Active Directory verkeer via VPN tunnel

Euh... Alle ports & protocols zijn bekend dus die moet je "effe" doorsturen.

Moet je je alleen afvragen wat je precies wil; staat er op de andere lokatie een DC/RODC? Heb je roaming profiles en waar staan die opgeslagen? Wat doe je met printing? DFS? Etc...

Hoe bedoel je?

Er lgt niemand in op die 60 machines? Ze slaan niks op? Ze hebben geen mail? Iedereen local admin per PC? Niemand kan aanloggen als de VPN down is?

Is het een idee om eerst te bedenken wat je wil realiseren? En wat is "Active Directory verkeer"?

Je hoeft niks bijzonders in te stellen. Zorg dat je de Domain Controller(s) als DNS servers op de clients instelt, en alle informatie halen ze dan zelf wel uit DNS.

downtime schreef op maandag 19 februari 2018 @ 22:59:
Je hoeft niks bijzonders in te stellen.

AD != DNS...

Vraagstelling uit de startpost geen 0 houvast voor enige oplossing/inrichting.

mgizmo schreef op maandag 19 februari 2018 @ 23:04:
[...]


Zijn de dns servers dan via internet benaderbaar? Ik denk dat je zijn openingspost niet goed hebt gelezen.

Hij gaat een VPN opzetten en wil weten hoe zijn clients daarna de AD servers gaan vinden. En DNS is het antwoord. Toch?

MAX3400 schreef op maandag 19 februari 2018 @ 23:06:
[...]

AD != DNS

DNS is een vereiste voor AD.

Buiten de poortjes die je wel en niet wilt openzetten (ga je dan ook packet inspection doen om te kijken of het poortje wel gebruikt wordt voor wat je denkt?) zal je ook op AD iets moeten doen. Denk aan sites etc inrichten.
https://blogs.technet.mic...9/sites-sites-everywhere/

En neem dan ook gelijk het volgende artikel door als toch blijkt dat je clients wat trager aanvoelen dan normaal. https://social.technet.mi...and-slow-logons-sbsl.aspx

downtime schreef op maandag 19 februari 2018 @ 23:13:
[...]

Hij gaat een VPN opzetten en wil weten hoe zijn clients daarna de AD servers gaan vinden. En DNS is het antwoord. Toch?


[...]

DNS is een vereiste voor AD.

Hij vraagt welk verkeer door de tunnel heen moet om alleen AD verkeer toe te staan. MAX3400 stelt dus de juiste vragen om mee te beginnen, maar de TS lijkt bij mij niet over te komen alsof dit herkenbare termen zijn.

AD verkeer is maar net wat je wenst dat werkt. Het omvat zoveel, DNS is daar niet een van.

ponyrijden schreef op maandag 19 februari 2018 @ 22:49:
Heel veel dank voor diegene die de gouden tip heeft!

De ouden tip... Begin er niet aan... Er komt namelijk heel wat meer bij kijken dan wat je hier nu even neer zet.

Ik zou eerder een RODC op die locatie neer zetten icp een IPSEC VPN Tunnel.

ponyrijden schreef op woensdag 21 februari 2018 @ 11:04:
Er kan geen fysieke server neergezet worden ivm geluidsoverlast want het is een compact call center met de patchkast letterlijk 1 meter naast de eerste bellers. Dus dat is geen optie.

Een RODC (met wat lokale storage voor profiles, printing, etc) kan je op een Intel NUC installeren; die zijn bijna geluidsloos.

Ik wil dat al het ad verkeer over de pfsense site to site laten lopen dus ook dan roaming profile en bijvoorbeeld programma's pushen.

En over hoeveel user-data en applicaties gaat het per aanlogmoment dan? Want als je profile 100MB is (niet ongebruikelijk) en je IPSec is 256Kbit, dan zit je rustig minuten te wachten voor je uberhaupt iets kan doen. Of heb je mandatory profiles zonder de mogelijkheid om eigen settings/documenten te huisvesten?

En wat is "programma's" pushen? Adobe Reader unattended via een GPO naar de werkstations mikken? Of WIM-images? Ook hier; over hoeveel data, hoe vaak en hoe lang gaat het?

Je kan in de firewall best goed aangeven welke protocollen en porten er wel en niet doorheen moeten. Dus bedankt voor dat lijstje! Iemand hier eerder zo ervaring mee gehad?

Zeker, Microsoft heeft daar enorme whitepapers voor.

@ponyrijden

Je moet even rekening houden met je gewenste functionaliteit.

Alleen een aanmelding op een Active Directory (Computers & Users) verschilt van daarnaast ook nog eens gebruik maken van een roaming profile, of folder redirection, of software deployment. Alle verkeer wil jij over je lijn gooien. DAt is prima als je een 1Gbps vaste verbinding hebt, maar niet zo tof als dit een VPN over een 10Mbps Internetverbinding is.

Dan kan je wel wat lokaal cachen. Bijvoorbeeld een RODC (Read Only Domain Controller) welke zorgt voor een lokale aanmelding op Domain. Een lokale File Server (al dan niet gerepliceerd) voor je roaming profiles. Maar dat vereist wat hardware op locatie.

Als je al je gewenste functionaliteit op een rijtje hebt, dan kan je - op basis van de whitepapers die er op Internet te vinden zijn - vast en zeker je Firewall dusdanig configureren dat alleen de noodzakelijke poorten over de VPN mogen.

Ik krijg alleen het gevoel dat het allemaal niets mag kosten. Misschien is dat een foute aanname, dus verbeter me als ik het bij het foute eind heb.

Ik denk namelijk, als je het e.e.a. duidelijk hebt, je tot een goede oplossing kan komen, die wat meer kost dan alleen een pfsense doosje aan elke kant en een Internetverbinding. Maar daar staat dan ook wat functionaliteit tegenover, en daarmee kan je naar je werkgever.

Probeer dus eens alle functionaliteit op een rijtje te krijgen, en ga eens achterhalen welke technieken je daarvoor nodig hebt. Kijk welke technieken weer afhankelijk zijn van bandbreedte op je VPN en reken eens uit wat het aan tijd zou schelen als dat niet over de lijn moet, of over een snellere lijn gaat. Misschien is een 1Gbps managed verbinding van een willekeurige levernacier wel goedkoper omdat je daarmee een hoop wachttijd kan wegstrepen.

[ Voor 14% gewijzigd door Equator op 21-02-2018 11:47 ]

ponyrijden schreef op woensdag 21 februari 2018 @ 11:04:
Er kan geen fysieke server neergezet worden ivm geluidsoverlast want het is een compact call center met de patchkast letterlijk 1 meter naast de eerste bellers. Dus dat is geen optie.

En server kan ook een desktop zijn, of een Intel NUC. Vrij goedkoop, klein en stil.

Ik wil dat al het ad verkeer over de pfsense site to site laten lopen dus ook dan roaming profile en bijvoorbeeld programma's pushen. Je kan in de firewall best goed aangeven welke protocollen en porten er wel en niet doorheen moeten. Dus bedankt voor dat lijstje! Iemand hier eerder zo ervaring mee gehad?
[/quote]
Whoa... Wacht even... Je wilt dus ook roaming profiles en software distributie gaan doen? Kan natuurlijk allemaal, maar waarom wil je dan met firewall aan de slag gaan?
Wat is de toegevoegde waarde hiervoor? Wat wil je bereiken?

Heb je er ook wel eens nagedacht wat er gebeurt als de VPN tunnel uitvalt? En het call center niets meer kan?
Of hoeveel bandbreedte je nodig hebt, of CPU power op de firewall? OpenVPN is best zwaar, IPSEC is een stuk lichter en sneller en wordt meestal hiervoor gebruikt?

Ik krijg nog erg het gevoel dat dit een hobbyproject is voor iemand die eigenlijk niet geschikt is voor de job. No offense.... Zo zijn we bijna allemaal begonnen, dus is niets mis mee. Waar wie er verantwoordelijk / aansprakelijk als het in eens niet meer werkt? Komen ze dan bij jou ook langs? Denk hier ook eens goed over na? Je zal niet de eerste zijn, die zijn handen hieraan (ver)brand.

Maar ik mis momenteel erg je requirements van deze oplossing? Wat wil je exact bereiken? Wat zijn de eisen, wensen of verwachtingen? Zet die eerst maar neer. Misschien een kleine tekening van je netwerk.

Pony, even voor de beeldvorming. Hoeveel ervaring heb je met het beheer van soortgelijke netwerken?

Gewoon een serverless office dus? Dat kan prima hoor. Zorg wel voor een fatsoenlijke lijn en een VPN naar je DC. De rest doe je met AD sites and services.

Als je het over een VPN wilt routeren, waarom dan niet op basis van het subnet van de client en de AD/DNS/FS servers?

Ik snap de vraagstelling niet helemaal denk ik, dat kan je toch gewoon in je OVPN instellen ? Split-Tunneling ? Dus alleen site-to-site traffic naar een bepaald subnet (het subnet van locatie2 waar je AD staat) gaat over de VPN ? Wat bedoel je met "ander verkeer" ? Gewoon internet verkeer gaat op deze manier sowieso al gewoon via je internet lijn en niet over de VPN.

[ Voor 8% gewijzigd door Enforcer op 28-02-2018 18:06 ]

Is dit serieus een vraag voor PNS? Dit is meer iets voor basic networking.

Advies: Als je nu al met een dergelijke vraagstelling komt, dan kun je beter alles in AzureAD gooien. Maakt het beheer makkelijk en doet precies wat je wilt. Neem daarnaast een RMM om software en settings te pushen.

AzureAD Basic is gratis.