Vraag VPN t.b.v. Remote werken

Vraag

zaterdag 3 december 2022 15:40

Acties:

0 Henk 'm!

Denkt Koning te zijn

Topicstarter

Mijn vraag

Beste Tweakers,

Een vriend van mij heeft de wens om via remote desktop te kunnen werken vanaf zijn iPad. Gezien je daarvoor in hetzelfde netwerk dient te zijn lijkt de logische oplossing een VPN, echter is het netwerk op dit moment ingericht via een Deco systeem welke verbinding krijgt via een utp kabel welke aangesloten is op de modem. De modem staat in een ander pand gezien het pand waarin hij zit geen aansluiting (noch actieve mogelijkheid) heeft.

De modem is van T-mobile en nu lijkt mij de oplossing om deze te vervangen door een eigen router, bijvoorbeeld deze Edgerouter.

Echter is mijn kennis door een langdurig gebrek aan toepassing compleet onder 't stof geraakt waardoor ik nu even niet weet waar ik het verder moet zoeken.

(ter verduidelijking dus: het modem staat in pand X van bedrijf X, de Deco staat in Pand Y van bedrijf Y.)

Mijn vraag is dus; is een edgerouter de ideale oplossing om een vpn op te zetten c.q. remote te kunnen werken. Goed om te weten; programma's zoals teamviewer zijn niet gewenst, enkel RD.

Relevante software en hardware die ik gebruik
Deco M9 Plus
-> TP-Link TL-SG108
-> 4 Dell P6000 Docking stations, 2 Desktops

Windows 11 Pro desk- en laptops
Microsoft 365 Business Premium
Omvang van organisatie: 8 man

Wat ik al gevonden of geprobeerd heb
1. https://www.tp-link.com/nl/support/faq/2645/
2. https://www.tp-link.com/nl/support/faq/1545/
3. https://www.tp-link.com/nl/support/faq/1544/
4. https://community.t-mobil...uter-iptv-internet-342141

Goed om te weten is dat ik niet weet welk modem c.q. verbinding er is in het andere pand. De eigenaar is dit weekend niet aanwezig dus zodra ik dat weet vul ik dat in.

No guts, no glory| Nikon D610/Z50 Tamron SP 15-30 F2.8, 90 F2.8 macro, Sigma 150-500 Nikon 50 1,4G, 70-210 F4, SB-900

Alle reacties

zaterdag 3 december 2022 16:33

Acties:

+1 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Modems en routers

Kun je de use case met iPad verduidelijken?

Gaat het om iPad in pand Y die verbinding moet maken met resources op ander adres?
Of iPad op ander adres die verbinding moet maken met resources in pand Y?

Ik lees het vooral als dat tweede geval. Strict genomen hoef je om dat te realiseren niets te wijzigen in hoe het netwerk opgezet is. Je hebt alleen een VPN server nodig in het pand (computer/appliance die VPN server draait) en een VPN client op de iPad.

Dat gezegd, deze hele netwerk waarbij bedrijven X en Y alles delen is natuurlijk krankzinnig amateuristisch, met grote risico's rondom vertrouwelijkheid data en verkeer, en afbreukrisico in geval X en Y niet meer op goede voet zijn danwel als X uit dat pand weg verhuist. Je kunt prima een enkele internetverbinding veilig delen, maar dat doe je niet met een random hoopje consumer-grade spullen zoals hier_{waarbij totaalbedrag dat eraan uitgegeven is lager is dan per kwartaal alleen al aan softwarelicenties aan Microsoft uitgegeven wordt...}.
Vraag is natuurlijk of jij wel - gezien hoe stoffig je kennis naar eigen zeggen is - de juiste bent om daar verandering in te brengen.

Een geschiktere oplossing zou voorzien in aparte VLANs vanaf modem (of een router er direct achter) in pand X, zodat bedrijf X niet bij verkeer van bedrijf Y kan, een router in pand Y met VPN endpoint en een enterprise WiFi oplossing waarmee ex-medewerkers vanaf moment dat ze dat zijn geen toegang meer kunnen krijgen tot de WiFi van het bedrijf.

Dat kan met apparatuur van Ubiquiti (die EdgeRouter) maar ook met die van 1001 andere leveranciers. Veel belangrijkere vraag is wie de oplossing gaat implementeren en ondersteunen. Voor een klein bedrijf is het bijna altijd handiger om support in te kopen in plaats van eigen medewerkers _{meervoud, want mensen zijn wel eens ziek of op vakantie} te trainen om het zelf te kunnen. Enige uitzondering is als je core product juist networking is, waardoor nagenoeg iedereen in primaire proces dat al heeft. Gezien je vraag en stoffigheid van kennis is dat alvast bij jullie niet het geval. Als je een geschikte partij gevonden hebt, zullen zij doorgaans de hardware kiezen of in ieder geval aanraden waar ze mee werken.

Oslik blyat! Oslik!

zaterdag 3 december 2022 16:49

Acties:

+2 Henk 'm!

SMSfreakie

heel vroeger had ik gewoon de RDP poort openstaan in mn thuis router... alleen voor bedrijfsmatig gebruik zou ik het niet doen....
want immers kan iedereen dan met de RDP service verbinden.. al moet je dan ook nog wel de username + pass hebben denk ik..

404 Signature not found

zaterdag 3 december 2022 20:54

Acties:

+4 Henk 'm!

nelizmastr

Goed wies kapot

SMSfreakie schreef op zaterdag 3 december 2022 @ 16:49:
heel vroeger had ik gewoon de RDP poort openstaan in mn thuis router... alleen voor bedrijfsmatig gebruik zou ik het niet doen....
want immers kan iedereen dan met de RDP service verbinden.. al moet je dan ook nog wel de username + pass hebben denk ik..

RDP buiten de deur doe je met een RDS gateway met publieke domeinnaam en certificaat en anders met een VPN. 3389 openzetten was in 1996 misschien nog acceptabel maar als iemand dat anno 2022 nog doet moet wel een masochist zijn

I reject your reality and substitute my own

zaterdag 3 december 2022 22:12

Acties:

+1 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Modems en routers

nelizmastr schreef op zaterdag 3 december 2022 @ 20:54:
[...]

RDP buiten de deur doe je met een RDS gateway met publieke domeinnaam en certificaat en anders met een VPN. 3389 openzetten was in 1996 misschien nog acceptabel maar als iemand dat anno 2022 nog doet moet wel een masochist zijn

Masochist met nul ambitie om te voldoen aan ISO 27000-reeks...

Oslik blyat! Oslik!

zondag 4 december 2022 08:50

Acties:

+1 Henk 'm!

nelizmastr

Goed wies kapot

dion_b schreef op zaterdag 3 december 2022 @ 22:12:
[...]

Masochist met nul ambitie om te voldoen aan ISO 27000-reeks...

Ach, dan kan die 3389 verstoppen achter poort 27000

Security through obscurity. Het vergiet van veiligheid

I reject your reality and substitute my own

zondag 4 december 2022 08:56

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Moet het per se RDP zijn? Waarom niet TeamViewer/ Anydesk / etc. gebruiken zodat je niet aan het netwerk hoeft te rommelen of met een VPN aan de gang hoeft?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zondag 4 december 2022 13:45

Acties:

+1 Henk 'm!

Frogmen

Heel simpel gezegd kan het ook door een oude PC met een openvpn server geinstalleerd in het netwerk te zetten en de juiste poort te forwarden naar die PC, vandaar kan je dan verder. Linux is daar goed in ClearOS is een lekker simpele distro die het kan.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zondag 4 december 2022 16:46

Acties:

0 Henk 'm!

Inoble

Denkt Koning te zijn

Topicstarter

dion_b schreef op zaterdag 3 december 2022 @ 16:33:
Kun je de use case met iPad verduidelijken?

Allereerst nog ter complete verduidelijking: Het is een klein bedrijventerrein met enkele panden en een loods. De loods is gedeelde huur met auto hobbyisten (die zelf geen internet nodig hebben) daarnaast heeft de loods een kantoorgedeelte, daar zit hij dus in. Het bedrijf van mijn kameraad is een installatiebedrijf dat hij destijds solo is begonnen, vandaar de keuze voor de loods; het was meer dan genoeg en voorlopig is het ruim voldoende.

Op dit moment groeit het bedrijf en zijn er verschillende monteurs in dienst welke vaak buiten de deur zijn en ten behoeve van de workflow graag vanaf afstand administratieve taken bijhouden. Het probleem is alleen dat de software niet op een ander OS werkt dan Windows en er per licentie betaald wordt. Deze licenties zijn gekoppeld aan de desktops.

Omdat een laptop een stuk groter én fragieler is dan de iPad is het ideale scenario om remote te werken vanaf de iPad gezien deze altijd mee gaat de werkvloer op ongeacht hoe vochtig of stoffig, koud of warm het er is. (Het gaat dus echt om het werken, niet om data)

dion_b schreef op zaterdag 3 december 2022 @ 16:33:

Dat gezegd, deze hele netwerk waarbij bedrijven X en Y alles delen is natuurlijk krankzinnig amateuristisch, met grote risico's rondom vertrouwelijkheid data en verkeer, en afbreukrisico in geval X en Y niet meer op goede voet zijn danwel als X uit dat pand weg verhuist. Je kunt prima een enkele internetverbinding veilig delen, maar dat doe je niet met een random hoopje consumer-grade spullen zoals hier_{waarbij totaalbedrag dat eraan uitgegeven is lager is dan per kwartaal alleen al aan softwarelicenties aan Microsoft uitgegeven wordt...}.
Vraag is natuurlijk of jij wel - gezien hoe stoffig je kennis naar eigen zeggen is - de juiste bent om daar verandering in te brengen.

Een geschiktere oplossing zou voorzien in aparte VLANs vanaf modem (of een router er direct achter) in pand X, zodat bedrijf X niet bij verkeer van bedrijf Y kan, een router in pand Y met VPN endpoint en een enterprise WiFi oplossing waarmee ex-medewerkers vanaf moment dat ze dat zijn geen toegang meer kunnen krijgen tot de WiFi van het bedrijf.

Mee eens dat het amateuristisch is op dit moment, eveneens dat mijn kennis en ik als persoon daarom wellicht niet de gewezen persoon ben. Maar om hem op het goede pad te wijzen, bij te kunnen staan, er zelf weer wat van te kunnen leren en tot slot wat meer interactie op Tweakers te hebben kan dit vraagstuk alleen maar positieve bijdrage hebben richting de ideale oplossing

Inhoudelijk op je vraag; Bedrijf X is eveneens een installatiebedrijf (andere sector) maar beide hebben dus niet de meeste affiniteit met IT en willen net zoals de huur een werkend geheel voor een betaalbare prijs.

Wat dan wel weer een bonus is, is dat bedrijf X eveneens enthousiast is over veranderingen in het netwerk en de toevoeging van VPN voor zijn bedrijf. Dus een router waarbij de bedrijven inderdaad worden ingericht in aparte VLAN's is al een stap dichterbij.

Daar weer terugkomend op mijn kennis weet ik nog niet of het mij het risico waard is om de eventuele stress die veroorzaakt kan worden wanneer je langere downtime hebt dan gepland. Ik heb al jaren geen CLI meer gezien of überhaupt enige interactie met servers (overgestapt naar de luchtvaart, mijn NAS draait en that's it, semi oerbewoner nu met zo min mogelijk smart apparatuur) maar weet dat het ook weer niet het moeilijkste klusje ter wereld is als je eenmaal bezig bent. Echter blijft ook dan de vraag wat de meest optimale optie is

No guts, no glory| Nikon D610/Z50 Tamron SP 15-30 F2.8, 90 F2.8 macro, Sigma 150-500 Nikon 50 1,4G, 70-210 F4, SB-900

zondag 4 december 2022 16:51

Acties:

0 Henk 'm!

Inoble

Denkt Koning te zijn

Topicstarter

Orion84 schreef op zondag 4 december 2022 @ 08:56:
Moet het per se RDP zijn? Waarom niet TeamViewer/ Anydesk / etc. gebruiken zodat je niet aan het netwerk hoeft te rommelen of met een VPN aan de gang hoeft?

De interactie via teamviewer was niet op gewenst niveau zoals dat bij de RD app van MS wel is. Tevens kost het bedrijfsmatig ook geld en is het niet zo stabiel qua verbinding

No guts, no glory| Nikon D610/Z50 Tamron SP 15-30 F2.8, 90 F2.8 macro, Sigma 150-500 Nikon 50 1,4G, 70-210 F4, SB-900

zondag 4 december 2022 17:13

Acties:

0 Henk 'm!

jeanj

F5 keeps me alive

Als eerste

Een vriend van mij heeft de wens om via remote desktop te kunnen werken vanaf zijn iPad. Gezien je daarvoor in hetzelfde netwerk dient te zijn lijkt de logische oplossing een VPN

VPN is een mogelijk oplossing maar niet om de reden die je geeft, je kan best vanuit een andere netwerk Remote Desktopen.

Nog wat vragen
1. die Deco zijn wifi AP's zo te zien, dus zijn de desktop die je wilt bereiken via wifi aangesloten?
2. Is dat (wifi?) netwerk hetzelfde als het bedrade netwerk vanuit het moden (zijn de ip reeksen hetzelfde) of routeren die deco's ook (eventueel inclusief firewall)
3. Zo niet hoe wil je de individuele werkplekken benaderen? Hebben ze vaste ip's of een naam, en indien het laatste , is die buiten de deco bekend ?

Ik zou eerst eens een laptop aan de Modem hangen en kijken of je dan kan remote dekstoppen naar alle desktops. Ik vermoed dat je daarvoor nog wel iets moet doen om het zover te krijgen.

Daarna kan je of een vpn server gaan inrichten, echter of het handig is daarvoor de modem te vervangen is een andere vraag, met name omdat het decoderen van het verkeer nog al wat rekenkracht, zeker voor 8+ apparaten, en het de vraag is of het modem dat aan kan. Ik zou eerder er voor kiezen een aparte device daarvoor neer te zetten. Succes

Everything is better with Bluetooth

zondag 4 december 2022 17:49

Acties:

0 Henk 'm!

Jan-man

Als je een eigen router kan plaatsen zou ik er een pfsense neerzetten met OpenVPN erop. Werkt eigenlijk altijd, ook op lokaties waar vaak wat strengere security is.

maandag 5 december 2022 16:33

Acties:

0 Henk 'm!

Inoble

Denkt Koning te zijn

Topicstarter

jeanj schreef op zondag 4 december 2022 @ 17:13:
Als eerste
[...]

VPN is een mogelijk oplossing maar niet om de reden die je geeft, je kan best vanuit een andere netwerk Remote Desktopen.

Dan gok ik dat je doelt op de poorten wijzigen in de registry van de desbetreffende pc's?

jeanj schreef op zondag 4 december 2022 @ 17:13:
Nog wat vragen
1. die Deco zijn wifi AP's zo te zien, dus zijn de desktop die je wilt bereiken via wifi aangesloten?
2. Is dat (wifi?) netwerk hetzelfde als het bedrade netwerk vanuit het moden (zijn de ip reeksen hetzelfde) of routeren die deco's ook (eventueel inclusief firewall)
3. Zo niet hoe wil je de individuele werkplekken benaderen? Hebben ze vaste ip's of een naam, en indien het laatste , is die buiten de deco bekend ?

1. Ja
2. Nee, de Deco is een eigen netwerk met een eigen range. Nu ik alles zo teruglees snap ik de verwarring, maar dat was een nog grotere flater geweest.
3. nvt dus

jeanj schreef op zondag 4 december 2022 @ 17:13:
Daarna kan je of een vpn server gaan inrichten, echter of het handig is daarvoor de modem te vervangen is een andere vraag, met name omdat het decoderen van het verkeer nog al wat rekenkracht, zeker voor 8+ apparaten, en het de vraag is of het modem dat aan kan. Ik zou eerder er voor kiezen een aparte device daarvoor neer te zetten. Succes

Oké, maar gezien de eigenaar van de modem c.q. pand X ook welwillend is om de situatie te scheiden en verbeteren zou je dan dus zeggen:

- Behoud de modem en dan een statisch IP toewijzen aan een e.g.edgerouter met pfsense, hierop VLANs instellen voor bedrijf X en Y en daarin een e.g. openvpn server hangen. In zo'n geval hebben we dus nog wel AP's nodig voor bedrijf X

Afsluitend: fijn dat er zoveel al gereageerd is. De kracht van GoT, moet hier vaker dingen lezen of beter gezegd; tijd voor vrijmaken

No guts, no glory| Nikon D610/Z50 Tamron SP 15-30 F2.8, 90 F2.8 macro, Sigma 150-500 Nikon 50 1,4G, 70-210 F4, SB-900

donderdag 8 december 2022 13:15

Acties:

0 Henk 'm!

jeanj

F5 keeps me alive

Mijn vraag 3 is wel relevant om over na te denken, want als je doet zoals je boven schrijft, (open)vpnserver achter het modem, dan zal je door de firewall van de ap's/deco's heen moeten om de verbonden apparaten te bereiken. Een simpele oplossing daarvoor is portmapping, maar dat kan alleen als de apparaten een vast ip hebben. Tevens moet je software bij de gebruiker een andere poort toestaan voor RDP verkeer (kan vast, maar test het van te voren

)

Everything is better with Bluetooth

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties