Remote desktop en VPN's

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Apenz
  • Registratie: Januari 2022
  • Laatst online: 31-01 08:46
Hey,

Voor op kantoor moet ik het netwerk met VLAN's inrichten.
Nu willen wij ervoor zorgen dat mensen die thuiswerken laten "Inbellen" via hun eigen laptop/pc, naar de firewall (PFSense).
Gezien wij geen controle hebben over deze devices willen wij dat ze na het inbellen via de VPN geplaatst worden in een VLAN die alleen via TCP/UDP 3389 met ons eigen netwerk mag communiceren.
Het inbellen naar PFSense zal via OpenVPN of Wireguard gebeuren dat draait in PFSense zelf.
Eenmaal verbonden met de VPN maakt de gebruiker via RDP verbinding met zijn PC op het kantoor.
Iedereen op kantoor heeft een eigen PC.

Het is dus de bedoeling dat de gebruiker inbelt via VPN en daarna meteen met RDP kan verbinden (Via IP) naar zijn/haar PC op kantoor.

Heeft iemand suggesties over hoe je dit het beste zou kunnen aanpakken?

Apenz

[ Voor 29% gewijzigd door Apenz op 25-01-2022 15:59 ]


Acties:
  • 0 Henk 'm!

  • donny007
  • Registratie: Januari 2009
  • Laatst online: 20:57

donny007

Try the Nether!

Heeft iemand suggesties over hoe je dit het beste zou kunnen aanpakken?
Simpel gezegd: laat de VPN-clients landen in een apart subnet en richt een firewall in tussen dit netwerk en de rest van de infrastructuur. Middels firewallregels laat je het benodigde verkeer door (DNS, RDP, etc.).

Om gericht advies te kunnen geven is meer informatie nodig over de netwerkopzet (type VPN, subnets, interfaces, firewall, etc.).

/dev/null


Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Maar ze verbinden vervolgens met hun eigen PC waar ze wel alles op kunnen? Voordat je poorten dicht gaat zetten etc moet je je afvragen of je niet beter verkeer vanuit VPN naar het server VLAN moet blokkeren. Lijkt mij handiger. Maak het vooral niet te ingewikkeld maakt beheer een drama en de gebruiker bedroefd als het niet werkt. Maak eerst een risico analyse met scenarios waartegen je het wil beschermen.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • Apenz
  • Registratie: Januari 2022
  • Laatst online: 31-01 08:46
Ik heb op draw.io een kleine uitwerking van de informatie nu.
De subnets en firewall zijn nog niet geconfigureerd of gedefinieerd.
Het idee is dus dat de werknemers vanuit OpenVPN VLAN verbinding kunnen maken met het werknemer PC VLAN via een routing.

Afbeeldingslocatie: https://tweakers.net/i/ZC_O9jd_7sZZNb1DUrHDperj6yU=/800x/filters:strip_exif()/f/image/cDb3EPhSOnuzy8QJVjir0Z7c.png?f=fotoalbum_large

Acties:
  • +2 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 10-07 12:56

MAX3400

XBL: OctagonQontrol

Heeft iemand suggesties over hoe je dit het beste zou kunnen aanpakken?
Niet?

Een desktop is geen "remote werkplek"; niet in de laatste plaats omdat ik nergens lees hoe de machines individueel getroubleshoot / beheerd kunnen worden.

En ik mis een beetje hoe & waar data wordt opgeslagen en wie daarvoor verantwoordelijk is. Puur op basis van de tekening kan een werknemer (terech of onterecht) 100% van alle corporate data "per ongeluk" naar huis kopieren.

En allicht interessant; hoe zit het met je licenties?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • +2 Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 21:05
Gewoon een OpenVPN instance maken met een bepaalde IP Range? Hierop kan je snel en gemakkelijk een ALC maken op basis van de OpenVPN Client IP Range richting de werkstations, of eventueel op basis van de OpenVPN Interface, zou je dit ook kunnen doen.

Je hebt hier echt geen VLAN voor nodig, en voegt ook weinig toe.

Vrij standaard inrichting, al zou je eventueel nog op basis van een bepaalde VPN Client richting zijn eigen werkstations. Is wel meer beheer.

Je moet alleen nog even iets bedenken hoe je de VPN client en profiel neerzet. Ik gebruik hiervoor zelf Viscosity VPN voor en de VPN is op basis van LDAP icm AD Authenticatie. Viscosity kan je als het goed is ook icm een prestaged profiel gebruiken.

Maar dit is een vrij simpele, standaard en gemakkelijke oplossing. Uurtje klikken of misschien een paar in de GUI denk ik?

Acties:
  • +1 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Apenz schreef op maandag 24 januari 2022 @ 11:55:
... netwerk met VLAN's ...
... firewall (PFSense)...
... VPN ...
Klinkt alsof je de buzzword generator goed gebruikt hebt. Maar kun je ook vertellen waar dit tegen beschermt?
Voor zover ik het kan bekijken maak je het vooral je eindgebruikers moeilijker maar qua security schiet je er weinig mee op

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • Apenz
  • Registratie: Januari 2022
  • Laatst online: 31-01 08:46
Bedankt Rolfie, Ik denk inderdaad dat wij te moeilijk zaten te denken.
Het idee met vlan's is dan ook van tafel.
Ik ga nu proberen OpenVPN te configureren met certificaten en de VPN client koppelen aan een werkstation.

Zoals ik het nu begrijp is het 'Meer beheer' zoals je zei vooral als wij nieuwe werknemers hebben omdat je hun certificaat op thuispc moet fixen en op de kantoor PC. Als het eenmaal draait kost het weinig beheer. (lijkt mij)

Deze week ga ik verder met het configureren.
Thanks

Acties:
  • 0 Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 21:05
Apenz schreef op dinsdag 1 februari 2022 @ 15:08:
Bedankt Rolfie, Ik denk inderdaad dat wij te moeilijk zaten te denken.
Het idee met vlan's is dan ook van tafel.
Ik ga nu proberen OpenVPN te configureren met certificaten en de VPN client koppelen aan een werkstation.

Zoals ik het nu begrijp is het 'Meer beheer' zoals je zei vooral als wij nieuwe werknemers hebben omdat je hun certificaat op thuispc moet fixen en op de kantoor PC. Als het eenmaal draait kost het weinig beheer. (lijkt mij)

Deze week ga ik verder met het configureren.
Thanks
Nadeel is nu wel, dat je certificaten moet gaan beheren en dat dit nog wel eens vergeten wordt bij uitdiensttreden en dus de VPN actief is en mogelijk blijft, of dat de VPN koppeling gekopieerd kan worden en er dus gewoon toegang mogelijk is/blijft.

Daarom ga ik liever uit van een LDAP/radius connectie richting AD, als men dan uitdienst treed, wordt meestal het account ook uitgeschakeld.

Acties:
  • +1 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 15:11
Apenz schreef op dinsdag 1 februari 2022 @ 15:08:
Bedankt Rolfie, Ik denk inderdaad dat wij te moeilijk zaten te denken.
Het idee met vlan's is dan ook van tafel.
Ik ga nu proberen OpenVPN te configureren met certificaten en de VPN client koppelen aan een werkstation.

Zoals ik het nu begrijp is het 'Meer beheer' zoals je zei vooral als wij nieuwe werknemers hebben omdat je hun certificaat op thuispc moet fixen en op de kantoor PC. Als het eenmaal draait kost het weinig beheer. (lijkt mij)

Deze week ga ik verder met het configureren.
Thanks
Klinkt wel echt als een beunhazen oplossing… denk dat je even verder moet kijken en een echte oplossing moet implementeren maar dat zal wel weer te duur zijn…

Cloud ☁️

Pagina: 1