VPN aanleggen tussen twee kantoren.

Welke eisen stel je aan performance , hoeveel clients, of verbindingen ga je op zetten. Welke beschikaarheid/uptime wil je, wil je redundancy etc.

Als je met consumenten routers aan de gang gaat kan je aan openwrtddwrt denken als alternatieve fimware, daarbij kan je open vpn gebruiken. Maar als je op beide locatie al (virtuele) server hebt, kan je ook dat op een server zetten. Maar je kan ook cisco apperatuur gebruiken, ik denk met ipsec

Wat zei google toen je zocht op vpn tunnel between two locations

Wat heeft Teamviewer met VPN te maken? Je wilt twee kantoren met elkaar verbinden maar de klanten mogen niet zien dat je in Mexico zit? Heb je twee verschillende domains die je met elkaar wilt verbinden of heb je allemaal stand alone PC's en laptops? Wat wil je precies bereiken met VPN? Misschien dat je een tekening of schema kan maken met de huidige situatie en dan wat het probleem is, niet de oplossing (VPN)

Huur gewoon een bedrijf in die verstand heeft van VPN.

^^ eens met bovenstaande. Niet om lullig te doen, maar volgens mij heb je hier gewoon te weinig kaas van gegeten.

Ik weet niet of het de goedkoopste oplossing is, maar wel een die ik bij mijn vorige bedrijf gebruikte. Sophos Firewalls daarmee kan je een IPSEC (simpel) leggen tussen twee locaties. (wel enige kennis nodig natuurlijk)

Je kan 2 Sophos Firewall of iets anders aanschaffen en die een vpn laten opzetten.
Kan ook met Softwarematige versie. Of gratis (maar niet als je een bedrijf bent)
Dan heb je meer vliegen in een klap.
Firewall Antivirus mailware protectie en vpn

Verder is het niet de bedoeling dat 'wij' het dan maar voor je gaan opzetten.

Ook is dat ene woord nou niet bepaald vriendelijk.

[ Voor 3% gewijzigd door HollowGamer op 13-03-2019 08:13 ]

Je kan ook een bedrijf inhuren. Die plaats Firewall of ander hardware in je netwerk wat een VPN opzet naar de ander locatie. Zij kunnen hem ook voor je beheren en monitoren.
Dan ont zorg je jezelf.

Mildpower schreef op woensdag 13 maart 2019 @ 06:41:

Mijn vraag is dus, wat is de gemakelijkste oplossing om dit tot elkaar te brengen?
Is dit te realiseren met twee routers aan elke kant?

Vraag twee zal dan zijn, kan je dat ook op Personeel niveau regelen, voorbeeld wij werken vaak vanuit huis (waar dan ook ter wereld)

Waarom deze vragen, wij hebben geen IT admin, ik ben een accountent die wat af weet van PC`s maar VPN aanleggen gaat mij net even te ver. (gelukkig ben ik lid van Tweakers)

Huur een IT-Guy in, met verstand van VPN
Je zal dan op een hardwareoplossing komen, met een remote acces mogelijkheid

Je bent geen lid van tweakers ....

( klik )

Je bent gebruiker

Gimmick je weet wel wat die bedoelt

Hoi, wellicht is een Synology router wat voor je. Hierop kun je het VPN Plus pakket installeren. Zie https://www.synology.com/nl-nl/srm/feature/vpn_plus. VPN Plus heeft verschillende opties om een VPN op te zetten, de site to site optie zou voor jou interessant zijn. Hiervoor is een licentie vereist. Ik heb zojuist in mijn router even gekeken wat deze kost, deze kost (in NL) $9,99.

Ik gebruik zelf thuis de AC1900, hier ben ik erg tevreden over. 'Complexe' VPN oplossingen zijn eenvoudig in te stellen via een simpele web interface, de bijbehorende client configuratie kun je vanuit de web interface downloaden. Ik gebruik zelf het VPN Plus package als Open VPN server, dat werkt in ieder geval prima.

[ Voor 8% gewijzigd door mvhorssen op 13-03-2019 08:42 . Reden: Kosten van licentie toegevoegd ]

Ubiquiti EdgeRouters, om maar iets te noemen, kunnen prima een VPN naar elkaar opzetten. Je wil vermoedelijk dat al het internetverkeer van locatie A door locatie B heen gaat?

Kan ook simpel met een Draytek, een IPSEC tunnel opzetten naar elkaar.
Beter is het om met Cisco's te doen bijvoorbeeld, kan heel eenvoudig door een tunnel naar elkaar op te zetten en Miami als default gateway te gebruiken.

Ik weet niet hoe groot de achterliggende netwerken zijn van de locaties. Maar je zal wellicht je ranges moeten aanpassen. Dus basically locatie 1 de 192.168.101.x, 2 de 192.168.102.x etc.

Voor VPN's zijn er legio mogelijkheden. Ik weet niet of je meerdere WAN verbindingen hebt of zou willen gebruiken, zoals bedraad als primair en 4G als backup ofzo. Vooral als meerdere kantoren gebruik er van gaan maken wil je tenslotte wel continuïteit.
Dat kun je dat ook nog meenemen in de keuze, door geen losse VPN server in je netwerk op te nemen, maar een router te gebruiken die direct ondersteuning heeft voor een VPN en dus die meerdere WAN verbindingen ondersteund.

Zelf bijvoorbeeld wel goede ervaring met Kerio, daarmee kun je ook VPN clients op de PC van thuiswerkers gebruiken om in te loggen. AFAIK synct hij dat ook netjes met hun AD credentials. En het is super gebruiksvriendelijk qua firewall instellen en dergelijke.

[ Voor 20% gewijzigd door _ferry_ op 13-03-2019 09:34 ]

wat wil je met die tunnel gaan doen? het netwerkverkeer dat door teamviewer wordt gegenereerd is vrij beperkt, daar heb je dus niet zo'n heel grote bandbreedte voor nodig, net als voor applicaties die in de browser draaien. anders wordt het als je op de ene lokatie een frontend en in de andere lokatie het backend wil draaien. het netwerkverkeer kan dan best wel heftig worden, vooral bij bepaalde database operaties. als dat het geval is zou ik er niet aan beginnen en het bij teamviewer houden.

Kijk eens inderdaad naar firewalls.
Watchguard heeft hier een hele mooie oplossing voor genaamd Branch Office VPN.
Er zijn natuurlijk ook andere oplossingen maar van Watchguard weet ik dat hij super werkt en je ook heel veel mogelijkheden hebt kwa beveiliging en netwerken.
Ook hebben ze een knowledgebase hoe de verschillende VPN mogelijkheden werken dus daar zou je eens naar kunnen kijken en het is niet moeilijk om ze te configureren, je moet er even een middagje voor zitten.

Net als iedereen hierboven; Koop twee goede firewalls. Zelf zou ik voor FortiGates gaan, die doen IPSEC met twee vingers in hun neus, en dan kan je die meteen gebruiken als oplossing voor remote werknemers.

_ferry_ schreef op woensdag 13 maart 2019 @ 09:25:
Ik weet niet hoe groot de achterliggende netwerken zijn van de locaties. Maar je zal wellicht je ranges moeten aanpassen. Dus basically locatie 1 de 192.168.101.x, 2 de 192.168.102.x etc.

Ondanks dat dat wel het meest gebruiksvriendelijk is is dat niet noodzakelijk. Je kan gewoon hele ranges middels NAT 1 op 1 omzetten incl. DNS rewrite en vervolgens tunnelen.

Als beide locaties een vast extern IP-adres hebben zou je met een Cisco RV042G VPN Router van € 140- gewoon een gateway-to-gateway VPN kunnen opbouwen tussen de locaties.

Verder kun je dan van buitenaf (persoonlijk niveau zoals je het noemt) via VPN client software een PPTP VPN opbouwen naar het netwerk vanaf je computer.

DukeBox schreef op woensdag 13 maart 2019 @ 10:27:
[...]
Ondanks dat dat wel het meest gebruiksvriendelijk is is dat niet noodzakelijk. Je kan gewoon hele ranges middels NAT 1 op 1 omzetten incl. DNS rewrite en vervolgens tunnelen.

ik denk dat een plug&play oplossing hier meer op zijn plaats is. ook voor troubleshooting heeft verschillende IP-bereiken m.i. erg de voorkeur. Afhankelijk van hoe de toegang tot het CRM-systeem beperkt wordt dan. Als het bijv. een SaaS-oplossing is die alleen bereikbaar is vanaf het externe IP-adres van de VS tak, is er geen probleem. Als het een interne machine is misschien wel.

Mildpower: wil je dat al het internetverkeer via de VS gaat lopen? Zo ja: is er voldoende bandbreedte up en down? (Ook als een Mexicaanse collega een uurtje films gaat streamen?)

Offtopic:

Gimmick schreef op woensdag 13 maart 2019 @ 08:20:
Je bent geen lid van tweakers ....

quote: https://tweakers.net/info/algemene-voorwaarden/

Lid de natuurlijke persoon die van Tweakers.net een Account heeft ontvangen.

F_J_K schreef op woensdag 13 maart 2019 @ 11:17:
Als het een interne machine is misschien wel.

Hoe bedoel je dat precies ? Met een 1 op 1 NAT range kan je gewoon ieder systeem met een eigen IP adres bereiken.

Bijv 192.168.0.0/29 met een NAT range op 192.168.101.0/29
192.168.0.1 NAT naar 192.168.101.1,
192.168.0.2 NAT naar 192.168.101.2,
192.168.0.3 NAT naar 192.168.101.3,
192.168.0.4 NAT naar 192.168.101.4,
192.168.0.5 NAT naar 192.168.101.5 en
192.168.0.6 NAT naar 192.168.101.6.

[ Voor 34% gewijzigd door DukeBox op 13-03-2019 11:31 ]

Even een paar stappen overgeslagen:

Schaf 2 fatsoenlijke firewalls aan (bijvoorbeeld van FortiNet), laat die dingen een Site2Site VPN opzetten en routeer. Geen gezeik met NAT, gewoon netjes routeren.

Zorg wel voor een backupverbinding én ben eventueel bereid een externe partij in de arm te nemen om dit goed in te richten en je te laten adviseren.

Kijk ook meteen naar het hele netwerk en vergeet redundancy niet.

[ Voor 3% gewijzigd door unezra op 13-03-2019 11:38 ]

Wij hebben 2x een Sophos UTM en hebben op HQ en BO een IPSEC VPN tunnel opgebouwd. Vanuit thuis kunnnen onze medewerkers inloggen via een SSL VPN. Dit werkt voor ons uitstekend.

Als je ervoor zorgt dat al het verkeer via de VPN tunnel gaat zou het moeten lukken. Let er wel op dat je naar de capiciteit van de beide sophos aparaten kijkt.

DukeBox schreef op woensdag 13 maart 2019 @ 11:24:
[...]
Hoe bedoel je dat precies ? Met een 1 op 1 NAT range kan je gewoon ieder systeem met een eigen IP adres bereiken.

Ik ging even uit van weinig kennis (voor inrichten en troubleshooten). En ken de (netwerk-)vereisten van die CRM tool niet, misschien een of andere legacy applicatie wat niet per se (!) achter NAT of niet-snel of niet-heelstabiel (?) site2site VPN werkt. Afhankelijk van allerhande details dan. Als het gewoon een webapplicatie is zal er afhankelijk van bandbreedte vast niets aan de hand zijn.

Een professional laten meekijken naar de details, kan inderdaad verstandig zijn afhankelijk van het budget. En anders inderdaad bovenstaande proberen.

Mildpower schreef op woensdag 13 maart 2019 @ 11:55:
[...]

Inderdaad het internet gaat dan via Miami, daar hebben we een 500 mbit up en down liggen, in Mexico hebben we 200 mbit up en down liggen.

Ik lees toch wel de meerderheid zeggen een tweetal routers aanschaffen en Viola.

Dus ik denk dat ik dat ga voorstellen. Mijn dan dames en heren.

Als alles meezit:
- De huidige routers kunnen vervangen voor een met vpn functionaliteit (kan ook los maar is complexer)
- De huidige ip ranges zijn verschillende (bv site a gebruikt 192.168.1.x intern en site b 192.168.2.x) (kan ook met overlap maar is complexer)

Dan is de vpn inderdaad niet heel complex, ik zou wel ondersteuning vragen voor het opzetten.

Vergeet niet dat ook al heb je 500 of 200 up/down, dit niet direct betekent dat de vpn verbinding ook zo snel zal worden. Allereerst moet de hardware het ondersteunen maar je kunt ook pech hebben dat de verbinding tussen de providers niet zo snel is (je hebt bv wel 200mbit naar het datacenter van Azure maar geen 200mbit naar het andere kantoor)

[ Voor 4% gewijzigd door laurens0619 op 13-03-2019 12:00 ]

Mildpower schreef op woensdag 13 maart 2019 @ 11:55:
[...]

Inderdaad het internet gaat dan via Miami, daar hebben we een 500 mbit up en down liggen, in Mexico hebben we 200 mbit up en down liggen.

Ik lees toch wel de meerderheid zeggen een tweetal routers aanschaffen en Viola.

Dus ik denk dat ik dat ga voorstellen. Mijn dan dames en heren.

Schaf niet zomaar 2 routers aan. Dan ga je van een heel koude kermis thuis komen.
Kijk goed wat voor verkeer er overheen gaat, wat je nodig hebt en wat je nog meer nodig gaat hebben dit werkend te krijgen.

Voor je het weet denk je dat je voor €1000 samen 2 heel goede firewalls/routers aan schaft en moet er opeens 200MBit/s IPSEC doorheen. Helaas, maar dat word voor routers van €500 per stuk lastig.

Denk ook om supportcontracten en een leverancier die je kan bellen.

Als het gaat om een firewall, laat die inrichten tenzij je zelf de juiste kennis in huis hebt.

Dat ligt eraan waar je gaat shoppen. Cisco, Fortinet, ja.

Een Mikrotik van 139 euro doet die 200mbit ipsec met speels gemak

Waarom neem je niet gewoon een abonnement bij een VPN provider. Dan kun je zelf kiezen via welk land ter wereld je het internet op gaat...

Heb je ook geen risico dat je per ongelijk je bedrijfsnetwerk open zet met iets waar je eigenlijk geen verstand van hebt

Blommie01 schreef op woensdag 13 maart 2019 @ 13:09:
Waarom neem je niet gewoon een abonnement bij een VPN provider. Dan kun je zelf kiezen via welk land ter wereld je het internet op gaat...

Heb je ook geen risico dat je per ongelijk je bedrijfsnetwerk open zet met iets waar je eigenlijk geen verstand van hebt

Ehm, TS wil 2 kantoren koppelen...
Dat doe je niet via een VPN provider.

unezra schreef op woensdag 13 maart 2019 @ 13:12:
[...]


Ehm, TS wil 2 kantoren koppelen...
Dat doe je niet via een VPN provider.

Volgens mij wil TS vanuit Mexico via de VS het internet op om de suggestie te wekken dat er vanuit de VS wordt gewerkt. Waarom zou je dan twee kantoren koppelen

Voor wat TS wil is een VPN provider uitermate geschikt

[ Voor 14% gewijzigd door Blommie01 op 13-03-2019 17:05 ]

Ik zou de fortinet fortigate 60E's aanraden met een ipsec s2s vpn.. Doen de job goed en zijn zonder veel kennis te beheren..
Bovendien zijn ze goedkoop..

Goed voor mkb oplossingen, zelfs ook te clusteren voor HA doeleinden.

Blijf weg van de aangeraden SOHO oplossing ihmo leuk voor thuis maar niet voor zakelijk gebruik. Trap niet in de soho prijsjes. Penny wise pound foolish gaat hier maar al te vaak op...

Blommie01 schreef op woensdag 13 maart 2019 @ 17:03:
[...]
Volgens mij wil TS vanuit Mexico via de VS het internet op om de suggestie te wekken dat er vanuit de VS wordt gewerkt.

Nope.

Hij wil een bedrijf in Mexico koppelen met een bedrijf in de VS, met de intentie dáár het internet op te gaan.

Dat zijn heel logische zaken, maar niet iets dat je met een consumentenproduct als het door jou genoemde VPN op lost.

unezra schreef op woensdag 13 maart 2019 @ 17:59:
[...]


Nope.

Hij wil een bedrijf in Mexico koppelen met een bedrijf in de VS, met de intentie dáár het internet op te gaan.

Dat zijn heel logische zaken, maar niet iets dat je met een consumentenproduct als het door jou genoemde VPN op lost.

Waarom: wij willen niet dat onze klanten zien dat wij in Mexico zijn en (persoonlijke wens) ik ben klaar met Teamviewer etc.

celshof schreef op woensdag 13 maart 2019 @ 21:32:
[...]

[...]

Volgens mij is de wens van TS idd redelijk simpel.

VPN diensten doet precies dit. En sommige hebben ook gewoon enterprise oplossingen..

[ Voor 22% gewijzigd door Blommie01 op 13-03-2019 22:18 ]

Blommie01 schreef op woensdag 13 maart 2019 @ 22:17:
[...]
Volgens mij is de wens van TS idd redelijk simpel.

VPN diensten doet precies dit. En sommige hebben ook gewoon enterprise oplossingen..

Hij wil geen TeamViewer meer gebruiken.
Hoe ga je dat oplossen?

Oh ja, wacht, een Site2Site VPN tussen 2 locaties...

unezra schreef op woensdag 13 maart 2019 @ 22:39:
[...]


Hij wil geen TeamViewer meer gebruiken.
Hoe ga je dat oplossen?

Oh ja, wacht, een Site2Site VPN tussen 2 locaties...

Begrijpend lezen heet dat....

Nogmaals: TS wil vanuit Mexico via de VS het internet op om klanten te laten denken dat hij vanuit de VS werkt.

Zit geen woord Chinees tussen volgens mij...

Ps. Het komt niet in je op dat TS vanuit Mexico via Teamviewer een PC op kantoor in de VS overneemt om vanaf daar het internet op te gaan en hier juist vanaf wil?

[ Voor 15% gewijzigd door Blommie01 op 13-03-2019 22:50 ]

Blommie01 schreef op woensdag 13 maart 2019 @ 22:47:
[...]
Begrijpend lezen heet dat....

Nogmaals: TS wil vanuit Mexico via de VS het internet op om klanten te laten denken dat hij vanuit de VS werkt.

Zit geen woord Chinees tussen volgens mij...

En het komt niet in je op dat TS vanuit Mexico via Teamviewer een pc overneemt om vanaf daar het internet op te gaan en hier juist vanaf wil?

Mildpower schreef op woensdag 13 maart 2019 @ 04:03:
Ik ben gevraagd door mijn baas om een VPN aan te leggen tussen twee kantoren. Backoffice is in Mexico en de ander in Miami.

Waarom: wij willen niet dat onze klanten zien dat wij in Mexico zijn en (persoonlijke wens) ik ben klaar met Teamviewer etc.

Sorry, maar dat los je dus niet op met iets als NordVPN, maar met 2 goede firewalls en een Site2Site VPN. Hobby-Bob vs professionele oplossing.

unezra schreef op woensdag 13 maart 2019 @ 22:50:
[...]


[...]


Sorry, maar dat los je dus niet op met iets als NordVPN, maar met 2 goede firewalls en een Site2Site VPN. Hobby-Bob vs professionele oplossing.

Ik zal jou in ieder geval nooit inhuren voor dit soort vraagstukken...

Blommie01 schreef op woensdag 13 maart 2019 @ 22:52:
[...]
Ik zou jou in ieder geval nooit inhuren bij dit soort vraagstukken...

Als je een knutseloplossing wil hebben, zou ik mij inderdaad niet inhuren.

unezra schreef op woensdag 13 maart 2019 @ 12:00:
Voor je het weet denk je dat je voor €1000 samen 2 heel goede firewalls/routers aan schaft en moet er opeens 200MBit/s IPSEC doorheen. Helaas, maar dat word voor routers van €500 per stuk lastig.

Voor €1000 moet je wel 2 FGT60E doosjes kunnen kopen (zie bijvoorbeeld https://www.firewallshop....fg-60e-firewall/pid=49138), en die kunnen zo'n 2Gbit IPSEC VPN aan. Een 50E komt inderdaad niet verder dan 90Mbit.

TommyboyNL schreef op woensdag 13 maart 2019 @ 23:01:
[...]
Voor €1000 moet je wel 2 FGT60E doosjes kunnen kopen (zie bijvoorbeeld https://www.firewallshop....fg-60e-firewall/pid=49138), en die kunnen zo'n 2Gbit IPSEC VPN aan. Een 50E komt inderdaad niet verder dan 90Mbit.

Hmmm, dat valt me mee inderdaad.
https://www.fortinet.com/...rtinet_Product_Matrix.pdf

Doet 'ie dat dan in zijn ASIC's? Want als het op CPU aan komt heb ik het idee dat die machines wat inzakken. Zodra ze zaken in hun ASIC's kunnen afhandelen gaat het hard.

Kleine aantekening wel, volgens mij zijn die snelheden niet combined. Die 2G/s IPSEC haalt 'ie dacht ik niet als 'ie tegelijkertijd ook nog flink moet gaan staan firewallen en routeren.

Blijven wel heel mooie doosjes, relatief goedkoop en nogal veelzijdig. Wel iets waarbij het verstandig is die dingen te laten installeren en configureren door een 3e partij. Ze voelen redelijk intuitief aan, maar ze hebben "iets" meer mogelijkheden dan een HTK Ubiquiti EdgeRouter.

Dagelijks beheer is goed te doen, initiële installatie en een jaarlijkse check zou ik uitbesteden.

Ook heb je een supportcontract nodig op die dingen. (Of is het tenminste zeer aan te raden en noodzakelijk als je bepaalde functionaliteit wil gebruiken. Zonder contract valt een deel van de functionaliteit weg.)

Blijft, ik vind het fijne doosjes.

Heb niet het hele topic gevolgd maar mijn simpele kijk als ITer zonder echte netwerk kennis. Stel je wilt geen hardware aanschaffen, een derde partij inhuren en beheer afsluiten. Dan kun je ook een VPN abonnement afsluiten bij een provider. Op alle computers de benodigde software installeren en configureren conform de specificaties van je aanbieder. Kan in 10 minuten per computer zo gedaan zijn.

De aanbevelivingen over een hardware oplossing in je eigen netwerk is wel een betere oplossing. Wat betreft privacy ook beter natuurlijk.

dylanvana schreef op woensdag 13 maart 2019 @ 23:21:
Heb niet het hele topic gevolgd maar mijn simpele kijk als ITer zonder echte netwerk kennis. Stel je wilt geen hardware aanschaffen, een derde partij inhuren en beheer afsluiten. Dan kun je ook een VPN abonnement afsluiten bij een provider. Op alle computers de benodigde software installeren en configureren conform de specificaties van je aanbieder. Kan in 10 minuten per computer zo gedaan zijn.

De aanbevelivingen over een hardware oplossing in je eigen netwerk is wel een betere oplossing. Wat betreft privacy ook beter natuurlijk.

Het verwarrende zit in de term VPN.

VPN word vandaag de dag vaak gebruik om vanaf een netwerk, anoniem de wereld in te gaan. Dan heb je te maken met VPN diensten zoals NordVPN.

Dat is héél wat anders dan de klassieke toepassing van de term VPN, waar het gebruikt word om beveiligde koppelingen te leggen tussen bedrijven, kantoren of thuiswerkers en hun bedrijf.

Zelf maak ik gebruik van 3 soorten VPN...

- NordVPN om op momenten anoniem te surfen
- Een SSLVPN client om beveiligd te verbinden met kantoor
- Een Site2Site VPN (als backup) om kantoor en colocatie aan elkaar te knutselen

Mijn SSLVPN is zowel een hard- als een software oplossing. (Fin, het draait in firmware op de firewall dus dat is in feite ook software, maar detail.) Ik draai een client op mijn laptop of PC, verbind daarover met de firewall en *tadaa*, beveiligde verbinding.

Site2Site VPN is in de regel op hardware, maar hoeft niet, je kunt prima een Site2Site (vaak IPSEC) draaien in zuiver software zoals OpenVPN. (En ook daar, de catch is dat firewalls ook gewoon maar hardwaredoosjes zijn met software, alleen noemen we dat firmware.)

In geval van TS, neig ik er naar dat hij behoefte heeft aan een Site2Site VPN en meer specifiek, dit op te lossen met fatsoenlijke hardware mét supportcontract en een partner die dit kan installeren en configureren. (Als TS zelf voldoende kennis in huis heeft is dagelijks beheer goed te doen maar het kan geen kwaad er over na te denken ook dat uit te besteden.)

Wat voor hardware is minder spannend zolang het aan de specs voldoet en er verder word gekeken dan alleen het hier en nu. Zelf ben ik best tevreden met de FortiGates die wij hebben, maar er zijn meer prima oplossingen. (Wel denk ik dat een FortiGate en flinke value-for-money heeft, zeker als je meer wil dan alleen een basis firewall en VPN terminator. Het kan véél. Die dingen zijn zelfs in staat om voor AV filter te spelen, waardoor binnenkomende email meteen gespam- en virusfilterd word. Het is écht een next-gen-firewall die, mits goed geconfigureerd, veel problemen voor een relatief fair bedrag kan oplossen. Blijft, het is professioneel spul. De prijs past daar bij.)

Glashelder schreef op woensdag 13 maart 2019 @ 12:19:
Dat ligt eraan waar je gaat shoppen. Cisco, Fortinet, ja.

Een Mikrotik van 139 euro doet die 200mbit ipsec met speels gemak

Helemaal mee eens!
https://mikrotik.com/product/RB3011UiAS-RM aan weerszijde zo'n apparaatje en je hebt nooit geen gezeik meer. Super stabiel en een geweldige throughput. Prijs-kwaliteit is enorm gunstig. Als je er pas in duikt misschien even lastig, maar de mogelijkheden zijn bijna onbeperkt met hun Linux achtige core en script command mogelijkheden. Hierdoor zijn nagenoeg alle VPN types wel te implementeren. En als je nog grafisch wil analyseren moet je de DUDE uitvoering nemen. Die brengt gewoon het hele netwerk grafisch in kaart Ontzag voor deze ontwikkelaars in verhouding met de prijs!

unezra schreef op woensdag 13 maart 2019 @ 23:10:
[...]


Hmmm, dat valt me mee inderdaad.
https://www.fortinet.com/...rtinet_Product_Matrix.pdf

Doet 'ie dat dan in zijn ASIC's? Want als het op CPU aan komt heb ik het idee dat die machines wat inzakken. Zodra ze zaken in hun ASIC's kunnen afhandelen gaat het hard.

Kleine aantekening wel, volgens mij zijn die snelheden niet combined. Die 2G/s IPSEC haalt 'ie dacht ik niet als 'ie tegelijkertijd ook nog flink moet gaan staan firewallen en routeren.

Blijven wel heel mooie doosjes, relatief goedkoop en nogal veelzijdig. Wel iets waarbij het verstandig is die dingen te laten installeren en configureren door een 3e partij. Ze voelen redelijk intuitief aan, maar ze hebben "iets" meer mogelijkheden dan een HTK Ubiquiti EdgeRouter.

Dagelijks beheer is goed te doen, initiële installatie en een jaarlijkse check zou ik uitbesteden.

Ook heb je een supportcontract nodig op die dingen. (Of is het tenminste zeer aan te raden en noodzakelijk als je bepaalde functionaliteit wil gebruiken. Zonder contract valt een deel van de functionaliteit weg.)

Blijft, ik vind het fijne doosjes.

Een FortiGate 60E draait op de SoC3 van Fortinet, met daarin een CP9-lite, een NP6-lite, en een quad-core ARM op 1GHz. Het IPsec VPN verkeer wordt dus inderdaad hardwarematig afgehandeld.
Het firewallen en routeren wordt ook grotendeels door (een ander deel van) de NP6 afgehandeld, alleen het initiëren van sessies kost CPU cycles. Vergelijk de 60E bijvoorbeeld eens met de 200E. De 200E heeft veel meer CPU power en dus meer sessies/sec, maar de offloading hardware is vergelijkbaar, en dus ook het aantal concurrent sessions.
Samengevat is een 60E echt een beest van een firewall, in verhouding met wat je ervoor betaalt.

Wat betreft het initiële configureren en periodieke check laten doen door een pro ben ik helemaal met je eens.

TommyboyNL schreef op woensdag 13 maart 2019 @ 23:57:
[...]
Een FortiGate 60E draait op de SoC3 van Fortinet, met daarin een CP9-lite, een NP6-lite, en een quad-core ARM op 1GHz. Het IPsec VPN verkeer wordt dus inderdaad hardwarematig afgehandeld.
Het firewallen en routeren wordt ook grotendeels door (een ander deel van) de NP6 afgehandeld, alleen het initiëren van sessies kost CPU cycles. Vergelijk de 60E bijvoorbeeld eens met de 200E. De 200E heeft veel meer CPU power en dus meer sessies/sec, maar de offloading hardware is vergelijkbaar, en dus ook het aantal concurrent sessions.
Samengevat is een 60E echt een beest van een firewall, in verhouding met wat je ervoor betaalt.

Het verbaasd me positief inderdaad. Ik meen me te herrinneren dat onze 90D's toch behoorlijk gingen klapperen als d'r 200MBit/s IPSEC doorheen moest en ze dan ook nog een beetje moesten next-gen-firewallen.

Het heeft meegespeeld in de oplossing die we nu hebben, een directe verbinding tussen kantoor en datacenter. IPSEC is nu enkel nog als backup, mocht de primaire verbinding plat gaan.

Die 60E klinkt als heel erg veel firewall voor het geld en zeker als een goede oplossing voor TS, even flink wat stappen overslaand op gebied van een verdere inventarisatie van de wensen en eisen. (Ofwel, puur gekeken naar dat er een VPN verbinding moet komen en inschattende dat er ook wat met firewalls gedaan moet worden. Tussen de VS en Mexico leg je niet even een stukje direct glas.)

Wat betreft het initiële configureren en periodieke check laten doen door een pro ben ik helemaal met je eens.

Ja, of zelfs helemaal uitbesteden als TS de kennis niet in huis heeft. Hoeft ook niet verkeerd te zijn. Het is iets minder flexibel maar aan de andere kant, hoe vaak wijzig je een firewall nu *echt*. De laatste keer dat ik een wijziging heb doorgevoerd is een half jaar geleden geloof ik. (Niet helemaal, er is een VPN verbouwd maar dat hebben we laten doen en we moeten binnenkort nog wat zaken fixen, maar er zijn werkelijk maanden voorbij gegaan dat ik niets aan die dingen heb hoeven doen terwijl wij wel het dagelijks beheer doen en ik daardoor een klein beetje de weg weet.)

DukeBox schreef op woensdag 13 maart 2019 @ 10:27:
[...]

Ondanks dat dat wel het meest gebruiksvriendelijk is is dat niet noodzakelijk. Je kan gewoon hele ranges middels NAT 1 op 1 omzetten incl. DNS rewrite en vervolgens tunnelen.

beter in één keer goed doen. Goede subnetverdeling en routes maken. dat laatste is zo ... pfffffffff omslachtig en onnodig

unezra schreef op woensdag 13 maart 2019 @ 22:39:
[...]


Hij wil geen TeamViewer meer gebruiken.
Hoe ga je dat oplossen?

Oh ja, wacht, een Site2Site VPN tussen 2 locaties...

Wat doet het er toe wat hij wil? Het bedrijf moet betalen en die hebben kennelijk niet als requirement dat Teamviewer weg moet. Die willen niet dat er een Mexicaans IP adres wordt getoond en het mag vooral niet teveel kosten.

Ik zie allemaal technische oplossingen voorbij komen, maar we weten nog helemaal niet of er een probleem is dat technisch opgelost moet worden!
Persoonlijk heb ik nog nooit gekeken naar het IP adres van een helpdeskmedewerker of wie dan ook, Dus zijn er uberhaupt klanten van op die het door zouden hebben waar het IP adres vandaan komt? Zo nee, is het makkelijk: teamviewer niet meer gebruiken en alles laten zoals het is.

celshof schreef op donderdag 14 maart 2019 @ 07:02:
[...]
Wat doet het er toe wat hij wil? Het bedrijf moet betalen en die hebben kennelijk niet als requirement dat Teamviewer weg moet. Die willen niet dat er een Mexicaans IP adres wordt getoond en het mag vooral niet teveel kosten.

Dus is het aan TS om zijn werkgever goed te adviseren en als het nodig is wat meer geld uit te geven voor een fatsoenlijke oplossing, dat voor te stellen.

Je mag *nooit* enkel uit gaan van een vaag gegeven als "het mag niet te veel kosten". Natuurlijk heb je te maken met iets als budget, maar budget kun je ook vaak krijgen op basis van een goede onderbouwing.

Kwestie van een businesscase schrijven die een beetje toekomstgericht is en meer factoren mee neemt dan alleen directe kosten.

Ik zie allemaal technische oplossingen voorbij komen, maar we weten nog helemaal niet of er een probleem is dat technisch opgelost moet worden!
Persoonlijk heb ik nog nooit gekeken naar het IP adres van een helpdeskmedewerker of wie dan ook, Dus zijn er uberhaupt klanten van op die het door zouden hebben waar het IP adres vandaan komt? Zo nee, is het makkelijk: teamviewer niet meer gebruiken en alles laten zoals het is.

Tuurlijk, het begint bij de requirements en die zijn nu nog wat vaag. Volgens mij heb ik ook al duidelijk aangegeven dat ik heel veel stappen over sla en adviseer op basis van de gegevens die bekend zijn en een inschatting die ik zelf maak. Op basis van dat, zou ik kiezen voor een goede Site2Site oplossing om de kantoren te koppelen, juist omdat ik denk dat dat méér oplevert dan enkel die klanten die niet zien dat er vanuit Mexico geconnect word.

2 fatsoenlijke firewalls, zoals genoemde FortiGates, kunnen meer dan enkel een beetje VPNen. Dat goed inregelen, een goede koppeling tussen beide kantoren maken, kan dingen mogelijk maken die zonder dat helemaal niet mogelijk zijn en zelfs kostenbesparend werken.

In een situatie als deze, zijn er meer scenario's te bedenken die een dergelijke setup rechtvaardigen, dan scenario's die een dergelijke situatie NIET rechtvaardigen.

Vandaar mijn gedachte het op zo'n manier op te lossen.

unezra schreef op donderdag 14 maart 2019 @ 07:12:
[...]


Dus is het aan TS om zijn werkgever goed te adviseren en als het nodig is wat meer geld uit te geven voor een fatsoenlijke oplossing, dat voor te stellen.

Je mag *nooit* enkel uit gaan van een vaag gegeven als "het mag niet te veel kosten". Natuurlijk heb je te maken met iets als budget, maar budget kun je ook vaak krijgen op basis van een goede onderbouwing.

Kwestie van een businesscase schrijven die een beetje toekomstgericht is en meer factoren mee neemt dan alleen directe kosten.


[...]


Tuurlijk, het begint bij de requirements en die zijn nu nog wat vaag. Volgens mij heb ik ook al duidelijk aangegeven dat ik heel veel stappen over sla en adviseer op basis van de gegevens die bekend zijn en een inschatting die ik zelf maak. Op basis van dat, zou ik kiezen voor een goede Site2Site oplossing om de kantoren te koppelen, juist omdat ik denk dat dat méér oplevert dan enkel die klanten die niet zien dat er vanuit Mexico geconnect word.

2 fatsoenlijke firewalls, zoals genoemde FortiGates, kunnen meer dan enkel een beetje VPNen. Dat goed inregelen, een goede koppeling tussen beide kantoren maken, kan dingen mogelijk maken die zonder dat helemaal niet mogelijk zijn en zelfs kostenbesparend werken.

In een situatie als deze, zijn er meer scenario's te bedenken die een dergelijke setup rechtvaardigen, dan scenario's die een dergelijke situatie NIET rechtvaardigen.

Vandaar mijn gedachte het op zo'n manier op te lossen.

Maar je slaat wat mij betreft stappen over die je niet mag overslaan. En leuk dat er allerlei mogelijkheden zijn met jouw oplossing, maar als niemand dat gaat gebruiken, is het gewoon weggegooid geld. En wie gaat het beheer doen? Dat is ook niet gratis.

Eerst moet je weten welk probleem je oplost en of dat probleem er wel is. Kritische vragen stellen dus. Zolang het niet duidelijk geneog is, moet je geen oplossingen gaan bedenken of bouwen.


Waar ik me in dit geval voornamlijk zorgen over maak is dat er een bedrijf is met meerdere kantoren in verschillende landen en dat een accountant IT verbeteringen moet ontwerpen en de risico's moet inschatten. En niet alleen technische risico's, maar ook de bedrijfsmatige.

celshof schreef op donderdag 14 maart 2019 @ 07:34:
[...]

Maar je slaat wat mij betreft stappen over die je niet mag overslaan. En leuk dat er allerlei mogelijkheden zijn met jouw oplossing, maar als niemand dat gaat gebruiken, is het gewoon weggegooid geld. En wie gaat het beheer doen? Dat is ook niet gratis.

Eerst moet je weten welk probleem je oplost en of dat probleem er wel is. Kritische vragen stellen dus. Zolang het niet duidelijk geneog is, moet je geen oplossingen gaan bedenken of bouwen.


Waar ik me in dit geval voornamlijk zorgen over maak is dat er een bedrijf is met meerdere kantoren in verschillende landen en dat een accountant IT verbeteringen moet ontwerpen en de risico's moet inschatten. En niet alleen technische risico's, maar ook de bedrijfsmatige.

Precies daarom dus mijn primaire advies aan TS dit op te pakken met een kundige ICT dienstverlener.

Natuurlijk moet je eerst kijken naar de onderliggende vraag, etc, aan de andere kant zijn er ook met de informatie die nu beschikbaar is, wel een aantal meer waarschijnlijke scenario's te bedenken en een aantal minder waarschijnlijke of minder logische.

Een van die meer logische is een koppeling van beide locaties dmv 2 goede firewalls, een van de minder logische is een VPN dienst als NordVPN.

EDIT: Los van dat ben ik ook benieuwd naar meer informatie zodat ook in het topic een beter en gerichter advies gegeven kan worden.

[ Voor 4% gewijzigd door unezra op 14-03-2019 07:40 ]

Fish schreef op donderdag 14 maart 2019 @ 00:12:
beter in één keer goed doen. Goede subnetverdeling en routes maken. dat laatste is zo ... pfffffffff omslachtig en onnodig

True maar die mogelijkheid heb je niet altijd.

unezra schreef op donderdag 14 maart 2019 @ 07:39:
[...]


Precies daarom dus mijn primaire advies aan TS dit op te pakken met een kundige ICT dienstverlener.

Natuurlijk moet je eerst kijken naar de onderliggende vraag, etc, aan de andere kant zijn er ook met de informatie die nu beschikbaar is, wel een aantal meer waarschijnlijke scenario's te bedenken en een aantal minder waarschijnlijke of minder logische.

Een van die meer logische is een koppeling van beide locaties dmv 2 goede firewalls, een van de minder logische is een VPN dienst als NordVPN.

EDIT: Los van dat ben ik ook benieuwd naar meer informatie zodat ook in het topic een beter en gerichter advies gegeven kan worden.

Ik vind de meest logische om te stoppen met TeamViewer. Heb jij ooit gekeken waar vandaan een IP adres inbelt?

*knip*. Het kapen van topics is niet toegestaan, maak even een nieuw topic aan.

[ Voor 91% gewijzigd door rens-br op 14-03-2019 22:00 ]

hajee999 schreef op donderdag 14 maart 2019 @ 22:18:
[...]


Dat lijkt me een behoorlijke inschattingsfout, de TS richting een consumer oplossing duwen zonder support/sla terwijl zijn baas om een professionele oplossing vraag vind ik behoorlijk discutabel. Ik denk dat de TS hier zelfs mee in problemen kan komen. De enige juiste oplossing voor de casus van de TS in een hardware (non soho) oplossing waarmee een site2site van tunnel tussen de locatie opgezet wordt zoals @unezra juist adviseert. Waarbij het mex kantoor de gateway naar internet gebruikt om naar 'buiten' te gaan...

Het wordt steeds gekker... Nu kan TS al in grote problemen komen.

Wat me opvalt is dat jullie vanuit de door TS aangedragen oplossing redeneren terwijl je dit vanuit de vraag moet doen...

"Waarom: wij willen niet dat onze klanten zien dat wij in Mexico zijn en (persoonlijke wens) ik ben klaar met Teamviewer etc."


TS wil dat de klanten niet kunnen zien dat hij vanuit Mexico verbinding maakt. Meer niet.

[ Voor 16% gewijzigd door Blommie01 op 14-03-2019 22:30 ]

Blommie01 schreef op donderdag 14 maart 2019 @ 22:24:
[...]


Het wordt steeds gekker... Nu kan TS al in grote problemen komen.

Wat me opvalt is dat jullie vanuit de door TS aangedragen oplossing redeneren terwijl je dit vanuit de vraag moet doen...

"Waarom: wij willen niet dat onze klanten zien dat wij in Mexico zijn en (persoonlijke wens) ik ben klaar met Teamviewer etc."


TS wil dat de klanten niet kunnen zien dat hij vanuit Mexico verbinding maakt. Meer niet.

Er is letterlijk aan TS gevraagd beide kantoren dmv een VPN te koppelen. Gezien de rest van het bericht lijkt dat ook onderdeel van de juiste oplossing te zijn.

Waarom je dan denkt dat een consumenten VPN oplossing als NordVPN of soortgelijken ook maar in de buurt van een logische oplossing komt is mij een totaal raadsel.

unezra schreef op vrijdag 15 maart 2019 @ 08:05:
[...]


Er is letterlijk aan TS gevraagd beide kantoren dmv een VPN te koppelen. Gezien de rest van het bericht lijkt dat ook onderdeel van de juiste oplossing te zijn.

Waarom je dan denkt dat een consumenten VPN oplossing als NordVPN of soortgelijken ook maar in de buurt van een logische oplossing komt is mij een totaal raadsel.

Wij gaan elkaar niet begrijpen...

hajee999 schreef op donderdag 14 maart 2019 @ 22:12:
[...]
Die 60E is echt goed, bang for the buck.. Wij hebben er een paar in het veld staan op remote offices (25-50 man) en ze bevallen perfect. Super te beheren en veel meer processing power dan bv de kleinere Cisco ASA's. In de DC's staan geclusterde 800D's welke ook prima bevallen...

Ja. Ik heb een paar jaar geleden kennis mogen maken met die beestjes (de 90D en de 240D) en hoewel we echt wel wat issues hebben gehad, ben ik er héél tevreden over.

Blommie01 schreef op vrijdag 15 maart 2019 @ 08:12:
[...]
Wij gaan elkaar niet begrijpen...

Wat ik vooral niet begrijp is waarom je denkt dat een VPN provider een goed idee is in dit geval. Het is niet één probleem dat TS beschrijft, het zijn er 2 en ik vermoed dat er meer issues zijn. Dan begin je bij de basis. Ik gok namelijk zo dat er op dit moment geen fatsoenlijke firewalls op beide locaties aanwezig zijn (anders was dat Site2Site VPN er allang geweest, het is een basisfunctionaliteit van een firewall). Ook vermoed ik dat ze beperkt zijn in hun ICT kennis.

Eigenlijk moet TS een beter plaatje schetsen zodat een betere en meer gerichte oplossing gegeven kan worden. Zonder dat, durf ik er redelijk vergif op in te nemen dat een set fatsoenlijke firewalls, een betere start van een goede oplossing is dan "neem een abbotje bij NordVPN".

Ik weet niet waarom je denkt dat een abbo bij een VPN provider een goed idee is en vervolgens dit durft te zeggen:

Blommie01 schreef op woensdag 13 maart 2019 @ 22:52:
[...]
Ik zal jou in ieder geval nooit inhuren voor dit soort vraagstukken...

"dit soort vraagstukken" is waar ik voor word betaald...

@Mildpower Wat is het probleem en wil je ons op de hoogte houden van de uitkomst? Ik ben nu wel nieuwsgierig.

Ik heb dit topic met af en toe enige verbazing gelezen.

De eisen zijn niet helemaal afgelijnd.

Uit de TS maak ik op:
- IP ander land tonen, breakout via Miami
- Klaar met teamviewer
- mag niet teveel kosten.

Op die basis zou ik niks durven adviseren, er is meer input nodig.

BV:
- Wat voor soort data gaat over de lijn heen, hoe belangrijk is dit voor jullie business?
- Throughput (hoeveel bandbreedte moet ondersteund worden)
- Voldoende bandbreedte beschikbaar? (extra load op de bestande lijnen voor site2site verkeer)
- Vereiste SLA's, uptime garanties etc. Backup ja/nee
- Hoe is het momenteel opgezet met Firewalls, VPN etc, welke type's..
- Mag niet teveel kosten, wat is er voorzien aan budget?
- Eigen beheer of managed door 3rd party?

Als je al met een vestiging in Mexico en in Miami zit neem ik aan dat de oplossing toch op zijn minst professioneel en betrouwbaar moet zijn met een SLA en support.

Normaal gezien zullen beide locatie's ook al een bepaalde infrastructuur in gebruik hebben met firewall etc, ook iets om rekening mee te houden.

Meeste professionele firewalls ondersteunen zoiets wel (Cisco, Barracuda, Fortinet, etc). Wat de beste keus is is afhankelijk van wat je precies wil, hoe de rest van je netwerk er uit ziet en ook een stuk persoonlijke voorkeur. Exacte type is afhankelijk van bandbreedte en eventuele andere eisen. Als het bedrijf zo in de groei zit daar ook al rekening mee houden en overcapaciteit voorzien.

Dan heb je nog iemand nodig die het kan configureren, installeren en supporteren. No offense maar gezien je vragen heb ik het idee dat je dat zelf niet gaat kunnen.

Alternatief is een site2site internationale MPLS op laten zetten. Dan krijg je gewoon een prive lijn tussen de vestigingen zonder gedoe met firewalls etc, beheer volledig bij de ISP. In de VS is AT&T volgens mij de primaire aanbieder:

https://www.business.att....connect-to-the-cloud.html

Hou er rekening mee dat dat een stevig prijskaartje heeft maar dan heb je ook wat. Niks belet je eens informatie op te vragen.


Blijf in ieder geval ver weg van de consumenten en knutseloplossingen. Zeker als het je job is hierin te adviseren kan je beter voor zekerheid kiezen, goedkoop is vaak duurkoop en dan houden e jou straks verantwoordelijk.

Ik denk dat het zeker verstandig is dat jullie een externe partij hebben ingehuurd voor advies, enige juiste oplossing.

Informeer eventueel ook eens bij een ISP (zoals AT&T), al is het maar om eens te zien wat voor soort MPLS oplossingen zij aan kunnen bieden en je kennis te verbreden.

Blommie01 schreef op donderdag 14 maart 2019 @ 22:24:
[...]


Het wordt steeds gekker... Nu kan TS al in grote problemen komen.

Wat me opvalt is dat jullie vanuit de door TS aangedragen oplossing redeneren terwijl je dit vanuit de vraag moet doen...

"Waarom: wij willen niet dat onze klanten zien dat wij in Mexico zijn en (persoonlijke wens) ik ben klaar met Teamviewer etc."


TS wil dat de klanten niet kunnen zien dat hij vanuit Mexico verbinding maakt. Meer niet.

TS geeft ook aan dat ze van het kantoor in Mexico moeten kunnen inloggen op de CRM toepassingen in het kantoor in Miami gehost wordt. Dit doen ze nu door aan de van TeamViewer inloggen op een PC in het kantoor van Miami en zo het CRM te gebruiken, wat best omslachtig is. Daar wil hij ook een oplossing voor.

Beide problemen kan je dus aanpakken met een Site2Site VPN.
Daarnaast laat Facebook de locatie zien van het hun kantoor in Mexico (dat zal IP based zijn vermoed ik), dus hebben ze er baat bij om onder het IP address van hun Miami office te werken. En dus niet via het IP van een random NordVPN exit point in de VS.

Voor zo'n oplossing, wat schijnbaar wel belangrijk is voor het bedrijf van TS, zou ik de hulp van een professional inroepen. Die komt eens langs bij jullie, probeert in te schatten wat jullie precies nodig hebben en maakt een analyse. En eenmaal de setup is opgeleverd, kunnen jullie daar support op krijgen.

Je kan ook zelf 2 Edge routers of Mikrotik routers halen, maar als het niet goed configureert wordt waardoor een security holes ontstaan, ben je nog verder van huis. Of wanneer er problemen zijn, moet er iemand z'n werk laten vallen om het op te lossen (en er extra veel tijd aan spenderen, want die kent er niks van).

Als zo'n setup echt belangrijk is voor een bedrijf, dan lijkt het me logisch dat je daar budget voor hebt. Maar de vele CEO's kopen liever een 7 serie dan te investeren in IT. Maar achteraf klagen ze wel dat de infrastructuur niet OK is.

Broodro0ster schreef op zaterdag 6 april 2019 @ 00:24:
[...]

TS geeft ook aan dat ze van het kantoor in Mexico moeten kunnen inloggen op de CRM toepassingen in het kantoor in Miami gehost wordt. Dit doen ze nu door aan de van TeamViewer inloggen op een PC in het kantoor van Miami en zo het CRM te gebruiken, wat best omslachtig is. Daar wil hij ook een oplossing voor.

Beide problemen kan je dus aanpakken met een Site2Site VPN.
Daarnaast laat Facebook de locatie zien van het hun kantoor in Mexico (dat zal IP based zijn vermoed ik), dus hebben ze er baat bij om onder het IP address van hun Miami office te werken. En dus niet via het IP van een random NordVPN exit point in de VS.

Voor zo'n oplossing, wat schijnbaar wel belangrijk is voor het bedrijf van TS, zou ik de hulp van een professional inroepen. Die komt eens langs bij jullie, probeert in te schatten wat jullie precies nodig hebben en maakt een analyse. En eenmaal de setup is opgeleverd, kunnen jullie daar support op krijgen.

Je kan ook zelf 2 Edge routers of Mikrotik routers halen, maar als het niet goed configureert wordt waardoor een security holes ontstaan, ben je nog verder van huis. Of wanneer er problemen zijn, moet er iemand z'n werk laten vallen om het op te lossen (en er extra veel tijd aan spenderen, want die kent er niks van).

Als zo'n setup echt belangrijk is voor een bedrijf, dan lijkt het me logisch dat je daar budget voor hebt. Maar de vele CEO's kopen liever een 7 serie dan te investeren in IT. Maar achteraf klagen ze wel dat de infrastructuur niet OK is.

Als ze de kennis intern niet in huis hebben moet er inderdaad hulp van een professional ingeschakeld worden. Dat gaf ik in de vorige post ook aan. 'Professional's' heb je echter ook in alle soorten en maten, je moet dan wel een goede hebben.

Als je vanuit Mexico teamviewer moet gebruiken om de CRM in Miami te raadplegen ben je in ieder geval niet goed bezig.

Mildpower schreef op woensdag 13 maart 2019 @ 04:03:
Heren en dames,

Ik zie door de bomen het bos niet meer.

Ik ben gevraagd door mijn baas om een VPN aan te leggen tussen twee kantoren. Backoffice is in Mexico en de ander in Miami.

Waarom: wij willen niet dat onze klanten zien dat wij in Mexico zijn en (persoonlijke wens) ik ben klaar met Teamviewer etc.

Wat heb ik opgezocht, software programma's (meestal met een externe server maar niet echt een connectie met ons netwerk) hardware (lees server).

Vraag: wat is een goedkope manier (prijs blijft belangrijk) om een secure verbinding aan te leggen. Zonder allerlei grote servers te bouwen.

Ik zat zelf te denken om twee goede routers te kopen en die te connecten.
Maar welke......

Note. We zijn een startup van drie jaar en we groeien als kool, dus het zou mooi zijn om te werken met cliënten in de toekomst.

Mildpower schreef op woensdag 13 maart 2019 @ 11:55:
[...]

Inderdaad het internet gaat dan via Miami, daar hebben we een 500 mbit up en down liggen, in Mexico hebben we 200 mbit up en down liggen.

Ik lees toch wel de meerderheid zeggen een tweetal routers aanschaffen en Viola.

Dus ik denk dat ik dat ga voorstellen. Mijn dan dames en heren.

Miami een 500/500
Mexico 200/200

Wat is hier op vlak van firewall's aan gekoppeld en door wie worden die beheerd?
Voor hetzelfde geld ondersteunen die de nodige functie's en moet het enkel ingesteld worden.

VPN dien je of op de FW's te configureren, of MPLS via de ISP. Eigen routers zijn nutteloos tenzij je via de ISP in Layer 2 gaat. Router komt anders achter de FW die leidend is en de policy bepaald. In geval van MPLS achter een Layer3 router van de ISP die leidend is.


@Mildpower Uit interesse, mag ik vragen wat jouw functie binnen het bedrijf is? Je geeft aan dat ze je betalen voor advies maar ben je bv. IT manager, IT medewerker, Helpdesk, Stagiare, freelance? Wellicht ook relevant hoe groot het bedrijf is? Bedrijf met 10 medewerkers heeft andere eisen dan een bedrijf met 100+ users)

Is niet negatief bedoeld maar als je de opdracht hebt gekregen om een VPN oplossing voor te stellen moet je op zijn minst alle beschikbare info over het netwerk krijgen. Wie heeft het huidige netwerk opgezet en heeft het in beheer?

Lijkt mij, dat als het bedrijf inderdaad groeit als kool, dat het hoog tijd is een IT verantwoordelijke en IT-team in te huren. Al dan niet een managed service provider.

Zoiets wil je niet doen "als het te laat is", want dan gaat het geheid ergens fout. (incomplete documentatie in de handover, bijvoorbeeld. Een "oops, vergeten!" kan zomaar enkele uren, zelfs dagen downtime betekenen)

Mildpower schreef op zaterdag 6 april 2019 @ 06:43:
[...]

Oh die oops momenten hebben we al gehad......
Maar inderdaad we hebben of een extern bedrijf nodig of een IT persoon. Iemand interesse?? Miami mooie stad zonder duinen

Met mijn bedrijf heb ik daar veel ervaring mee. Ik heb je een PM gestuurd.