Toon posts:

Site to site VPN? EoIP?

Pagina: 1
Acties:

maandag 6 januari 2014 14:57

Acties:
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Topicstarter
Beste mede-tweakers,
Het bedrijf waar ik werk zit midden in de uitbreiding naar een tweede locatie. Op deze tweede locatie moet het bedrijfnetwerk beschikbaar komen, maar voordat ik mijn vraag stel zal ik eerst even een siutatieschets geven.

Locatie 1: (Hoofdlocatie)
  • 1 Mikrotik RB2011UAS-RM
  • 100/100 Glasvezel
  • VoIP Centrale (Asterisk in VM)
  • 4 Workstations
  • Ubiquity UniFi APs (2 stuks) (Controller als VM)
Nu is locatie 2 tevens een woonhuis, hier woont de directrice en haar kinderen. De bedoeling voor deze locatie is als volgt:
  • 1 Mikrotik RB2011UAS-RM
  • 1 Extreme Networks 24 of 48 poorts Gigabit switch
  • 2 UniFi Pro APs
  • 2 Workstations
  • 4 VoIP toestellen
  • 100/100 glasvezel
  • Wireless & Wired apparatuur voor de kinderen
De verdeling van het netwerk is als volgt:

VLAN 10: Corporate en Management
VLAN 20: Gast Gelimiteerd op 10/2
VLAN 30: VoIP
VLAN 40: Netwerk voor kinderen?

Nu heb ik mezelf in zitten lezen in verschillende mogelijkheden voor site-to-site VPNs, en hier ben ik verschillende dingen tegen gekomen.

Hierbij mijn vragen:
*Kan ik EoIP gebruiken als tunnel tussen de locaties en hoe veilig is dit?
*Wat is jullie aanraden voor een site-to-site VPN en waarom
*Wat is de beste manier om te zorgen dat de kinderen van de directrice op internet kunnen? Zonder dat we hierbij het bedrijfsnetwerk storen. (1 Studeert HBO, 1 middelbaar, dus je kan die niet zomaar op een 1/1 limiet zetten o.i.d.)

Bij deze alvast bedankt voor de hulp :)

PS. Ik ga er vanuit dat dit onder de criteria voor PNS valt, indien niet graag het topic naar NT verplaatsen

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

maandag 6 januari 2014 21:29

Acties:
  • alm
  • Registratie: September 2001
  • Laatst online: 19:29

alm

Ik zou een strikte scheiding aanbrengen tussen het zakelijke en privé netwerk op het thuisadres van de directrice. Je geeft niet aan of de aansluitingen op de beide adressen zakelijk zijn ofwel consumentenlijnen, dat is wel enigszins bepalend. Bedenk ook dat het vanuit een zakelijk aansluiting illegaal is om te 'downloaden', terwijl dat op een privé lijn wel is toegestaan ('uploaden' is dan weer niet legaal).
Voor een zakelijke verbinding geldt vaak dat vaste IP-adressen worden gebruikt, voor een privé lijn hoeft dit niet altijd het geval te zijn. Voor een VPN verbinding is het tenminste handig als de zakelijke locatie een vast IP-adres heeft, zodat een VPN verbinding vanuit de thuis locatie opgezet kan worden. Als beide verbindingen een dynamisch adres hebben dan wordt het wat lastiger...

maandag 6 januari 2014 21:36

Acties:
  • DutchITMaster
  • Registratie: Augustus 2004
  • Laatst online: 20-11 09:08

DutchITMaster

Pay peanuts, get monkeys.

Volgens mij gebruik je EoIP vooral bij wifi bridges maar dat durf ik niet hardop te zeggen . Maar ik zou het met een ipsec verbinding en firewall goed inrichten zodat alleen vlan 10 - 30 over de ipsec kan .

Netwerk Engineer

maandag 6 januari 2014 21:52

Acties:
  • FireWood
  • Registratie: Augustus 2003
  • Laatst online: 22:19

FireWood

Siekman schreef op maandag 06 januari 2014 @ 21:36:
Volgens mij gebruik je EoIP vooral bij wifi bridges maar dat durf ik niet hardop te zeggen . Maar ik zou het met een ipsec verbinding en firewall goed inrichten zodat alleen vlan 10 - 30 over de ipsec kan .
Let er wel op dat IPsec niet al te best is qua veiligheid: http://www.networkworld.com/community/node/22580
Zie dat de router ook openVPN ondersteunt. Deze heeft betere papieren.

Noobs don't use "F1", Pro's do, but they can't find the information they needed

maandag 6 januari 2014 21:54

Acties:
  • Afvalzak
  • Registratie: Oktober 2008
  • Laatst online: 31-08 12:02

Afvalzak

Zet jij mij even buiten?

Hier een iets nieuwer artikel erover:
https://www.bestvpn.com/b...-l2tp-vs-openvpn-vs-sstp/

Last.fm | Code Talks

maandag 6 januari 2014 23:59

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

FireWood schreef op maandag 06 januari 2014 @ 21:52:
[...]


Let er wel op dat IPsec niet al te best is qua veiligheid: http://www.networkworld.com/community/node/22580
Zie dat de router ook openVPN ondersteunt. Deze heeft betere papieren.
Dit artikel is ten eerste geschreven door iemand die z'n boek wil verkopen, en ten tweede komen al zijn 'problemen' voort uit verkeerd gebruik van het protocol, zoals het gebruiken van weak pre-shared-keys.
Afvalzak schreef op maandag 06 januari 2014 @ 21:54:
Hier een iets nieuwer artikel erover:
https://www.bestvpn.com/b...-l2tp-vs-openvpn-vs-sstp/
Dit artikel hangt de ene aanname aan de andere op, zonder daar een onderbouwing voor te geven. Het gaat er bijvoorbeeld van uit dat de NSA "iets" gedaan heeft om IPSec te verzwakken maar levert geen enkel bewijs.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 7 januari 2014 09:16

Acties:
  • Uberprutser
  • Registratie: Januari 2000
  • Laatst online: 22:50

Uberprutser

Precies wat CyBeR zegt; de beste man noemt "worst practices" als argument dat IPSEC onveilig zou zijn.
Een kluis sluit je ook niet af met een hangslotje die je bij je zusje van haar dagboek af gejat hebt.

En wat betreft het geleuter over de NSA; ze moeten een goede reden hebben willen ze jouw data interessant vinden om er uberhaupt wat mee te gaan doen.

Verder weinig aan al het bovenstaande toe te voegen.
Mocht locatie 2 belangrijk zijn kan je nog nadenken over op beide locaties een simpele ADSL verbinding als backup (erg optioneel).

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

dinsdag 7 januari 2014 11:31

Acties:
  • KoeKk
  • Registratie: September 2000
  • Laatst online: 24-11 19:11

KoeKk

Ballebek schreef op dinsdag 07 januari 2014 @ 09:16:
En wat betreft het geleuter over de NSA; ze moeten een goede reden hebben willen ze jouw data interessant vinden om er uberhaupt wat mee te gaan doen.
offtopic: maar ik dacht juist dat het geleuter over de NSA juist er over gaat dat zie er niet naar kijken of jouw data interessant is, maar pakken wat ze te pakken kunnen krijgen. Dit lijkt een beetje op het argument 'als je niets verkeerd doet dan heb je ook niets te verbergen', wat pure onzin is ;-)

Ontopic: Als je twee sites wilt koppelen via een normale internet verbinding zou ik altijd kiezen voor een IPSEC VPN. Uitzondering zou zijn als je een IP-VPN / MPLS netwerk oplossing hebt, maar dan heb je ook niet meer een normale internet verbinding :).

Elke site kan je met VLAN's in verschillende zone's verdelen en met de firewall tussen deze zone's het verkeer toestaan.

dinsdag 7 januari 2014 20:38

Acties:
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Topicstarter
Beide verbindingen zijn zakelijk. Op de hoofdlocatie ligt er een FTTH lijn van fieber met een /29 subnet en op de andere locatie een FTTH lijn van XS4ALL met één static IP adres.

Ik was nog niet op de hoogte van het feit dat downloaden niet mag over zakelijke verbindingen, maar hoe willen ze dat überhaupt controleren vraag ik me af, dat mag wettelijk toch niet (offtopic)

IPSec zat ik ook aan te denken, OpenVPN heb ik mijn twijfels bij omdat MikroTik dit alleen nog over TCP ondersteund, daar heb ik al genoeg gedonder mee gehad.

Alleen: Als ik een site-to-site VPN maak, moeten dan niet ook persé alle VLANs daar overheen?
Hoe zou ik met 1 IP het verkeer van de kinderen kunnen routeren over de XS4All lijn en de rest over de 'hoofdlijn'?

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 7 januari 2014 21:27

Acties:
  • alm
  • Registratie: September 2001
  • Laatst online: 19:29

alm

ShadowAS1 schreef op dinsdag 07 januari 2014 @ 20:38:
Beide verbindingen zijn zakelijk. Op de hoofdlocatie ligt er een FTTH lijn van fieber met een /29 subnet en op de andere locatie een FTTH lijn van XS4ALL met één static IP adres.

Ik was nog niet op de hoogte van het feit dat downloaden niet mag over zakelijke verbindingen, maar hoe willen ze dat überhaupt controleren vraag ik me af, dat mag wettelijk toch niet (offtopic)
Wettelijk mag je niet downloaden ook (via zo'n lijn). Bij een thuislijn kun je nog zeggen dat het voor thuisgebruik is, maar bij een zakelijke lijn is dat wat lastig.
IPSec zat ik ook aan te denken, OpenVPN heb ik mijn twijfels bij omdat MikroTik dit alleen nog over TCP ondersteund, daar heb ik al genoeg gedonder mee gehad.

Alleen: Als ik een site-to-site VPN maak, moeten dan niet ook persé alle VLANs daar overheen?
Hoe zou ik met 1 IP het verkeer van de kinderen kunnen routeren over de XS4All lijn en de rest over de 'hoofdlijn'?
IPSec is ook niet probleemloos. Wat is het probleem dat MicroTik alleen TCP ondersteund met OpenVPN?

VLAN's gaan normaal niet over een VPN tunnel, wat wel gebeurt is dat verkeer gerouteerd wordt tussen de VLAN's aan beide kanten van de verbinding.

Er zijn diverse mogelijkheden om het thuisnetwerk aan te sluiten, maar wat je niet wilt is dat je vanaf het thuisnetwerk bij het zakelijke netwerk kunt komen en dat het thuisnetwerk het zakelijke netwerk verstoord door alle bandbreedte op te gebruiken door p2p verkeer dat de Internet verbinding dichtdrukt. Dan wil je iets van traffic-shaping kunnen doen zodat je een bepaalde garantie van bandbreedte beschikbaar kunt stellen voor het zakelijke verkeer.

woensdag 8 januari 2014 00:38

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

ShadowAS1 schreef op dinsdag 07 januari 2014 @ 20:38:
Beide verbindingen zijn zakelijk. Op de hoofdlocatie ligt er een FTTH lijn van fieber met een /29 subnet en op de andere locatie een FTTH lijn van XS4ALL met één static IP adres.

Ik was nog niet op de hoogte van het feit dat downloaden niet mag over zakelijke verbindingen, maar hoe willen ze dat überhaupt controleren vraag ik me af, dat mag wettelijk toch niet (offtopic)
Dat is ook onzin.
IPSec zat ik ook aan te denken, OpenVPN heb ik mijn twijfels bij omdat MikroTik dit alleen nog over TCP ondersteund, daar heb ik al genoeg gedonder mee gehad.
TCP VPN's zijn ook kut en alleen nuttig om firewalls mee te omzeilen.
Alleen: Als ik een site-to-site VPN maak, moeten dan niet ook persé alle VLANs daar overheen?
VLANs zou ik nooit over een vpn doen. Gewoon routeren wat je wilt routeren.
Hoe zou ik met 1 IP het verkeer van de kinderen kunnen routeren over de XS4All lijn en de rest over de 'hoofdlijn'?
Policy Routing. (Meerdere routetabellen en rules om te bepalen welke gebruikt moet worden.) De vraag is: waarom zou je internetverkeer over een VPN willen sturen ipv het lokaal het internet op te droppen?

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 8 januari 2014 00:47

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Als kinderen ergens goed in zijn is overal op ja klikken en troep binnen halen die zichzelf mischien verder verspreid. Ik zou willen dat de laptop van de directrice iig op een ander vlan / subnet opereert dan de kinderen welke niet babbelen met elkaar, hooguit een uitzonding maken voor een printer oid

Iperf

woensdag 8 januari 2014 09:19

Acties:
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Topicstarter
fish schreef op woensdag 08 januari 2014 @ 00:47:
Als kinderen ergens goed in zijn is overal op ja klikken en troep binnen halen die zichzelf mischien verder verspreid. Ik zou willen dat de laptop van de directrice iig op een ander vlan / subnet opereert dan de kinderen welke niet babbelen met elkaar, hooguit een uitzonding maken voor een printer oid
Klopt, deze gaan ook sowieso in een ander VLAN
CyBeR schreef op woensdag 08 januari 2014 @ 00:38:
[...]


Dat is ook onzin.


[...]


TCP VPN's zijn ook kut en alleen nuttig om firewalls mee te omzeilen.


[...]


VLANs zou ik nooit over een vpn doen. Gewoon routeren wat je wilt routeren.


[...]


Policy Routing. (Meerdere routetabellen en rules om te bepalen welke gebruikt moet worden.) De vraag is: waarom zou je internetverkeer over een VPN willen sturen ipv het lokaal het internet op te droppen?
Het leek me in eerste instantie handig, maar als ik er nu even bij nadenk zou ik net zo goed kunnen zeggen dat alleen alles wat naar 10.0.0.0/24 moet over de VPN gerouteerd moet worden. Dan wordt het toch Dst address 10.0.0.0/24 Gateway: 10.0.0.1 (of VPN Interface, weet even niet zeker welke v/d twee)

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

woensdag 8 januari 2014 23:38

Acties:
  • DJSnels
  • Registratie: Juli 2009
  • Laatst online: 27-11 09:41

DJSnels

Kunnen de werkstations van de directie niet gewoon inbellen op een VPN server op je hoofdlocatie (Road-Warrior)?
Dan heb je op die locatie alleen nog wat VLANs nodig om de boel te scheiden en QoS te draaien :)

donderdag 9 januari 2014 01:16

Acties:
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Topicstarter
nee, want op de tweede locatie komen ook VoIP toestellen te staan die moeten verbinden met de PBX op de hoofdlocatie

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

donderdag 9 januari 2014 15:31

Acties:

Verwijderd

Of voip telefoonverkeer versleuteld moet worden is jouw keuze. Indien niet dan kun je in de firewall je telefooncentrale natuurlijk ook openstellen voor het ipadres van de 2e locatie en dan kunnen de telefoons gewon connectie maken.
Indien je je voip verkeer ook wilt versleutelen: er zijn voip telefoons met vpn functie. Yealink bijvoorbeeld ondersteund openvpn....

donderdag 9 januari 2014 21:10

Acties:
  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 26-09 08:28

pablo_p

Gebruik EoIP
Volgens mij is er geen eis dat het subnet aan beide kanten gedeeld moet worden. Een gerouteerde verbinding is dan veel beter (simpeler, stabieler, betrouwbaarder). Met firewall rules op subnet niveau is de gewenste scheiding en toegang tussen de subnets op de locaties makkelijk te regelen

Tunnelprotocol
Voor VoIP verkeer geldt normaal gesproken dat je het beter niet door een TCP VPN tunnel kan transporteren, dat is gevoeliger voor latency omdat er retransmissions plaats kunnen vinden waar VoIP verkeer niets aan heeft (je bent dan toch te laat, het stuk spraak is slecht/overstaanbaar geworden, je hebt niets aan gekuid van 4 seconden geleden). Nu is van glas-glas de latency zo laag en de betrouwbaarheid zo hoog, dat je hier praktisch gezien niet snel last van zult krijgen.

Technisch is IPsec of OpenVPN over UDP de meest geschikte oplossing voor VoIP over VPN.

Indien je wel op momenten packetloss hebt, werkt een UDP tunnel ook veel beter voor TCP, want TCP in TCP laat de performance helemaal instorten en heel langzaam op gang komen. Een TCP VPN tunnel is alleen aan te raden als je door NAT / proxies / firewalls heengaat en dan typisch voor individuele clients.

Scheiding van kinderen

Wat betreft de scheiding van de kinderen van de directrice, daar heb je de volgende mogelijke issues (lijst is vast niet compleet):
- bandbreedte gebruik (simpel op te lossen door ze te beperken tot bv 30/30 Mbit)
- router resources gebruik (torrents kunnen wel 1000+ sessies opzetten, simpele oudere routers storten dan in) (een fatsoenlijke router/firewall heeft daar geen last meer van)
- toegang van de kinderen/vriendjes van kinderen tot corporate netwerken (simpel mbv van firewall te regelen)
- problemen door illegaal/ongewenst gebruik (blacklisten door mailservers, blokkade provider, posts op fora lijken van een net bedrijf af te komen). Die kan je niet allemaal volledig technisch oplossen, dat moet je gewoon afspreken.

Jammer dat je niet daar een /29 subnet hebt in een klein huis waar 1 AP voldoet, dan zou ik gewoon een 40 euro routertje voor de kinderen neerzetten, dan tackel je in een keer alle bovenstaande issues.
Je kan alles wel logisch scheiden met gedeelde hardware, maar fysiek scheiden kan soms veel makkelijker zijn.

donderdag 9 januari 2014 21:43

Acties:
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Topicstarter
pablo_p schreef op donderdag 09 januari 2014 @ 21:10:
Gebruik EoIP
Volgens mij is er geen eis dat het subnet aan beide kanten gedeeld moet worden. Een gerouteerde verbinding is dan veel beter (simpeler, stabieler, betrouwbaarder). Met firewall rules op subnet niveau is de gewenste scheiding en toegang tussen de subnets op de locaties makkelijk te regelen

Tunnelprotocol
Voor VoIP verkeer geldt normaal gesproken dat je het beter niet door een TCP VPN tunnel kan transporteren, dat is gevoeliger voor latency omdat er retransmissions plaats kunnen vinden waar VoIP verkeer niets aan heeft (je bent dan toch te laat, het stuk spraak is slecht/overstaanbaar geworden, je hebt niets aan gekuid van 4 seconden geleden). Nu is van glas-glas de latency zo laag en de betrouwbaarheid zo hoog, dat je hier praktisch gezien niet snel last van zult krijgen.

Technisch is IPsec of OpenVPN over UDP de meest geschikte oplossing voor VoIP over VPN.

Indien je wel op momenten packetloss hebt, werkt een UDP tunnel ook veel beter voor TCP, want TCP in TCP laat de performance helemaal instorten en heel langzaam op gang komen. Een TCP VPN tunnel is alleen aan te raden als je door NAT / proxies / firewalls heengaat en dan typisch voor individuele clients.

Scheiding van kinderen

Wat betreft de scheiding van de kinderen van de directrice, daar heb je de volgende mogelijke issues (lijst is vast niet compleet):
- bandbreedte gebruik (simpel op te lossen door ze te beperken tot bv 30/30 Mbit)
- router resources gebruik (torrents kunnen wel 1000+ sessies opzetten, simpele oudere routers storten dan in) (een fatsoenlijke router/firewall heeft daar geen last meer van)
- toegang van de kinderen/vriendjes van kinderen tot corporate netwerken (simpel mbv van firewall te regelen)
- problemen door illegaal/ongewenst gebruik (blacklisten door mailservers, blokkade provider, posts op fora lijken van een net bedrijf af te komen). Die kan je niet allemaal volledig technisch oplossen, dat moet je gewoon afspreken.

Jammer dat je niet daar een /29 subnet hebt in een klein huis waar 1 AP voldoet, dan zou ik gewoon een 40 euro routertje voor de kinderen neerzetten, dan tackel je in een keer alle bovenstaande issues.
Je kan alles wel logisch scheiden met gedeelde hardware, maar fysiek scheiden kan soms veel makkelijker zijn.
Klopt, maar er is daar maar 1 lijn, en ze wil t graag zo goedkoop mogelijk houden.

Aan beide kanten staan zoals gezegd al 2 MikroTiks die makkelijk torrents kunnen hebben, en op de tweede locatie kan ik maar 1 IP krijgen, XS4All wil geen 2e of /29 leveren

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 10 januari 2014 08:17

Acties:

Verwijderd

je kunt wel IPv6 krijgen bij Xs4all toch? misschien kun je daar nog iets mee, zeker als je op de 1e locatie ook IPv6 kunt krijgen. Zelfs al gebruik je het alleen maar voor de telefonie, dan kunnen de computers wel vpn over IPv4 gebruiken...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq