SSL VPN

Ik ben wel benieuwd waarom je een SSL site-2-site VPN zoekt. waarom geen IPsec site-2-site VPN..

En wil je persee een alles-in-een doos, of ga je ook akkoord met 2 devices van het zelfde merk.

SSL site-to-site zou ik nu ook niet echt doen.

Maar ik kan je zeker en vast een Fortigate (van Fortinet) aanraden.
Deze hebben een ingebouwde SSL-VPN oplossing. Je client kunnen surfen naar het toestel, en zo vanop een webpagina een SSL-VPN opstarten.

Wij hebben al reeds heel wat Fortigate geplaatst bij verschillende klanten en zijn daar heel tevreden over.

zoals het dichtgooien van poorten etc.

Dat gebeurt op de firewall op de VPN endpoint, dus is voor ipsec en ssl gelijk.

daarnaast meldt men mij dat SSL VPN stabieler is dan IPSec VPN.

SSL kun je wat makkelijker door firewalls en dergelijke heen sjorren, maar heeft wat meer overhead. Aangezien je het over een vaste verbinding hebt hoef je die firewall maar 1x in te stellen, en niet zoals bij een road-warriour door allerlei exotische accespoints die her en der op de wereld staan. Ik vermoed dat daar de uitspraak vandaan komt.

We hebben hier een Sonicwall Aventail SRA EX-750. Qua mogelijkheden een prima ding, er zit alleen een grote ontwerpfout in de hardware van dat ding: een moederbord die geen auto-poweron ondersteunt. Heel erg handig als dat ding een reboot nodig heeft terwijl dat ding in een datacenter hangt en jij op kantoor zit.

Persoonlijk ben ik overigens geen voorstander van VPN over TCP. Ik heb inmiddels ervaring met IPSEC, OpenVPN en bovenstaande appliance. Van die 3 is de appliance het makkelijkste, werkt OpenVPN een stuk sneller en vrijwel altijd en is IPSEC het snelste van de 3. Het probleem met IPSEC vind ik dat het extreem onbetrouwbaar is zodra er NAT-zooi om de hoek komt kijken.

Hmm ik zou dit soort dingen niet gaan hobby boppen binnen een bedrijf, als je het zelf gaat doen. Kijk goed rond, informeer naar de bevindingen. Indien je niet geheel zeker van je zaak bent is het mischien te hoog voor je gegrepen en zou ik je adviseren het over te laten aan een externe partij.

Zijn er geen cisco oplossingen voor dit vraagstuk.
Astaro ken ik alleen als transparant proxy, en het andere model ken ik helemaal niet.

Move PNS > NT
Echter verwacht ik wel wat meer input van de TS ... zeker de eerste post verdient geen schoonheidsprijs.

Verwijderd schreef op woensdag 28 april 2010 @ 13:56:
Ik wil inderdaad een alles in één box hebben. en het liefste redundant uitgevoerd.

ik heb mij laten vertellen, dat je met SSL site tot site veel meer aanpassingen kunt doen binnen de tunnel.
zoals het dichtgooien van poorten etc.

daarnaast meldt men mij dat SSL VPN stabieler is dan IPSec VPN.

Groet

Nou, niet om het e.o.a. maar het enige voordeel van SSL is dat het geen last heeft van meerdere NAT'ted verbindingen. En het zal misschien makkelijker zijn om op te zetten. Het opgeven van een endpoint IP en het importeren van een Certificaat zou voldoende moeten zijn.

Een nadeel is echter dat het veel hoger in het OSI model zit, en dus per waarschijnlijk minder snel is dan een IPsec VPN.

Poorten dichtzetten op de VPN tunnel realiseer je op de access list/firewall voor de VPN zelf. Dat geldt voor alle VPN's.

Maar goed: Je wil alles graag op 1 device, maar wel redundant.
Ik ben toch bang dat je je open moet stellen voor de mogelijkheid dat je niet een all-in-one apparaat gaat vinden die dat voor je doet, en dat je dus toch de taken moet splitsen naar 2 devices.

Omdat SSL VPN veel te veel overhead heeft. Voor het koppelen van vestigingen ben je veel beter uit met IPSEC of UDP tunneling. Voor thuisgebruikers heb je totaal geen controle op firewalls en NAT, dus dan is SSL VPN eigenlijk een van de weinige oplossingen.
Tunnelen over TCP is een van de meest inefficiente manieren van tunnels leggen. Je forceert foutcorrectie van TCP over alle protocollen die over de tunnel lopen, ook over niet TCP-verkeer.

Verwijderd schreef op donderdag 29 april 2010 @ 10:13:
En het voordeel wat ik vind van SSL VPN is dat het voornamelijk heel erg handig is voor thuisgebruikers en thuiswerkers. waarvoor zou ik ook niet mijn vestigingen koppelen via hetzelfde protocol?

ja maar dan gebruik je remote access vpn.

2 vestigingen aan elkaar: site to site IPsec VPN
medewerker naar kantoor: remote access SSL VPN of remote acess IPsec VPN.

Zo doet eigenlijk elk bedrijf het....