abonnement iBood bol.com Vodafone Ziggo Coolblue
pi_195533412
De huidig situatie dwingt ons alle om meer thuis te gaan werken, nu wil ik een vpn gaan opzetten tussen kantoor en thuis, ik twijfel over de te kiezen weg.

Op kantoor staan drie servers die van belang zijn:

Windows bak met AD
Fileserver(non windows)
Freepbx.

Ik kan de vpn server zowel op mijn router als op de windowsbak installeren, als je hierop zoekt dan zie je heel verschillende meningen maar geen consensus.

Dus mijn vraag is een van de tweede opties veiliger?? Is er een reden om de een boven de ander te verkiezen??

Het enige aurgument wat in mij opkomt dat de vpn op de windowsbak er voor zorgt dat je kunt inloggen met je AD acount, daar in tegen zal deze machine dan verkeer verwerken dat daar onnodig langs komt.
speak only if it improves the silence.
pi_195534041
Wordt tijd om een specialist te bellen.
Hee. Zeg nou zelf, ik ben toch gewoon een hartstikke lekker ding? TOch?
pi_195537675
Ik zou zeggen op de router, maar zoals hierboven al geopperd is wordt het tijd een specialist in te schakelen.
So we just called him Fred too
pi_195542093
uit veiligheid zou ik zeggen router, maar dit ligt ook aan de opties die je hebt in je router..
pi_195542301
Maakt op zich weinig uit, zolang je maar zorgt dat die vpn server niet van buiten te benaderen is. Die router is dat wel dus dat maakt het misschien een minder logische keuze (maar als je het goed configureert kan het best).
pi_195542679
quote:
1s.gif Op zaterdag 10 oktober 2020 09:11 schreef Farenji het volgende:
Maakt op zich weinig uit, zolang je maar zorgt dat die vpn server niet van buiten te benaderen is. Die router is dat wel dus dat maakt het misschien een minder logische keuze (maar als je het goed configureert kan het best).
een vpn server die niet van buiten te benaderen is lijkt mij vrij nutteloos, kan je lastig mee thuiswerken dan
pi_195542780
quote:
1s.gif Op zaterdag 10 oktober 2020 09:44 schreef mschol het volgende:

[..]

een vpn server die niet van buiten te benaderen is lijkt mij vrij nutteloos, kan je lastig mee thuiswerken dan
Hmm ja je hebt gelijk, ik heb niet goed gelezen.
pi_195545273
Waarom zou je?
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
pi_195551958
Ik denk dat ik dan toch voor een vpn op de router ga met een whitelisted ip.
speak only if it improves the silence.
pi_195556312
quote:
0s.gif Op zaterdag 10 oktober 2020 12:53 schreef gepromoveerT het volgende:
Waarom zou je?
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
En hoe ga je de ad bereiken? Deze gewoon aan het internet hangen?

quote:
3s.gif Op zaterdag 10 oktober 2020 19:11 schreef TjjWester het volgende:
Ik denk dat ik dan toch voor een vpn op de router ga met een whitelisted ip.
Idd, niets op je dc zetten wat niet nodig is.
pi_195556971
quote:
0s.gif Op zaterdag 10 oktober 2020 22:37 schreef investeerdertje het volgende:

[..]

En hoe ga je de ad bereiken? Deze gewoon aan het internet hangen?
[..]

Idd, niets op je dc zetten wat niet nodig is.
Kreun. :'(
pi_195559090
quote:
0s.gif Op zaterdag 10 oktober 2020 23:06 schreef gepromoveerT het volgende:

[..]

Kreun. :'(
:?

care to explain?

als je lokaal (kantoor) kan inloggen kan je niet magisch remote inloggen/thuiswerken.
pi_195562662
quote:
1s.gif Op zondag 11 oktober 2020 01:59 schreef mschol het volgende:

[..]

:?

care to explain?

als je lokaal (kantoor) kan inloggen kan je niet magisch remote inloggen/thuiswerken.
kopie van eerder geschreven:
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
(Zie het maar als inloggen bij je bank)

M'n leerlingen op niveau 4 deden er anderhalf jaar over om te kunnen slagen voor netwerkbeheer. Leg je hier niet even uit.
Het duurt effe voor je netwerkbeheer met Win Server doorhebt. Voor de geïnteresseerden beveel ik het boek Netwerkbeheer met Windows Server 20xx aan van Smets.
pi_195569033
quote:
0s.gif Op zondag 11 oktober 2020 11:38 schreef gepromoveerT het volgende:

[..]

kopie van eerder geschreven:
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
(Zie het maar als inloggen bij je bank)

M'n leerlingen op niveau 4 deden er anderhalf jaar over om te kunnen slagen voor netwerkbeheer. Leg je hier niet even uit.
Het duurt effe voor je netwerkbeheer met Win Server doorhebt. Voor de geïnteresseerden beveel ik het boek Netwerkbeheer met Windows Server 20xx aan van Smets.
Maar om een verificatie te kunnen doen met de DC, zul je al naar de DC moeten kunnen praten. Dit kan dan wel verwerkt zitten in het PPTP protocol waar echt legio problemen mee zijn, maar maakt nog steeds dat je een directe lijn naar je DC moet hebben.

Je DC op zo een plaats neerzetten is zo ongeveer de slechtste zet die je in secure network designs kan doen. Ja dat is hier aan de hand want er is maar 1 Windows server.

Ik hoop dat je leerlingen dan snel met fatsoenlijke, actuele en onderhouden technieken leren werken.

PPTP vergelijken met inloggen bij je bank doet mij ook een beetje lachen.
pi_195569460
quote:
0s.gif Op zaterdag 10 oktober 2020 12:53 schreef gepromoveerT het volgende:
Waarom zou je?
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
Geen zorgen maken met pptp? Dat is tegenwoordig zo lek als een mandje. Openvpn of een site2site met ipsec is enige juiste keus.
pi_195570545
Daar is LDAP toch voor uitgevonden, zodat je je VPN-host kan laten praten met je AD-bak voor authenticatie en authirisatie?

Ipsec, pptp, etc direct vanaf je primaire AD zou ik niet aanraden. Het kan uiteraard wel, maar imho maak je jezelf kwetsbaarder dan nodig.
So we just called him Fred too
pi_195571080
quote:
0s.gif Op zondag 11 oktober 2020 17:22 schreef Fred2 het volgende:
Daar is LDAP toch voor uitgevonden, zodat je je VPN-host kan laten praten met je AD-bak voor authenticatie en authirisatie?

Ipsec, pptp, etc direct vanaf je primaire AD zou ik niet aanraden. Het kan uiteraard wel, maar imho maak je jezelf kwetsbaarder dan nodig.
LDAP is hier zeker voor uitgevonden. Maar je tweede alinea maakt waarom het in deze situatie onverstandig is. Sowieso zou ik hier liever iets certificaat gebaseerde hebben dan een LDAP oplossing als main autorisatie. Maar dat is afhankelijk van je dreigingsbeeld
pi_195571321
quote:
0s.gif Op zondag 11 oktober 2020 16:07 schreef investeerdertje het volgende:

[..]

Maar om een verificatie te kunnen doen met de DC, zul je al naar de DC moeten kunnen praten. Dit kan dan wel verwerkt zitten in het PPTP protocol waar echt legio problemen mee zijn, maar maakt nog steeds dat je een directe lijn naar je DC moet hebben.

Je DC op zo een plaats neerzetten is zo ongeveer de slechtste zet die je in secure network designs kan doen. Ja dat is hier aan de hand want er is maar 1 Windows server.

Ik hoop dat je leerlingen dan snel met fatsoenlijke, actuele en onderhouden technieken leren werken.

PPTP vergelijken met inloggen bij je bank doet mij ook een beetje lachen.
Haha, ja mij ook en uiteraard laat je de dc niet direct communiceren met het internet.

Verder gaat het hier te ver om server netwerken en security uit te leggen; vandaar dat ik het wat probeer te simplificeren.
Wel eens van tree-way handshake gehoord.
Trouwens PPTP kan je ook vergelijken met sort of VPN.
En ik hou er nou over op; ga eerst maar eens netwerkbeheer bestuderen of opgaan voor je mcse; ik ben potdomme gecertificeerd op NT4 en 20xx t/m 16. Zoek het maar uit. Doei toetsenbordheld :W
pi_195571397
quote:
0s.gif Op zondag 11 oktober 2020 16:23 schreef fokexpert het volgende:

[..]

Geen zorgen maken met pptp? Dat is tegenwoordig zo lek als een mandje. Openvpn of een site2site met ipsec is enige juiste keus.
Lezen is ook een vak hè; of je wil persee een tekst verkeerd interpreteren. Kan ook. Doei :B
pi_195576743
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS :P), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.

[ Bericht 11% gewijzigd door Fleischmeister op 11-10-2020 21:22:31 ]
pi_195578382
quote:
0s.gif Op zondag 11 oktober 2020 21:16 schreef Fleischmeister het volgende:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS :P), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.
En een riant betere optie idd, met een beetje geluk ondersteunt eerder genoemde router het.
pi_195579224
quote:
0s.gif Op zondag 11 oktober 2020 21:16 schreef Fleischmeister het volgende:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS :P), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.
Volgens mij heb ik dat wel eens gezien icm unify. Dan zal edge het ook wel hebben.
speak only if it improves the silence.
pi_195579744
quote:
0s.gif Op zondag 11 oktober 2020 21:16 schreef Fleischmeister het volgende:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS :P), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.
Yep Windows heeft Network Policy Server voor Radius. En RRas voor vpn natuurlijk, maar dat installeer je niet op een DC (NPS kan wel op de DC)

Windows heeft trouwens ook always on vpn. Een mooie oplossing maar dan heb je ook een PKI omgeving nodig.

Ik zou vpn via de firewall/router regelen trouwens voor een kleinschalige oplossing.
<a href="https://www.youtube.com/watch?v=HooeZrC76s0" rel="nofollow" target="_blank">God is an ever receding pocket of scientific ignorance, that’s getting smaller and smaller as time goes on</a>
  maandag 12 oktober 2020 @ 11:17:07 #24
23452 HMS
Have Mine, Sucker
pi_195584744
Je hebt nu ws een router en meerdere interne IP adressen aan de binnenkant. Handigste is gewoon het op de router te regelen, als die het kan. Dan hoef je het maar 1 keer te doen, dan is alles binnen gelijk erachter beter beschermd. Als je het op de servers gaat doen, dan is het deel netwerk er naar toe dat achter de router zit toch open, en dat is een risico.

Dus, router heeft de voorkeur, desnoods daar een nieuwe voor regelen met recente updates en van een merk met een goede reputatie. Want als het een oudere router is met wel VPN maar software van 3 jaar oud......ik vermoed dat er mogelijk wel een paar dingetjes mee zijn. Maar dat kan je zelf ook op het internet nazoeken met het model van de router.
"The thrill ot the chase is so diminished when one's prey has little legs"
pi_195738347
quote:
0s.gif Op vrijdag 9 oktober 2020 20:04 schreef TjjWester het volgende:

De huidig situatie dwingt ons alle om meer thuis te gaan werken, nu wil ik een vpn gaan opzetten tussen kantoor en thuis, ik twijfel over de te kiezen weg.

Op kantoor staan drie servers die van belang zijn:

Windows bak met AD
Fileserver(non windows)
Freepbx.
Welke versie van Windows en welk level van de AD?
Hoeveel resources heeft deze windows bak?
Wat is je huidige supportlevel op dat ding? Hoe oud is de hardware?

Wat voor soort fileserver is dat? Waar draait die op? Koppeling met de AD?
Hoeveel gebruikers werken tegelijkertijd op die fileserver? Wat zijn z'n resources?
Wat is je huidige supportlevel op dat ding?

Moet pbx benaderbaar zijn via de vpn? Betreft dit ook VaMo?
Hoeveel toestellen? Poe toestellen? Heb je ook Voip/Poe thuis of een VaMo app?
Hoeveel gebruikers tegelijkertijd moeten vpn kunnen gebruiken?
Gebruik je Vlans?
Hoe regel je de maximale bandbreedte die de pbx mag gebruiken?
Wat is je huidige supportlevel op dat ding?

Wie is je huidige ISP?
Wat is de overeengekomen bandbreedte up en down en overboekings factor?
Wat is de werkelijke bandbreedte?
Wat is het merk, model en typenummer van het modem?
Wat is je huidige supportlevel op dat contract?

quote:
Ik kan de vpn server zowel op mijn router als op de windowsbak installeren, als je hierop zoekt dan zie je heel verschillende meningen maar geen consensus.
Ik denk niet dat het verstandig is één van je huidige servers (ook al is het maar 1 poortje) direct toegankelijk te maken via internet.

Voor zover ik het nu kan overzien lijkt me een Sonicwall TZ wel een redelijke oplossing.

[ Bericht 1% gewijzigd door Mr_Belvedere op 19-10-2020 22:31:22 ]
Roses are red
Violets are blue
Wololo Wololo
Now violets are red too
abonnement iBood bol.com Vodafone Ziggo Coolblue
Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')