IPSEC VPN-router i.c.m. met SBS2011 als DHCP server

Beste Tweakers,

Ik ben verantwoordelijk voor de ICT-voorziening binnen een kleine onderneming, ik ben niet opgeleid als IT-er maar als jurist, ik ben echter de enige met computerkennis en heb eigenlijk zo'n beetje de taak op mij genomen om de IT-voorziening die op sommige punten écht wel verbetering behoeft wat te verbeteren.

Tot eergisteren maakten wij gebruik van een TL-R600VPN router om te voorzien in cliënt to site VPN-verbindingen.
Nu is het zo dat er al een tijdje het voornemen bestond om de TL-R600VPN te vervangen door een exemplaar dat veilige VPN-protocollen ondersteunt; de ontdekking van een backdoor in de TL-R600VPN (HW Ver. 1) heeft dit in een stroomversnelling gebracht.

Het bedrijfsnetwerk bestaat uit één SBS2011 server (IP=192.168.0.2,) die o.a. optreedt als DHCP- en DNS-server, zo'n 10 Windows cliënts en enkele laptops en dus één TL-R600VPN (IP=192.168.0.1) allen werken dus binnen het 192.168.0.1/24 subnet.
De DHCP server v.d. TL-R600VPN is uitgeschakeld, In de SBS2011 server is de IP-range 192.168.240 t/m 192.168.0.250 uitgezonderd van toewijzing, deze IP-range werd gebruikt door de PPTP server v.d. TL-R600VPN voor toewijzing van ip-adressen aan de VPN-clients. Tot zover een overzichtelijke setup.

Mijn vraag is de volgende:
Als ik een Cisco RV320 of één LRT224 aanschaf met als doel om cliënt to site VPN-verbindingen met gebruikmaking van IPSEC (dus geen PPTP [server]!) te bewerkstelligen, hoe kan ik er dan voor zorgen dat de toewijzing van IP-adressen aan de VPN-cliënts ofwel door de SBS2011 gebeurt ofwel, net als voorheen, er een IP-range gebruikt wordt die in de SBS2011 is uitgezonderd van toewijzing.
Dit zodat er géén conflicten onstaan m.b.t. tot de toewijzing van ip-adressen en de VPN-cliënts dus normaal (IPSEC VPN) verbindingen kunnen maken met het bedrijfsnetwerk.

Ik heb zelf de handleiding van de RV320 doorgespit, de online emulatoren van zowel de RV320 en de LRT224 bekeken, rondgekeken op het supportforum van Cisco, alsook op GoT gezocht maar kom er niet uit.
Het enige wat ik kan bedenken is dat ik de DHCP in de toekomstige VPN-router gebruik maak van de DHCP-relay function en dan het IP-adres van de SBS2011 invul, kan dit en gaat het zo werken of niet? en zo nee, hoe kan ik er voor zorgen dat het wel vlekkenloos gaat werken.

Voor het gemak is hier de administration guide v.d. Cisco RV320 router te vinden:
http://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv320/administration/guide/en/rv32x_ag_en.pdf

De volgende link brengt je naar de user manual van de Linksys LRT224 router:
http://downloads.linksys.com/downloads/userguide/1224699606435/MAN_LRT214-LRT224_8820-01696_RevC00_User_Guide.pdf


Ik hoor graag van jullie: alvast heel erg bedankt,

Ximon schreef op woensdag 11 maart 2015 @ 14:57:
[...]


Die keuze is aan jou; je kan het VPN apparaat de IP-adressen laten toewijzen of dat door de SBS Server laten doen. Als je het netwerk waar de cliënten op terecht komen wilt scheiden van het kantoornetwerk (bijvoorbeeld d.m.v. een VLAN) is het handig om het VPN apparaat de adressen te laten uitdelen. Als dat niet hoeft is het misschien makkelijker om de SBS server dat te laten doen i.v.m. alles op 1 plek beheren. Overigens lijkt ook SBS 2011 met RRAS een IPSec VPN te kunnen afhandelen.

Ik wil graag dat de VPN-cliënts gewoon binnen het "normale" bedrijfsnetwerk vallen, ik begrijp uit je reactie dat het dan zaak is om de SBS 2011 server de IP-adressen toe te laten wijzen.

Klopt het dat de beide door mij genoemde VPN-routers wanneer gebruik gemaakt wordt van een IPSEC-VPN verbinding dus geen mogelijkheid hebben om zelf ip-adressen toe te wijzen binnen een bepaalde range, zoals we dat met de PPTP-server van de oude VPN-router deden?

En hoe krijg ik de SBS2011 server zo ver dat deze IP-adressen toewijst aan de VPN-cliënts? Is dat een kwestie van gebruik maken van de DHCP-relay function waarbij ik dan het IP van de SBS Server invoer?

Of werkt DHCP-relaying alleen wanneer sprake is van verschillende (sub)netwerken?

Ximon schreef op woensdag 11 maart 2015 @ 16:28:

Wat ik bedoel is dat de SBS server niet gebruikt moet worden als je niet wilt dat VPN clients toegang hebben tot het normale kantoornetwerk.

Dat had ik begrepen ja.

Als je dat wel wilt kan je kiezen tussen SBS of het VPN device. De eerste is wat overzichtelijker, het tweede gebruiken houdt de netwerkconfiguratie iets simpeler. Ik heb snel de handleidingen doorgelezen en volgens mij moet beide mogelijk zijn en ook met allebei de apparaten, maar hoe precies zou ik je niet kunnen vertellen.

Ja dat is het hele probleem ik kom er ook niet uit en jij hebt er véél véél meer verstand van dan ik heb.

Misschien is het verstandig te overwegen hiervoor een IT-bedrijfje in te huren,

Ja ehm nee, Het enige probleem is dus dat ik niet weet hoe het moet met het verstrekken van de IP-adressen i.c.m. met de SBS server die als DHCP optreedt. Daar moet toch gewoon zelf uit te komen zijn d.w.z. zonder dat ik hiervoor een IT-bedrijf inhuur.
Bovendien: voor bijvoorbeeld het configureren van een client to site IPSEC VPN verbinding heeft Cisco zelfs videos online geplaatst dus ik denk dat het DHCP gebeuren het enige zal zijn waar ik wat bijstand bij nodig heb. Het lijkt mij dan zonde om hiervoor geld uit te geven tenzij het écht niet anders kan, komt nog bij dat ik in de loop der jaren juist zo veel over IT geleerd hebben door het zelf te willen doen het zelf uit te zoeken en ervan te leren.

mocht dat geen mogelijkheid zijn kijk dan in ieder geval hoe je de oude en nieuwe VPN devices naast elkaar kan laten draaien zodat er in ieder geval geen big bang-migratie nodig is.

Nouja het vervangen van de VPN router is in die zin niet zo'n heel groot probleem omdat deze achter een KPN modem/router draait en de DHCP en DNS services zoals eerder gezegd door de SBS server verzorgd worden.

Ik wil je in iedergeval wel bedanken voor de hulp tot nog toe dat waarder ik zeer

Mocht er nog iemand ideeën hebben dan hoor ik dat graag, er zijn namenlijk een aantal ongeduldige collega's die hun VPN-verbinding héél erg missen en z.s.m. weer op afstand willen kunnen werken.

Maar dat moet dan wel goed en veilig kunnen dus geen PPTP meer....

Edit
Ik heb nog een webpagina gevonden m.b.t. de RV32X series van Cisco die geheel gewijd is aan "DHCPv4 Configuration and Monitoring on RV32x VPN Router Series" op deze pagina staat het volgende vermeld m.b.t. de DHCP-relay functionaliteit:

• DHCP Relay — Router passes DHCP requests to another DHCP server and forwards the DHCP replies of the server. It does not do any IP addressing to devices. To finish the configuration it is only needed to enter the IPv4 address of a DHCP server in the Remote DHCP Server field and continue to Step 14.

Dan lijkt het er toch op dat de DHCP-Relay fuctionaliteit bedoeld is in casu de SBS Server te laten fungeren als DHCP Server, of niet?

[ Voor 15% gewijzigd door Rubén89 op 11-03-2015 20:58 . Reden: onderstreping ]