Kan je VMware ook binnen terminal server draaien zodat meerdere clients hun eigen VM omgeving remote kunnen draaien?
Voor mijn gevoel moet het allemaal wel kunnen, maar weet ook dat VPN soms lastig kan doen en roet in het eten kan gooien..

Op het moment dat je al de betreffende images zelf host dan hoeven de consultants niet op een terminal server in te loggen maar kunnen ze gewoon de geinstalleerde machine met vpn client binnen vmware zelf via bijv. rdp overnemen. Dus je installeert een vmware server, met daarin let's say 5 verschillende vmware systemen met vpn clients, en de externe consultants geef je de mogelijkheid om op afstand deze 5 virtuele machines direct over te nemen.

ik denk persoonlijk dat dit wel vervelend wordt als meerdere mensen dezelfde vpn client nodig hebben.. Ik heb voor een bedrijfje gewerkt waar toch gewoon iedereen verschillende virtuele machines op zijn laptop kon starten met ieder een andere vpn client.

[ Voor 23% gewijzigd door Verwijderd op 01-12-2007 23:51 ]

Zoek op de site van VMWare maar eens op VDI.

Dat is volgens mij wat TS zoekt.

ToolkiT schreef op vrijdag 30 november 2007 @ 15:40:
Een consultant (van ons bedrijf) maakt via de VPN van ons bedrijf contact met die server (bijvoorbeeld met terminal server) en vanaf daar kan hij contact maken met de systemen van de klant.
Ideaal gesproken dus zonder VPN tokens etc, meer een vaste setup.

Mijn vraag is, is deze oplossing realistisch? ik heb al op GoT en Google gezocht en geen vergelijkbare dingen tegen gekomen.

De klanten van jouw bedrijf vereisen dat er als vorm van strong authentication gebruik wordt gemaakt van VPN tokens. Het is niet realistisch om te verwachten dat ze dat droppen.

De klant geeft die dingen uit aan bedrijven die toegang moeten krijgen tot hun systemen. De door jou bedachte oplossing gaat perfect werken, maar de consultants moeten nog steeds wel elk een token hebben om op de systemen van de klant in te loggen, ook via jouw Terminal Server.

[ Voor 5% gewijzigd door SeatRider op 02-12-2007 09:39 ]

Het makkelijkst is een TS machine aan je eigen kant, waar je medewerkes op aanloggen. Vanuit daar kunnen ze dan doorloggen naar de klantnetwerken.

Je kunt trouwens je klanten "opvoeden" je vertelt hun wat ze moeten doen om van jou remote support te krijgen. Je kunt dus gewoon requierments bij de klant neerleggen.

Ik zal inderdaad een omgeving bouwen vanaf waar je alle klant kan benaderen. Vervolgens een andere omgeving bouwen waarop je eigen mensen remote kunnen inloggen. Deze 2 aan elkaar knopen en klaar.
Ik zal geen eigen netwerk aan gaan leggen naar elke klant. Veels te duur voor de sporadische keer dat het nodig hebt. Gewoon VPN over het internet bouwen als je het nodig hebt.

Je kunt bv ook gebruik maken van softtokens op de centrale server zodat je toch je vpn security dmv tokens in stand kan houden zonderdat je consulants iedere keer die token bij zich te hoeven hebben. Dit kan sowieso met RSA en volgensmij heeft vasco ook wel iets dergelijks.

ToolkiT schreef op maandag 03 december 2007 @ 11:30:
[...]

Het lijkt me dat er ook andere secure manieren om een VPN verbrinding aan te le leggen moeten zijn, zonder gebruik van een token...

Zeker. Tokens zijn voornamelijk bedoeld voor gebruikers die vanuit veel verschillende plekken bij de systemen moeten kunnen. Voor vaste verbindingen ligt een Public/Private Key Infrastructure erg voor de hand.

mijn collega grapte al dat we in het ergste geval maar een webcam op het token moeten zetten zodat mensen zo de code kunnen zien

LOL

Op je hoofdkantoor kan je ASA5500 neerzetten. Hiermee kan je een mooi SSL / WebVPN portal bouwen. Niet alleen voor field engineers / consultants, maar ook bijvoorbeeld voor verkopers in de buitendienst.
Voor deze twee groepen kun je totaal 2 verschillende portals bouwen. ( Zowel in grafische looks, als in functionaliteit, als in user rechten. )
Buitendienst medewerkers kunnen op deze portal inloggen via een sterke authenticatie. ( m.b.v. Vasco, RSA, of Aladdin One-Time-Password tokens )

Verkopers in de buitendienst kun je bijvoorbeeld toegang geven tot Outlook Webaccess en / of het intranet. Voor field engineers / consultants kun je dit ook inregelen. Daarnaast kan je ze via RDP / TS toegang geven tot één of meer netwerk management stations. Hierop staan alle tools en programma's die men gebruikt voor netwerk management.

Voor de communicatie van je hoofdkantoor naar je klanten kun je site-to-site IPSec VPN tunnels gebruiken. Wanneer je klant een firewall heeft staan die ondersteund, dan kan je dit gebruiken.

Anders moet je een extra apparaat neerzetten. ( Bijvoorbeeld een 851 / 871 router of ASA5505 )
Deze kan men op het hoofdkantoor configureren en daarna afsturen naar de klant.

Een andere optie is om een kaal apparaat op te sturen en een USB token na te sturen met de configuratie en / of PKI credentials. Men hoeft deze apparaten alleen aan te sluiten. Dit kan iemand ter plaatse doen en je hoeft hier geen (dure) consultant op pad te sturen.

Voor de authenticatie kun je een combinatie gebruiken van Microsoft IAS ( RADIUS ) Microsoft Certificate Authority en / of Microsoft Active Directory. Hier kan dan de middleware van de tokens, de ASA5500 en andere routers / firewalls tegenaan babbelen als centrale user / PKI credentials database.

Voor kleine klanten kun je een netwerk management station op je hoofdkantoor gebruiken.
Voor grote klanten wil je dit verkeer ( i.v.m. de load op de VPN ) graag lokaal houden.
Je zet dan een netwerk management station op locatie bij de klant.

Wanneer je je klanten als een enterprise wil beheren, dan creëer je overal een VLAN specifiek voor netwerk management doeleinden. Je kunt dan het netwerk out-of-bound beheren. Je gaat dan naar het virtualiseren / centraliseren van het netwerk management. ( Verschillen klanten zien als één klant, met verschillende policies ) Maar dat is een stap verder...

* Bl@ckbird is nogal Cisco minded, maar je kunt dit natuurlijk ook met andere apparatuur inrichten...

ToolkiT schreef op vrijdag 30 november 2007 @ 15:52:
[...]

Bedankt voor het idee, maar paar kleine probleempjes:
-Ik (en bedrijf) zit in de UK en klanten zijn wereldwijd, dus KPN is niet de beste oplossing dan...
-probeer een oplossing te vinden waar ik geen hardware bij de klant hoef neer te zetten (qua kosten en overhead). Aangezien de klanten al een VPN netwerk hebben wil ik daar gebruik van maken.

je idee brengt me wel op een idee, ik kan natuurlijk voor elke klant een netwerk kaart in een server planten om zo de verschillende VPN streams uit elkaar te houden als dat nodig blijkt te zijn...

mmmm..denk niet echt dat je daar de capaciteit voor hebt. een server heeft standaard 2 onboard nics. een desktop pc 1 en hooguit 2. Wil je er meer moet je er pci kaarten bij in stoppen. In een desktop houdt het dan al gauw op met 4 of 5 pci sloten.

dat zal dus betekenen dat je per server 4 a 5 klanten zou over kunnen nemen

gewoon een kwestie van een NIC met 802.1q support kiezen heb je zo 1000 nics in je pc