een vpn server die niet van buiten te benaderen is lijkt mij vrij nutteloos, kan je lastig mee thuiswerken danquote:Op zaterdag 10 oktober 2020 09:11 schreef Farenji het volgende:
Maakt op zich weinig uit, zolang je maar zorgt dat die vpn server niet van buiten te benaderen is. Die router is dat wel dus dat maakt het misschien een minder logische keuze (maar als je het goed configureert kan het best).
Hmm ja je hebt gelijk, ik heb niet goed gelezen.quote:Op zaterdag 10 oktober 2020 09:44 schreef mschol het volgende:
[..]
een vpn server die niet van buiten te benaderen is lijkt mij vrij nutteloos, kan je lastig mee thuiswerken dan
En hoe ga je de ad bereiken? Deze gewoon aan het internet hangen?quote:Op zaterdag 10 oktober 2020 12:53 schreef gepromoveerT het volgende:
Waarom zou je?
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
Idd, niets op je dc zetten wat niet nodig is.quote:Op zaterdag 10 oktober 2020 19:11 schreef TjjWester het volgende:
Ik denk dat ik dan toch voor een vpn op de router ga met een whitelisted ip.
Kreun.quote:Op zaterdag 10 oktober 2020 22:37 schreef investeerdertje het volgende:
[..]
En hoe ga je de ad bereiken? Deze gewoon aan het internet hangen?
[..]
Idd, niets op je dc zetten wat niet nodig is.
quote:
kopie van eerder geschreven:quote:Op zondag 11 oktober 2020 01:59 schreef mschol het volgende:
[..]
care to explain?
als je lokaal (kantoor) kan inloggen kan je niet magisch remote inloggen/thuiswerken.
Maar om een verificatie te kunnen doen met de DC, zul je al naar de DC moeten kunnen praten. Dit kan dan wel verwerkt zitten in het PPTP protocol waar echt legio problemen mee zijn, maar maakt nog steeds dat je een directe lijn naar je DC moet hebben.quote:Op zondag 11 oktober 2020 11:38 schreef gepromoveerT het volgende:
[..]
kopie van eerder geschreven:
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
(Zie het maar als inloggen bij je bank)
M'n leerlingen op niveau 4 deden er anderhalf jaar over om te kunnen slagen voor netwerkbeheer. Leg je hier niet even uit.
Het duurt effe voor je netwerkbeheer met Win Server doorhebt. Voor de geïnteresseerden beveel ik het boek Netwerkbeheer met Windows Server 20xx aan van Smets.
Geen zorgen maken met pptp? Dat is tegenwoordig zo lek als een mandje. Openvpn of een site2site met ipsec is enige juiste keus.quote:Op zaterdag 10 oktober 2020 12:53 schreef gepromoveerT het volgende:
Waarom zou je?
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
LDAP is hier zeker voor uitgevonden. Maar je tweede alinea maakt waarom het in deze situatie onverstandig is. Sowieso zou ik hier liever iets certificaat gebaseerde hebben dan een LDAP oplossing als main autorisatie. Maar dat is afhankelijk van je dreigingsbeeldquote:Op zondag 11 oktober 2020 17:22 schreef Fred2 het volgende:
Daar is LDAP toch voor uitgevonden, zodat je je VPN-host kan laten praten met je AD-bak voor authenticatie en authirisatie?
Ipsec, pptp, etc direct vanaf je primaire AD zou ik niet aanraden. Het kan uiteraard wel, maar imho maak je jezelf kwetsbaarder dan nodig.
Haha, ja mij ook en uiteraard laat je de dc niet direct communiceren met het internet.quote:Op zondag 11 oktober 2020 16:07 schreef investeerdertje het volgende:
[..]
Maar om een verificatie te kunnen doen met de DC, zul je al naar de DC moeten kunnen praten. Dit kan dan wel verwerkt zitten in het PPTP protocol waar echt legio problemen mee zijn, maar maakt nog steeds dat je een directe lijn naar je DC moet hebben.
Je DC op zo een plaats neerzetten is zo ongeveer de slechtste zet die je in secure network designs kan doen. Ja dat is hier aan de hand want er is maar 1 Windows server.
Ik hoop dat je leerlingen dan snel met fatsoenlijke, actuele en onderhouden technieken leren werken.
PPTP vergelijken met inloggen bij je bank doet mij ook een beetje lachen.
Lezen is ook een vak hè; of je wil persee een tekst verkeerd interpreteren. Kan ook. Doeiquote:Op zondag 11 oktober 2020 16:23 schreef fokexpert het volgende:
[..]
Geen zorgen maken met pptp? Dat is tegenwoordig zo lek als een mandje. Openvpn of een site2site met ipsec is enige juiste keus.
En een riant betere optie idd, met een beetje geluk ondersteunt eerder genoemde router het.quote:Op zondag 11 oktober 2020 21:16 schreef Fleischmeister het volgende:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS ), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.
Volgens mij heb ik dat wel eens gezien icm unify. Dan zal edge het ook wel hebben.quote:Op zondag 11 oktober 2020 21:16 schreef Fleischmeister het volgende:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS ), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.
Yep Windows heeft Network Policy Server voor Radius. En RRas voor vpn natuurlijk, maar dat installeer je niet op een DC (NPS kan wel op de DC)quote:Op zondag 11 oktober 2020 21:16 schreef Fleischmeister het volgende:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS ), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.
Welke versie van Windows en welk level van de AD?quote:Op vrijdag 9 oktober 2020 20:04 schreef TjjWester het volgende:
De huidig situatie dwingt ons alle om meer thuis te gaan werken, nu wil ik een vpn gaan opzetten tussen kantoor en thuis, ik twijfel over de te kiezen weg.
Op kantoor staan drie servers die van belang zijn:
Windows bak met AD
Fileserver(non windows)
Freepbx.
Ik denk niet dat het verstandig is één van je huidige servers (ook al is het maar 1 poortje) direct toegankelijk te maken via internet.quote:Ik kan de vpn server zowel op mijn router als op de windowsbak installeren, als je hierop zoekt dan zie je heel verschillende meningen maar geen consensus.
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |