Opzetten Server-Site VPN

De SBS server hangt verder zonder firewall aan het internet dus? Niet echt handig. Anyway, wat is je budget? Wil je het via de SBS blijven doen? Of geld investeren in een meer robuuste oplossing?

Volgens mij is het overigens ook wel mogelijk dit goed aan het werkt te krijgen via de SBS server. Ik snap ook niet helemaal waarom er met een loopback gewerkt wordt. Wij hebben tijden een VPN tussen twee windows bakken gehad welke verder gewoon transparant voor de machines is. Gewoon twee subnetjes waartussen je route. Dus, wil je het probleem van de huidige VPN oplossen? Of zoek je een oplossing met bv Cisco?

Wil je eigenlijk wel afhankelijk zijn van één server voor een heel bedrijf?
Zou je daarom niet (en ook om logins sneller te laten lopen), lokaal domain controlers neerzetten.

Verder zou ik ook voor een andere VPN oplossing zoeken waarbij je dus route tussen je subnetten.

Emtrix schreef op donderdag 24 december 2009 @ 09:14:...exotisch...

Valt wel mee hoor. Er zijn zat andere partijen die op eenzelfde manier doen. Waaronder mijn eigen bedrijf. En het kan goed en veilig.

In jouw geval, als er geen firewall aanwezig is op de colo (van de service provider of bijvoorbeeld ISA server op jullie colo server) zou ik IPsec inzetten voor zowel de VPN als de algemen beveiliging van de colo server.

Voordeel is dat je dan niet met een apart VPN subnet hoeft te werken zoals bij PPTP het geval is. Nadeel is dat je of statische IP adressen aan de bedrijfsvestiging kant nodig hebt of met certificaten moet gaan werken. In het laatste geval zal je dus ook een PKI op moeten zetten.

Als je wel met (een) apart(e) VPN subnet(ten) wil werken dan zal er gerouteerd moeten worden tussen de subnetten. Maar dit is behoorlijk bewerkelijk op een server vanaf de commandline. En dan blijft nog het stuk veiligheid over. Als er dus niet één of andere firewall aanwezig is dan kun je eigenlijk alsnog niet om IPsec heen voor het afschermen van verkeer van buitenaf. Gelukkig heb je daarvoor geen PKI omgeving nodig.

Zo zijn volgens mij velen begonnen

Nu zou ik echter gewoon wat cisco firewalls neerzetten. Als je minder dan 10 locaties hebt zou ik een simpele ASA5505 neerzetten op elke locatie, en site-to-site ipsec VPN's opzetten tussen de locaties. Voordeel is dat je netwerkconnectiviteit gescheiden is van je servers, en dat is qua onderhoud en troubleshooting een heel stuk makkelijker. Je SBS heeft dan nog maar 1 enkele NIC met een enkel ip'tje..

Wil je verschillende locaties aan een hoofdlocatie hangen dan kan je kijken naar een ASA firewall.
(Bijvoorbeeld een 5505 op bijlocaties en een 5510 op de hoofdlocatie.)

Dit is handig als je een dedicated security box nodig hebt met alleen ethernet poorten.

Heb je verschillende typen WAN lijnen (ADSL / SDSL / Ethernet) en ga je in de toekomst VoIP / Unified Communications uitrollen, dan kan je beter naar ISR routers kijken.
Ook hiermee kan je firewallen en VPNen. ISR routers ondersteunen DMVPN.

Bel je via VoIP tussen 2 bijlocaties (of ander netwerkverkeer), dan wordt er dynamisch een tunnel opgezet tussen deze 2 locaties. ( In plaats van dat al het verkeer eerst via de hoofdlocatie loopt. ) Dit scheelt jitter en latency, wat belangrijk is bij VoIP.

Daarnaast kan je de ISR routers uitrusten met modules voor extra services. (Vanaf een 2811 oud / 2911 nieuw)

Als je LAN-like performance via het WAN wil hebben, dan moet je aan WAN optimalisatie denken.

Bekende fabrikanten zijn Cisco WAAS, Riverbed en Bluecoat.

TCP verkeer moet om de paar pakketten een acknowledgment hebben. Wanneer je latency op de lijn hebt, heeft dit een directe impact op de max. throughput die je kan halen.
WAN optimalisatie producten lossen dit op een TCP proxy te gebruiken. TCP krijgt daardoor de performance van UDP. Dit is vooral belangrijk bij CIFS / Windows filesharing, omdat dit erg chatty verkeer is. ( Een hoop kleine packets om een bestand te versturen. )

Men doet ook aan caching. ( Niet op file basis maar op basis van bitpatronen. )
Alleen wijzingingen worden over de lijn verzonden.
Daarnaast comprimeert men het netwerkverkeer.

Cisco WAAS integreerd mooi met hun ISR routers. De WAAS software op een module in hun routers.
Voor grotere omgevingen hebben ze ook losse appliances.

Riverbed is technisch gezien verder dan Cisco.

Cisco WAVE appliances draaien naast WAN optimalisatie, ook Windows 2008 server.
Deze staat dan op de bijlocatie en kan je inrichten voor zaken als DHCP, DNS, AD en Print services.
Al het andere verkeer loopt dan via het WAN.

Bij Riverbed kan je naast WAN optimalisatie software ook ESX draaien.
Je kan dan tot 5 VM's op de Riverbed appliance draaien.
Voor zaken als DHCP, DNS, en Print services kan je Windows server of Linux inrichten.

Ook kan je virtuele appliances draaien van bijvoorbeeld Check Point voor firewalling / VPN en Websense voor URL filtering / Websecurity. Je hebt dan nog wel een routertje om je ADSL / SDSL lijn te termineren.

Voor thuiswerkers hebben zowel Riverbed, als Cisco Mobiele oplossingen.
Je installeert dan een client op de laptop en al het verkeer tussen de laptop en de colo wordt dan geoptimaliseerd.

We maken veel gebruik van zywalls.
Een zware 1050 of zywall 70 op de colo (ligt aan het aantal verbindingen) en op de locaties zywall2's of gecombineerde modem/routers (prestige 334)

Draait al jaren als een zonnetje!
Simpel, niet duur en door iedereen makkelijk te onderhouden via een standaard adsl abbo.

Naast wat

Bl@ckbird schreef op donderdag 24 december 2009 @ 16:28:
Wan optimalisatie

Is er ook Exinda.

Naast alle eerdere genoemde Cisco en Zywall hardware oplossingen is er ook de SonicWALL TZ100 voor de bijvestigingen en een NSA 240 voor de cololocatie prima voor site2site vpn. Stapje groter en racked is de NSA 2400. Vooral de TZ serie biedt veel waar en functionaliteit out of the box in een Total Secure pakket voor die prijs

[ Voor 3% gewijzigd door PcDealer op 28-12-2009 19:52 ]