VPN opzetten binnen bedrijfsnetwerk met aparte router

Dus je wilt beveiliging omzeilen om een beveiligingsproduct te benaderen? Lekkere manier....

En ja, dit is vast mogelijk, maar voordat je zoiets doet, overleg even met de IT afdeling of de eigenaar van het netwerk, er zijn vast redenen waarom sommige zaken afgeschermd zijn.

Over wat voor router heb je het? Als het zo dichtgetimmerd is, zal een connectie op het huidige netwerk niets doen.

Anoniem: 1159852 schreef op donderdag 9 april 2020 @ 20:31:
[...]


Het is wel de bedoeling dat de verbinding veilig is natuurlijk.

Ja dan nog....

Eigen netwerk en eigen verbinding is veilig.

Het gaat erom dat niet iemand per ongeluk op jouw gehackte router de fileserver leeg trekt. Ben je daar voor verzekerd? Gezien jij iets levert.

Veilig volgens wie?
Wat is je opdracht? Iemand heeft gevraagd dit te plaatsen. Dan moet dat toch ook te managen zijn?
Of wil je iets doen wat buiten de opdracht is?

Je kunt van alles doen. Maar wie gaat jouw netwerk dan maken/beheren.
En voldoet dat dan aan de eisen van het bedrijf?

Haha.
Kort gezegd. Ja het kan.
IT kan ook meewerken.

Wat ik bedoel is. "zomaar" wat gaan "knutselen" is niet de bedoeling.

Als iemand wil dat er cameras komen. Dan moet het huidige netwerk aangepast worden.
En dat zou ook kunnen betekenen dat je de beelden niet vanaf thuis kunt bekijken, Maar dat je eerst met VPN naar binnen moet.

Ik zou het iig niet fijn vinden als iemand maar een extra netwerkje gaat aanleggen zonder dat ik er van afweet. etc.

Ik snap het niet. Zal wel het lekkere weer en bier zijn.

Maar waarom heb je portforwarding nodig?
Wat is nu je doel wat je wilt bereiken. En waarom wil je daarvoor een eigen VPN server plaatsen en eigen netwerk? En hoe wil je dat netwerk aan internet hangen zodat jij er bij kan?

Waarom niet gewoon aansluiten op de infra die er is. En die voldoet aan de inrichting en eisen van de opdrachtgever.

Je kan er vast intern bij (je camera's) Dus gebruik de VPN van de opdracht geven om op afstand bij je camera's te komen.

Ons camera systeem heeft zelfs een eigen VLAN bv.
Je wilt niet dat andere zomaar bij die beelden e.d. kunnen.

Gewoon niet doen.
Nooit.

Als ICT d'r achter komt heb je een veel groter probleem dan het gewoon via de juiste weg regelen.

Blijkbaar is er een case voor jouw installatie en staat de directie van het bedrijf daar achter, dan is het aan hen om ICT de opdracht te geven jou te faciliteren.

Zulk soort dingen doe je in overleg met hen of je doet het niet. Als zij vinden dat jouw oplossing onveilig is, moet je eens serieus gaan nadenken over je oplossing...

unezra schreef op donderdag 9 april 2020 @ 20:52:
Gewoon niet doen.
Nooit.

Als ICT d'r achter komt heb je een veel groter probleem dan het gewoon via de juiste weg regelen.

Blijkbaar is er een case voor jouw installatie en staat de directie van het bedrijf daar achter, dan is het aan hen om ICT de opdracht te geven jou te faciliteren.

Zulk soort dingen doe je in overleg met hen of je doet het niet. Als zij vinden dat jouw oplossing onveilig is, moet je eens serieus gaan nadenken over je oplossing...

Dit. Zo erg dit. ☝🏻

De functionele vraag is om de camera;s op afstand te benaderen.

Dat hoeft dus niet met port forwarding. Dat kan je ook terugkoppelen.

De beweegredenen weet ik idd niet. Maar iets op tuigen naast huidige infra doe je niet zo maar omdat iemand dat vraagt. Je mag best kritisch zijn.

Anoniem: 1159852 schreef op donderdag 9 april 2020 @ 20:54:
Port fowarding is nodig om de camera's extern te benaderen en om ze op afstand te kunnen bekijken. Dat is een wens van de klant en de beweegreden van die klant om dit aan mij te vragen en niet aan IT is verder niet relevant. Nogmaals ik stel alleen maar een vraag. Maar dit topic mag dicht wat mij betreft. Zo komen we er toch niet uit

Zonder een goede context kan hooguit de nadruk gelegd worden op de consequenties, de vraag komt namelijk (op mij) over als het omzeilen van beveiliging. Daarnaast camera's in combinatie met port forwards...daar kan je al per definitie je twijfels bij hebben.

Misschien een vraag die je jezelf mag stellen: waarom wordt deze vraag aan jou gesteld en wat ga jij doen als blijkt dat de camera's onderdeel zijn van een botnetwerk?

Anoniem: 1159852 schreef op donderdag 9 april 2020 @ 20:54:
[...]


Port fowarding is nodig om de camera's extern te benaderen en om ze op afstand te kunnen bekijken. Dat is een wens van de klant en de beweegreden van die klant om dit aan mij te vragen en niet aan IT is verder niet relevant. Nogmaals ik stel alleen maar een vraag. Maar dit topic mag dicht wat mij betreft. Zo komen we er toch niet uit

Port forwarding is eigenlijk altijd een slecht idee, tenzij je het doet om bijv. en VPN-server of SSH-server te ontsluiten. En al helemaal voor een paar camera's. Die zou je sowieso niet rechtstreeks moeten benaderen, maar via een NVR of surveillance systeem.

Topics worden op tweakers niet dichtgegooid om dat je het niet eens bent met de feedback. Je kan misschien beter de informatie tot je nemen en begrijpen dat een probleem eigenlijk nooit een 'technisch' probleem is zoals je het nu schetst. Natuurlijk zijn er methodes om systemen op afstand te benaderen. Het gaat er hier om dat je het op de juiste manier doet, en dat is in 99% van de gevallen niet zonder medewerking van bestaande mensen en systemen.

Zoals al gepost is: op z'n minst een VPN verbinding en als het om een vast knooppunt gaat (site-to-site bijv.) kan je de 'veiligste' of 'meest gecontroleerde' kant de host maken die open staat (al dan niet met een IP whitelist, elke barrière helpt) en de andere kant de client kant. Maar dat dan gebruiken om individuele camera's te benaderen klinkt als een knutselwerkje waar niemand blij van wordt.

Als het problematisch genoeg is om er een topic voor te openen en je standpunt twee keer bij te draaien (eerst is het 'omzeilen' voor servicing daarna opeens 'bekijken') kan je misschien beter gewoon een service afnemen. Dan laat je alle camera's zelf verbinding maken met de service provider en ga je daar je camera's bekijken.

Als ik het goed begrijp wil de TS een aggressive mode IPSEC VPN naar kantoor bouwen, om zo door NAT heen te prikken. Dat is toch niet heel gek? Gek zou zijn als hij het naar zijn huis toe wilt opzetten. Ik zie liever een IPSEC VPN dan dat we die IP camera open en bloot op het internet aansluiten met een NAT rule

[ Voor 3% gewijzigd door webfreakz.nl op 09-04-2020 21:33 ]

Anoniem: 1159852 schreef op donderdag 9 april 2020 @ 20:54:
[...]


Port fowarding is nodig om de camera's extern te benaderen en om ze op afstand te kunnen bekijken. Dat is een wens van de klant en de beweegreden van die klant om dit aan mij te vragen en niet aan IT is verder niet relevant.

Maar als er een duidelijke wens van de klant is, dan moet it gewoon meewerken. Dan hoef jij geen dingen te doen om dat te omzeilen.

Nogmaals ik stel alleen maar een vraag. Maar dit topic mag dicht wat mij betreft. Zo komen we er toch niet uit

Jij vraagt of het mogelijk is om de netwerkbeveiliging te omzeilen en het netwerk aan een ander netwerk te koppelen en daarmee allerlei risico's te introduceren.
Wij raden je dat af.

Het advies is om dit samen met de IT organisatie te doen. Als je tips wilt hebben om een veilige opstelling te maken, kunnen we daar mee helpen.

Anoniem: 1159852 schreef op donderdag 9 april 2020 @ 20:33:
[...]


Geen idee welke router ze gebruiken. IT wilt in ieder geval niet echt meehelpen. En ik weet dat er manieren zijn om vanuit een netwerk naar buiten te gaan als sperraat netwerk. Ik verwoord het misschien niet helemaal goed maar ik hoop dat het idee duidelijk is

Nuff said dus en klaar is je case.

webfreakz.nl schreef op donderdag 9 april 2020 @ 21:32:
Als ik het goed begrijp wil de TS een aggressive mode IPSEC VPN naar kantoor bouwen, om zo door NAT heen te prikken. Dat is toch niet heel gek? Gek zou zijn als hij het naar zijn huis toe wilt opzetten. Ik zie liever een IPSEC VPN dan dat we die IP camera open en bloot op het internet aansluiten met een NAT rule

Nee, dat is niet wat de TS wil, want de TS weet niet wat IPSec is, wat agressieve mode is en kan waarschijnlijk het onderscheid tussen IKEv1 en IKEv2 niet eens maken. Niks mis mee, maar dit staat wel heel erg ver weg van het kennisniveau en het mensen/management probleem wat het eigenlijk is. Boven dien weten we niet welke van de twee kanten de 'client' wordt. We kunnen ook doen alsof het niet uitmaakt of de camera's op een eigen L2 zitten, maar dat is net zo belangrijk gezien zo'n beetje alle camera's prima dienst kunnen doen als bijv. mirai nodes. Dat moet je niet op een gedeeld netwerk willen, en al helemaal niet op een VPN die overal bij mag.

[ Voor 19% gewijzigd door johnkeates op 09-04-2020 21:53 ]

Nee je kunt niet zomaar vanuit hun lan naar de wan op je router om zo een eigen netwerk te maken. Je hangt dan nog steeds gewoon in hun netwerk en je hebt ook nog steeds te maken met alle blokkades die op dat netwerk zitten.

Er zijn gewoon NVRs die de beelden verzamelen en Cloud-apps bieden zonder portforwarding.
NVR legt connectie met cloud, maar upload alleen beed als je de app opent.

Vraag gewoon een extra internet lijntje aan. Eigen router met vpn eraan en gaan

Anoniem: 1159852 schreef op donderdag 9 april 2020 @ 20:54:
[...]


Port fowarding is nodig om de camera's extern te benaderen en om ze op afstand te kunnen bekijken. Dat is een wens van de klant en de beweegreden van die klant om dit aan mij te vragen en niet aan IT is verder niet relevant. Nogmaals ik stel alleen maar een vraag. Maar dit topic mag dicht wat mij betreft. Zo komen we er toch niet uit

Dan heb je een paar opties en ga hierbij uit dat je een eigen netwerk maakt en dus zelf een router levert met bijhorende switches / nvr.

1) laat de klant het lekker uitvechten met zijn it gasten. Neem in je offerte op dat de klant zorgt voor een werkende internet verbinding zonder blokkades.

2) als het geen continue verbinding is neem dan in de offerte een 4g oplossing op tegen bedrag xx per maand.

3) als er wel continu verbinding nodig is dan neem je een xdsl verbinding op in je offerte voor xx euro per maand.

4) proberen beveiliging te zien omzeilen en gezeur met IT en je klant te krijgen. IT die weer een manier zoekt om jouw oplossing te blokkeren. 2 jaar en veel frustratie later ben je klant kwijt.

[ Voor 9% gewijzigd door Jan-man op 09-04-2020 23:43 ]

webfreakz.nl schreef op donderdag 9 april 2020 @ 21:32:
Als ik het goed begrijp wil de TS een aggressive mode IPSEC VPN naar kantoor bouwen, om zo door NAT heen te prikken. Dat is toch niet heel gek? Gek zou zijn als hij het naar zijn huis toe wilt opzetten. Ik zie liever een IPSEC VPN dan dat we die IP camera open en bloot op het internet aansluiten met een NAT rule

Wat gek is, is dat hij de lokale ICT afdeling wil omzeilen "omdat die niet meewerken".
Als ik daar als beheerder achter zou komen zou met een beetje pech TS een heel ander gesprek met me hebben.

Het gaat er niet om dat ik, we TS niet willen helpen met een goede, veilige oplossing. Het gaat er om dat dit lijnrecht in gaat tegen iedere policy op ICT gebied. Je omzeilt de lokale ICT niet. Die hebben hun functie en verantwoordelijkheden. TS wil daar omheen werken en mogelijk een veiligheidsgat *introduceren* in het netwerk van de klant, dat buiten controle van ICT valt.

Bij een klein bedrijf kom je daar met wat pech nog mee weg, bij een groot bedrijf heb je een veel groter probleem dan je camera oplossing die weer van de muur word gesloopt.

Goed, @Anoniem: 1159852 zou je nog mee willen doen in deze discussie of niet? Want het topic openhouden zodat we zonder iemand te helpen allerlei aannames moeten doen is ook niet waardevol.

Probeer er even constructief in te zitten, dan kunnen we je beter helpen. Beschrijf bijvoorbeeld eens wat jouw technische eisen zijn en waarom je denkt dat de lokale IT niet mee wil werken.