PPTP VPN nog steeds courant?

Een softwareleverancier wil (directe) toegang tot onze server. Wij gebruiken een Juniper firewall met bijbehorende software; hij heeft de voorkeur voor "de standaard VPN zoals je dat onder Windows kunt aanmaken".

Ik vermoed dat hij een PPTP VPN bedoelt. M.i. is dat een beetje achterhaald, bijvoorbeeld omdat daarbij gebruikersnaam en wachtwoord (initieel) in cleartext over internet gaan. Wat vinden jullie?

Voor zover ik weet is in Windows (het gaat over een 2008 Server) IPSec firewall ook mogelijk maar dat vereist een certificaat, en ik meen dat verschillende client OS'en en routers daar niet mee om kunnen gaan. Wat is hierin de "best practice"?

alt-92 schreef op vrijdag 26 juni 2009 @ 15:40:
Meh, je kan zelfs een L2TP connectie met een PSK doen als je wilt.
Volgens mij ondersteunt ScreenOS dat ook al weer een tijdje.


@ hieronder: da's niks bijzonders hoor.

Vanuit de Juniper firewall? (Deze is door een ander bedrijf geleverd; zij hebben ook configuratiebestanden aangemaakt voor gebruik door thuiswerkers. Dat gaat via een applicatie die geïnstalleerd moet worden.
Heb me daar zelf nog niet in verdiept. Voor zover ik weet is die applicatie altijd nodig om een VPN te maken, en ze willen blijkbaar geen software installeren op hun PC. OpenVPN installeer en onderhoud ik dan weer zelf.)

@The Eagle
Sja.... inderdaad had ik wel wat meer specificaties willen horen. Heb er ook om gevraagd, wacht daar nog op.

Ze moeten inbellen om een bepaalde applicatie te beheren, waarschijnlijk zijn ze gewend dat op een bepaalde manier te doen en houden ze zich (of houdt hij zich) verder niet met de technische kant van het netwerk bezig.

(Even terzijde: ik werk in het MKB; bij grotere bedrijven heb je de hopeloos bureaucratische constructie dat je voor vraag A bij de "netwerkbeheerder" moet zijn en voor vraag B bij de "applicatiebeheerder". En wat is een login op een server? Een netwerk- of een applicatiebeheerderstaak?)

Is er eigenlijk een algemeen gebruikte standaard? Ik kom van alles tegen, maar alles schijnt wel een nadeel te hebben:

PPTP (Windows server of router)
Juniper / Netscreen (+client)
OpenVPN

(Om maar niet te spreken van site-to-site VPNs (meestal IPSec).)

[ Voor 44% gewijzigd door pinockio op 26-06-2009 16:42 ]

alt-92 schreef op vrijdag 26 juni 2009 @ 21:44:
[...]

dat zal de Netscreen Remote client wel zijn, een custom VPN client met managementsoftware erbij (bijvoorbeeld om die configfiles te distribueren).
(...)
Ga anders ook even in overleg met je netwerkbeheerder (die de Junipers configt) voor een passende oplossing, en vraag voor de zekerheid ook even aan je softwareleverancier waar die PC zich bevind.
Dit in verband met Nat traversal van ipsec verbindingen enzo wat wel eens problematisch kan zijn.

Remote client: klopt.
Netwerkbeheerder: liever niet (duur, niet flexibel, bovendien... waarschijnlijk keuze tussen site to site of Netscreen Remote client).
Nat traversal ipsec: precies wat ik bedoelde met die opmerking over routers die er niet mee om kunnen gaan --- daar had ik over gelezen. Dat de PC van de softwareleverancier achter een NAT router zit: 99 % zeker, ken jij veel bedrijven waar ze PC's direct op internet zetten?

DiedX schreef op vrijdag 26 juni 2009 @ 22:00:
Kijk eens naar http://www.shrew.net/. Daarmee heb ik een Juniper draaiend gekregen. Het liefst heb ik OpenVPN, maar echt onderbouwd is dat niet.

Sja, dat is een client, en dat willen ze niet. Client? --- dan zou ik OpenVPN nemen.

Kortom, het zal wel PPTP (128 bits encryptie, best) worden.

alt-92 schreef op vrijdag 26 juni 2009 @ 23:10:
Dan heb je nog steeds medewerking van je netwerkpartij nodig want op die Junipers moet dan nog het één en ander aangepast worden om daar PPTP passthrough op aan te zetten.

Gelukkig hebben we twee internetverbindingen; de andere gaat over een Draytek router die ik volledig kan beheren. Het zal dan dus wel PPTP worden over die verbinding.

raymonvdm schreef op vrijdag 26 juni 2009 @ 23:16:
Je zou nog een firewall rule in je firewall wal kunnen overwegen vanaf het ip van de leverancier naar de server toe., Voor alleen poort 3389 ?

Verder doet windows toch ook al een tijdje IPsec? (L2TP)

Je bedoelt dus RDP (zonder VPN). Dat zou ook kunnen maar wordt wel ontraden.
L2TP: zie boven; problemen met NAT traversal. Toch wil ik wel eens kijken of ik dat aan de praat kan krijgen.
How to configure an L2TP/IPsec server behind a NAT-T device in Windows Vista and in Windows Server 2008
http://www.windowsecurity...SSL-VPN-Server-Part1.html

[ Voor 18% gewijzigd door pinockio op 27-06-2009 10:02 ]

Met die client lukt niet (Netscreen) omdat ze al een verbinding hebben (met een ander netwerk) via die client, en het lukt niet om de instellingen van "onze" verbinding erbij te zetten - dan werkt de oorspronkelijke verbinding niet meer, en die van ons ook niet! Nogal een beperking van die client dus.

RDP: tot nu toe werkt de firewall rule niet om alleen vanaf een bepaald IP verbinding te maken. Ondanks allerlei pogingen lukt het vanuit elk IP.

PPTP: zelfs dat lukt niet ondanks een port forward op zowel modem als router.

Kan zijn dat dit te maken heeft met het feit dat het om NAT over NAT gaat (zyxel modem - draytek router). Hoogst irritant bij elkaar.

Ik denk dat ik om te beginnen maar een ander modem plaats, en wel om twee redenen:

1. ADSL2 - voor meer snelheid.
2. Bridging.