VPN Appliance

Ik denk niet dat je echt een zero-config oplossing hebt. Het makkelijkste lijkt mij een pfSense box met een Site-To-Site verbinding naar je main office.

Ik kan wat ShadowAS1 zegt beamen, ik heb een hoop klanten met een SLA en maintenance contract en die krijgen een pfSense geinstalleerd die een site-to-site geconfigureerd heeft met mijn hoofdlocatie. Van daaruit (en van thuis uit) kan ik héél eenvoudig verbinding maken met éénder welke klant en kan perfect geregeld worden wie waartoe toegang heeft. Een pfSense kan al gebouwd worden voor een paar honderd euro en is zeer stabiel (uptimes van > anderhalf jaar zijn geen uitzonderingen). De configs zijn vrij éénvoudig en éénmaal ingesteld heb je er geen omkijken meer naar.

applianceshop.eu is een reseller van kant en klare pfsense appliances, iets duurder dan zelfbouw maar nog altijd perfect betaalbaar

Heeft Zyxell niet een dergelijk mechanisme ingebouwd in zijn Zywall serie?

De nieuwe ZyWALL serie biedt verder een auto-provisioned client-to-site IPsec VPN setup. Het eenvoudige zero configuration (zeroconf) remote access mechanisme is uitermate gebruiksvriendelijk en eenvoudig uit te voeren. Bij ZyXEL’s IPsec VPN client software zit een wizard die eenvoudig en automatisch een VPN-configuratiebestand ophaalt uit de remote ZyWALL VPN Firewall, zodat IPsec VPN verbindingen binnen drie eenvoudige stappen worden opgezet. BYOD De ZyWALL zorgt voor een veilige BYOD (Bring Your Own Device) omgeving.

Voor de prijs die je betaald bij die shop kun je toch gerust voldoende spares inkopen en op de plank leggen. Ik heb momenteel een 60-tal zelfbouw appliance in productie en de jongste is al 2 jaar in dienst. Down-time nihil als je tenminste de correcte onderdelen kiest. SLC flashstorage (4GB is voldoende) en eerst ff stresstesten voor je ze uitrolt.

Voor een drietal echt veeleisende klanten heb ik zelfs pfsense clusters op locatie draaien, is ook vrij éénvoudig op te zetten en zo haal je perfect hoge uptimes en SLA's.

[ Voor 20% gewijzigd door ItsValium op 06-02-2014 13:26 ]

Voor Cisco routers heb je een Plug-and-Play Gateway waarmee je automatisch routers en andere apparatuur kan provisionen. Als er alleen remote access info over gaat, kan je kijken naar een 881 router of ASA5505, die je deployed via Prime Infrastructure Plug-and-Play Gateway. Voor lastige locaties kan je kijken naar een 819 router met LTE of 3G radio.

Een goedkopere, veel makkelijker te beheren oplossing is Meraki, waarbij je Z1 remote office appliances of MX60 appliances gebruikt bij je klanten. Op beide appliances zit een USB poort waar je een 3G/4G USB dongel in kan plaatsen als primaire of backup internet link.

Cisco routers zijn ook beschikbaar met verschillende interfaces zoals ADSL2/VDSL2. ASA's en Meraki security appliances hebben alleen ethernet interfaces. Welk doosje gebruikt maakt niet zoveel uit: Eenvoudig management is waar je op moet letten. Voor grotere omgevingen zijn het doosje en netwerk management vaak losse componenten.

Als je het zo makkelijk mogelijk wilt houden, in mijn voorbeeld met pfSense, dan zet je een 'standaard' config op. Die export je. En die import je op het remote office, lijkt mij een paar minuutjes werk, hooguit een subnetje aanpassen, auto provisioning kan natuurlijk ook maar is wel duurder.

Overigens hoeft pfSense niet persé B-merk te zijn ofzo. Het draait prima op een HP, Dell of ander merk server. (moet ik wel meegeven dat ik de voorkeur geef aan VMWare vanwege pfSense haar issue's met sommige veelgebruikte broadcom NICs die HP en Dell heel graag gebruiken in hun servers)

Als het een device is wat je managed kan je ook software zoals N-Central van N-Able gebruiken, dat pakket bezit een tunnel techniek waarmee je het device (veilig) kan overnemen en beheren.

Een klant heeft van voor een toeleverancier een Genua Genubox staan (http://www.genua.eu/produkte/genubox/index.en.html). Deze staat in het LAN, maakt zelf een VPN verbinding naar de toeleverancier (Door 'mijn' firewall heen).

Voor zover ik weet maakt de toeleverancier verbinding met de genubox en dan naar hun uiteindelijke applicaties server via RDP.

Ik heb alleen geen idee hoe het er uit ziet en hoe stabiel het werkt. Maar dat is vast met een demo te achterhalen .

Geheel vanuit een andere hoek hoor, maar is het een idee om eens te kijken naar een goed managed service pakket? Denk aan Kaseya/Labtech etc. Die hebben geen VPN nodig maar enkel een poortje of 2 open naar buiten op de firewall van de klant. Krijg je ook gelijk patch management, audit enz enz.

Astaro red 10 is zero configuratie.
Of gfi max / centra stage gebruiken