Toon posts:

Remote desktop en VPN's

Pagina: 1
Acties:

  • Apenz
  • Registratie: Januari 2022
  • Laatst online: 07-02-2022
Hey,

Voor op kantoor moet ik het netwerk met VLAN's inrichten.
Nu willen wij ervoor zorgen dat mensen die thuiswerken laten "Inbellen" via hun eigen laptop/pc, naar de firewall (PFSense).
Gezien wij geen controle hebben over deze devices willen wij dat ze na het inbellen via de VPN geplaatst worden in een VLAN die alleen via TCP/UDP 3389 met ons eigen netwerk mag communiceren.
Het inbellen naar PFSense zal via OpenVPN of Wireguard gebeuren dat draait in PFSense zelf.
Eenmaal verbonden met de VPN maakt de gebruiker via RDP verbinding met zijn PC op het kantoor.
Iedereen op kantoor heeft een eigen PC.

Het is dus de bedoeling dat de gebruiker inbelt via VPN en daarna meteen met RDP kan verbinden (Via IP) naar zijn/haar PC op kantoor.

Heeft iemand suggesties over hoe je dit het beste zou kunnen aanpakken?

Apenz

[Voor 29% gewijzigd door Apenz op 25-01-2022 15:59]


  • donny007
  • Registratie: Januari 2009
  • Laatst online: 13:03

donny007

Try the Nether!

Heeft iemand suggesties over hoe je dit het beste zou kunnen aanpakken?
Simpel gezegd: laat de VPN-clients landen in een apart subnet en richt een firewall in tussen dit netwerk en de rest van de infrastructuur. Middels firewallregels laat je het benodigde verkeer door (DNS, RDP, etc.).

Om gericht advies te kunnen geven is meer informatie nodig over de netwerkopzet (type VPN, subnets, interfaces, firewall, etc.).

/dev/null


  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Maar ze verbinden vervolgens met hun eigen PC waar ze wel alles op kunnen? Voordat je poorten dicht gaat zetten etc moet je je afvragen of je niet beter verkeer vanuit VPN naar het server VLAN moet blokkeren. Lijkt mij handiger. Maak het vooral niet te ingewikkeld maakt beheer een drama en de gebruiker bedroefd als het niet werkt. Maak eerst een risico analyse met scenarios waartegen je het wil beschermen.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Apenz
  • Registratie: Januari 2022
  • Laatst online: 07-02-2022
Ik heb op draw.io een kleine uitwerking van de informatie nu.
De subnets en firewall zijn nog niet geconfigureerd of gedefinieerd.
Het idee is dus dat de werknemers vanuit OpenVPN VLAN verbinding kunnen maken met het werknemer PC VLAN via een routing.


  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 21-12-2022

MAX3400

XBL: OctagonQontrol

Heeft iemand suggesties over hoe je dit het beste zou kunnen aanpakken?
Niet?

Een desktop is geen "remote werkplek"; niet in de laatste plaats omdat ik nergens lees hoe de machines individueel getroubleshoot / beheerd kunnen worden.

En ik mis een beetje hoe & waar data wordt opgeslagen en wie daarvoor verantwoordelijk is. Puur op basis van de tekening kan een werknemer (terech of onterecht) 100% van alle corporate data "per ongeluk" naar huis kopieren.

En allicht interessant; hoe zit het met je licenties?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:43
Gewoon een OpenVPN instance maken met een bepaalde IP Range? Hierop kan je snel en gemakkelijk een ALC maken op basis van de OpenVPN Client IP Range richting de werkstations, of eventueel op basis van de OpenVPN Interface, zou je dit ook kunnen doen.

Je hebt hier echt geen VLAN voor nodig, en voegt ook weinig toe.

Vrij standaard inrichting, al zou je eventueel nog op basis van een bepaalde VPN Client richting zijn eigen werkstations. Is wel meer beheer.

Je moet alleen nog even iets bedenken hoe je de VPN client en profiel neerzet. Ik gebruik hiervoor zelf Viscosity VPN voor en de VPN is op basis van LDAP icm AD Authenticatie. Viscosity kan je als het goed is ook icm een prestaged profiel gebruiken.

Maar dit is een vrij simpele, standaard en gemakkelijke oplossing. Uurtje klikken of misschien een paar in de GUI denk ik?

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Apenz schreef op maandag 24 januari 2022 @ 11:55:
... netwerk met VLAN's ...
... firewall (PFSense)...
... VPN ...
Klinkt alsof je de buzzword generator goed gebruikt hebt. Maar kun je ook vertellen waar dit tegen beschermt?
Voor zover ik het kan bekijken maak je het vooral je eindgebruikers moeilijker maar qua security schiet je er weinig mee op

QnJhaGlld2FoaWV3YQ==


  • Apenz
  • Registratie: Januari 2022
  • Laatst online: 07-02-2022
Bedankt Rolfie, Ik denk inderdaad dat wij te moeilijk zaten te denken.
Het idee met vlan's is dan ook van tafel.
Ik ga nu proberen OpenVPN te configureren met certificaten en de VPN client koppelen aan een werkstation.

Zoals ik het nu begrijp is het 'Meer beheer' zoals je zei vooral als wij nieuwe werknemers hebben omdat je hun certificaat op thuispc moet fixen en op de kantoor PC. Als het eenmaal draait kost het weinig beheer. (lijkt mij)

Deze week ga ik verder met het configureren.
Thanks

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:43
Apenz schreef op dinsdag 1 februari 2022 @ 15:08:
Bedankt Rolfie, Ik denk inderdaad dat wij te moeilijk zaten te denken.
Het idee met vlan's is dan ook van tafel.
Ik ga nu proberen OpenVPN te configureren met certificaten en de VPN client koppelen aan een werkstation.

Zoals ik het nu begrijp is het 'Meer beheer' zoals je zei vooral als wij nieuwe werknemers hebben omdat je hun certificaat op thuispc moet fixen en op de kantoor PC. Als het eenmaal draait kost het weinig beheer. (lijkt mij)

Deze week ga ik verder met het configureren.
Thanks
Nadeel is nu wel, dat je certificaten moet gaan beheren en dat dit nog wel eens vergeten wordt bij uitdiensttreden en dus de VPN actief is en mogelijk blijft, of dat de VPN koppeling gekopieerd kan worden en er dus gewoon toegang mogelijk is/blijft.

Daarom ga ik liever uit van een LDAP/radius connectie richting AD, als men dan uitdienst treed, wordt meestal het account ook uitgeschakeld.

  • HKLM_
  • Registratie: Februari 2009
  • Nu online
Apenz schreef op dinsdag 1 februari 2022 @ 15:08:
Bedankt Rolfie, Ik denk inderdaad dat wij te moeilijk zaten te denken.
Het idee met vlan's is dan ook van tafel.
Ik ga nu proberen OpenVPN te configureren met certificaten en de VPN client koppelen aan een werkstation.

Zoals ik het nu begrijp is het 'Meer beheer' zoals je zei vooral als wij nieuwe werknemers hebben omdat je hun certificaat op thuispc moet fixen en op de kantoor PC. Als het eenmaal draait kost het weinig beheer. (lijkt mij)

Deze week ga ik verder met het configureren.
Thanks
Klinkt wel echt als een beunhazen oplossing… denk dat je even verder moet kijken en een echte oplossing moet implementeren maar dat zal wel weer te duur zijn…

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee