VPN en Netwerk

Verwijderd schreef op dinsdag 11 januari 2005 @ 14:10:
- Een centrale server (Ik kies waarschijnlijk voor een HP Proliant met Windows 2003 Server)

Is het per se noodzakelijk een vast ip adres te hebben om vpn te gebruiken, of hoe werkt dit juist?

Dure server voor 2 laptops!

Bij adsl krijg je meestal een semi vast ip adres, wisselt normaal gesproken niet als je online blijft. Dit is voldoende voor het meeste gebruik. bij business adsl kun je toch wel een vast ip adres krijgen ( en wel meer dan 1 ook)

ipv symantic is remote desktop van server 2003 niet voldoende? zeker i.c.m een vpn connectie? ook vnc/realvnc is een optie.

Tweak je wel of tweak je niet?

Hoe belangrijk is de informatie die op de server staat? Wat is deze info waard bij openbaring en / of verlies? Als je hier op moet antwoorden met "veel"dan is de ingebouwde nat firewall van een adsl routertje niet genoeg.

Een proliant voor 2 laptops vind ik ook wat aan de dure / ruime kant eigenlijk.

Een min of meer vast ip adres is belangrijk als je de servers remote wilt overnemen. Remote overname is trouwens niet hetzelfde als VPN in veel gevallen. Wanneer het ip adres steeds veranderd zul je zeker problemen op dit vlak krijgen.

Als je een server met het internet verbind voor dit soort zaken zal het op een moment zeker doelwit worden van mensen met minder goede bedoelingen. Beveiliging van de server zelf is dus ook heel erg belangrijk.

Maar belangrijker nog, wat voor budget heb je te besteden? Heb je zelf genoeg kennis om dit veilig en betrouwbaar op te zetten?

in principe biedt windows server 2003 gewoon prima VPN oplossingen; het is echter niet handig om alle poorten aan het internet te knopen, daar moet iets vuurmuur-achtigs tussen dus. Op de clients gewoon de windows VPN client draaien, en ze krijgen wanneer ze verbinden op die vpn interface gewoon een ip adres van de server; dit kun je via de server weer door laten routen naar de rest van je interne netwerk.

Niks kopen dus, behalve een goed boek

Of koop een andere/duurdere router die ook een VPN verbinding ondersteund. Dus dat die router als VPN server dient. Dan kun je die gebruiken, ipv een andere oplossing te gebruiken (waar ook weer een aanpassing op de router vereist is).

Ik zou (als het goedkoop moet) gaan voor een Draytek 2900 router.
Deze kunnen VPN (Ipsec DES/3DES/AES) over wlan, dus om verbinding te verkrijgen met het netwerk is VPN noodzakelijk, wat natuurlijk zeker bij wifi-netwerken de beveiliging flink omhoog krikt.

Voor VPN is een vast IP adres bijna wel een vereiste aangezien de VPN client naar de firewall/router connect om de VPN op te zetten. Als dit steeds veranderd moet je dit ook op de VPN clients steeds gaan veranderen.

Standaard zit in Windows 2003 server Terminal Server/RDP ingebakken, dus PC Anywhere lijkt mij wat overbodig. (Als je alleen de server wilt over nemen).

ADSL is er ook gewoon met een vast adres, het "dus geen vast ip adres" is niet altijd waar.

Redje schreef op dinsdag 11 januari 2005 @ 15:39:
Ik zou (als het goedkoop moet) gaan voor een Draytek 2900 router.
Deze kunnen VPN (Ipsec DES/3DES/AES) over wlan, dus om verbinding te verkrijgen met het netwerk is VPN noodzakelijk, wat natuurlijk zeker bij wifi-netwerken de beveiliging flink omhoog krikt.

not entirely true; je datastream wordt beveiligd maar je inlogprocedure is nog steeds onveilig en kan daarmee nog steeds gehacked worden (er gaan nog steeds interesting packages heen en weer waarmee men je WEP key kan decypheren). Het wordt pas spannend bij persoons- en certificaatgebonden logins zoals SecureW2 en andere systemen op basis van RADIUS

Voor VPN is een vast IP adres bijna wel een vereiste aangezien de VPN client naar de firewall/router connect om de VPN op te zetten. Als dit steeds veranderd moet je dit ook op de VPN clients steeds gaan veranderen.

Een kortdurig VPN kan ook opgebouwd worden op hostnamebasis met iets als dyndns; echter een hoop oplossingen werken (wederom) met certificaten en een certificaat klopt niet meer als het ip van de dienst veranderd is.

Standaard zit in Windows 2003 server Terminal Server/RDP ingebakken, dus PC Anywhere lijkt mij wat overbodig. (Als je alleen de server wilt over nemen).

Voor andere taken dan beheer is een Terminal Server licentie en client access licences vereist; niet echt voordelig. In die zin is dan PC anywhere goedkoper; enige nadeel is weer dat dat niet bepaald geschikt is voor Server 2003, eerder om je eigen werkstation op kantoor over te kunnen nemen.

ADSL is er ook gewoon met een vast adres, het "dus geen vast ip adres" is niet altijd waar.

Hangt helemaal af van de provider; ik weet dat als je een dienst van Cambrium afneemt (tweak/true/my DSL) je iig kunt vragen om een vast IP. Bij een lompe organisatie als Planet zou ik het niet durven vragen eigenlijk. HCCNet had ik overigens ook een vast ip-adres.

HunterPro schreef op dinsdag 11 januari 2005 @ 16:32:
[...]
not entirely true; je datastream wordt beveiligd maar je inlogprocedure is nog steeds onveilig en kan daarmee nog steeds gehacked worden (er gaan nog steeds interesting packages heen en weer waarmee men je WEP key kan decypheren). Het wordt pas spannend bij persoons- en certificaatgebonden logins zoals SecureW2 en andere systemen op basis van RADIUS

Op het moment dat je zowel Ipsec als WEP gaat gebruiken en Ipsec een vereiste is anders kom je het LAN niet op, dan mag WEP best gehackt worden want de veiligheid hang dan van Ipsec af en niet meer van WEP.

Wat je ook kan doen is een linux server inrichten als FW met 3 interfaces(of een kant en klare oplossing gebruiken zoals Ipcop of m0n0wall), de access-point zet je op een eigen interface. Als je de access-point niet beveiligd kom je nog niet ver want de FW staat hiertussen. Als je dan Ipsec gebruikt om toegang te verkrijgen met het LAN is dit goed beveiligd. Tuurlijk kan het altijd beter, dus Extended Authentication met Ipsec of Certificates, maar dan kijk je naar een andere kosten plaatje.

De genoemde Vigor2900 met G en i erbij zou misschien wat zijn, met een wellicht veel goedkopere server erbij?
De Vigor2900 ondersteunt zowel dyndns als drie soorten VPN van het Internet, zodat je ondanks je dynamische IP adres verbinding kunt maken. Ik gebruik dit voor telewerkers in België en ben er goed over te spreken. Mocht de DSL link uitvallen, dan zogt het i-tje er, in combinatie met een ISDN lijn, voor dat je een 64 of 128kbit backup lijntje krijgt, en tralalala dyndns past gelijk weer je IP nummering aan zodat je kunt VPNnen over ISDN (niet écht snel maar wel werkbaar)
Remote Desktop is bedoeld, evenals VNC en PC Anywhere, om het bureauvlad van een systeem over te nemen. Als je alleen bij de bestanden op je server wilt heb je dat dus niet nodig, nog sterker, ik denk dat je met remote desktop genoeg hebt aan beheerstools (je mag met z'n tweeën tegelijk remote werken -> lijkt me zat als je met z'n tweeën bent) .

Dan werkt het zo:
Je maakt verbinding met je netwerk, en omdat je laptop in het domein is gezet tijdens installatie, kun je bij je bestanden alsof je op kantoor aan het werk was met uitzondering van de veel lagere snelheid.
Mocht je iets willen instellen op je server, dan start je de Remote Desktop client van Windows op, tokkelt het server adres in, en krijgt het bureaublad van de server op je scherm. Daar kun je dan aanmelden als jezelf of als administrator om beheersfuncties uit te voeren.

Het grote verschil met werken binnen je pand is dan de snelheid en het feit dat je betaalt voor je dataoverdracht. Ik werk met een paar Vodafone UMTS kaarten en ik moet zeggen dat als ie snurkers van het middle-management het niet weer flikken hele films te gaan downloaden op vakantie in Italië de kosten per maand hard meevallen, nog geen 200 euro voor de zware gebruikers. Outlook WebAccess is een optie als je Exchange gebruikt, en anders kun je als mailserver bijvoorbeeld Icewarp Merak installeren, dat ondersteunt ook web-access, pop3 en SMTP, net als exchange, en kost minder.

Mogelijkheden te over dus, maar ik denk dat de enige fout die je maakt is het koppelen van de ideeën "bij je bestanden kunnen"(VPN) en "op afstand de PC bedienen"(PCAnyWhere)
Je kan overigens discussiëren over de prijs van het hele gebeuren: als je liever een paar duizend euro extra investeert in iets écht professioneels dan is een Vigor router misschien niet je eerste keuze en als je budget beperkt is is die ProLiant server weer veel te duur. Dell, IBM, en alle beschaafde systeembouwers verkopen ook servers, sommigen voor veel leukere prijsjes. Het voormalige Tulip levert bijvoorbeeld Intel servers af die minder kosten. Even de goudengids erbij en offertes aanvragen dus.