Op kantoor staan drie servers die van belang zijn:
Windows bak met AD
Fileserver(non windows)
Freepbx.
Ik kan de vpn server zowel op mijn router als op de windowsbak installeren, als je hierop zoekt dan zie je heel verschillende meningen maar geen consensus.
Dus mijn vraag is een van de tweede opties veiliger?? Is er een reden om de een boven de ander te verkiezen??
Het enige aurgument wat in mij opkomt dat de vpn op de windowsbak er voor zorgt dat je kunt inloggen met je AD acount, daar in tegen zal deze machine dan verkeer verwerken dat daar onnodig langs komt.
een vpn server die niet van buiten te benaderen is lijkt mij vrij nutteloos, kan je lastig mee thuiswerken danquote:Op zaterdag 10 oktober 2020 09:11 schreef Farenji het volgende:
Maakt op zich weinig uit, zolang je maar zorgt dat die vpn server niet van buiten te benaderen is. Die router is dat wel dus dat maakt het misschien een minder logische keuze (maar als je het goed configureert kan het best).
Hmm ja je hebt gelijk, ik heb niet goed gelezen.quote:
[..]
een vpn server die niet van buiten te benaderen is lijkt mij vrij nutteloos, kan je lastig mee thuiswerken dan
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
En hoe ga je de ad bereiken? Deze gewoon aan het internet hangen?quote:Op zaterdag 10 oktober 2020 12:53 schreef gepromoveerT het volgende:
Waarom zou je?
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
Idd, niets op je dc zetten wat niet nodig is.quote:Op zaterdag 10 oktober 2020 19:11 schreef TjjWester het volgende:
Ik denk dat ik dan toch voor een vpn op de router ga met een whitelisted ip.
Kreun.quote:
[..]
En hoe ga je de ad bereiken? Deze gewoon aan het internet hangen?
[..]
Idd, niets op je dc zetten wat niet nodig is.
quote:
care to explain?
als je lokaal (kantoor) kan inloggen kan je niet magisch remote inloggen/thuiswerken.
kopie van eerder geschreven:quote:
[..]
care to explain?
als je lokaal (kantoor) kan inloggen kan je niet magisch remote inloggen/thuiswerken.
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
(Zie het maar als inloggen bij je bank)
M'n leerlingen op niveau 4 deden er anderhalf jaar over om te kunnen slagen voor netwerkbeheer. Leg je hier niet even uit.
Het duurt effe voor je netwerkbeheer met Win Server doorhebt. Voor de geïnteresseerden beveel ik het boek Netwerkbeheer met Windows Server 20xx aan van Smets.
Maar om een verificatie te kunnen doen met de DC, zul je al naar de DC moeten kunnen praten. Dit kan dan wel verwerkt zitten in het PPTP protocol waar echt legio problemen mee zijn, maar maakt nog steeds dat je een directe lijn naar je DC moet hebben.quote:
[..]
kopie van eerder geschreven:
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
(Zie het maar als inloggen bij je bank)
M'n leerlingen op niveau 4 deden er anderhalf jaar over om te kunnen slagen voor netwerkbeheer. Leg je hier niet even uit.
Het duurt effe voor je netwerkbeheer met Win Server doorhebt. Voor de geïnteresseerden beveel ik het boek Netwerkbeheer met Windows Server 20xx aan van Smets.
Je DC op zo een plaats neerzetten is zo ongeveer de slechtste zet die je in secure network designs kan doen. Ja dat is hier aan de hand want er is maar 1 Windows server.
Ik hoop dat je leerlingen dan snel met fatsoenlijke, actuele en onderhouden technieken leren werken.
PPTP vergelijken met inloggen bij je bank doet mij ook een beetje lachen.
Geen zorgen maken met pptp? Dat is tegenwoordig zo lek als een mandje. Openvpn of een site2site met ipsec is enige juiste keus.quote:
Waarom zou je?
Als jij kan inloggen via de Active Directory (dus waarschijnlijk een Winserver 2003 t/m 2016) dan maak je, als het goed is geconfigureerd, gebruik van een tunneling protocol, zoals PPTP.
Hoef je je nergens zorgen over te maken.
Ipsec, pptp, etc direct vanaf je primaire AD zou ik niet aanraden. Het kan uiteraard wel, maar imho maak je jezelf kwetsbaarder dan nodig.
LDAP is hier zeker voor uitgevonden. Maar je tweede alinea maakt waarom het in deze situatie onverstandig is. Sowieso zou ik hier liever iets certificaat gebaseerde hebben dan een LDAP oplossing als main autorisatie. Maar dat is afhankelijk van je dreigingsbeeldquote:
Daar is LDAP toch voor uitgevonden, zodat je je VPN-host kan laten praten met je AD-bak voor authenticatie en authirisatie?
Ipsec, pptp, etc direct vanaf je primaire AD zou ik niet aanraden. Het kan uiteraard wel, maar imho maak je jezelf kwetsbaarder dan nodig.
Haha, ja mij ook en uiteraard laat je de dc niet direct communiceren met het internet.quote:
[..]
Maar om een verificatie te kunnen doen met de DC, zul je al naar de DC moeten kunnen praten. Dit kan dan wel verwerkt zitten in het PPTP protocol waar echt legio problemen mee zijn, maar maakt nog steeds dat je een directe lijn naar je DC moet hebben.
Je DC op zo een plaats neerzetten is zo ongeveer de slechtste zet die je in secure network designs kan doen. Ja dat is hier aan de hand want er is maar 1 Windows server.
Ik hoop dat je leerlingen dan snel met fatsoenlijke, actuele en onderhouden technieken leren werken.
PPTP vergelijken met inloggen bij je bank doet mij ook een beetje lachen.
Verder gaat het hier te ver om server netwerken en security uit te leggen; vandaar dat ik het wat probeer te simplificeren.
Wel eens van tree-way handshake gehoord.
Trouwens PPTP kan je ook vergelijken met sort of VPN.
En ik hou er nou over op; ga eerst maar eens netwerkbeheer bestuderen of opgaan voor je mcse; ik ben potdomme gecertificeerd op NT4 en 20xx t/m 16. Zoek het maar uit. Doei toetsenbordheld
Lezen is ook een vak hè; of je wil persee een tekst verkeerd interpreteren. Kan ook. Doeiquote:
[..]
Geen zorgen maken met pptp? Dat is tegenwoordig zo lek als een mandje. Openvpn of een site2site met ipsec is enige juiste keus.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS
), en RADIUS is een wijd ondersteund protocol als het gaat om authenticatie van gebruikers via netwerkapparatuur zoals gateways en access points.[ Bericht 11% gewijzigd door Fleischmeister op 11-10-2020 21:22:31 ]
En een riant betere optie idd, met een beetje geluk ondersteunt eerder genoemde router het.quote:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS
Volgens mij heb ik dat wel eens gezien icm unify. Dan zal edge het ook wel hebben.quote:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS
Yep Windows heeft Network Policy Server voor Radius. En RRas voor vpn natuurlijk, maar dat installeer je niet op een DC (NPS kan wel op de DC)quote:
Active Directory heeft toch ook een RADIUS service component als optie? Dan kan je elke VPN gateway die als RADIUS client ingesteld kan worden (en dat zijn er een hoop) hiermee laten authenticeren. Het RADIUS verkeer is volledig intern op je kantoor, en jij praat alleen met de gateway.
Het is een eenvoudig protocol vergeleken met LDAP e.d., maar misschien precies wat je nodig hebt (tenslotte: KISS
Windows heeft trouwens ook always on vpn. Een mooie oplossing maar dan heb je ook een PKI omgeving nodig.
Ik zou vpn via de firewall/router regelen trouwens voor een kleinschalige oplossing.
Dus, router heeft de voorkeur, desnoods daar een nieuwe voor regelen met recente updates en van een merk met een goede reputatie. Want als het een oudere router is met wel VPN maar software van 3 jaar oud......ik vermoed dat er mogelijk wel een paar dingetjes mee zijn. Maar dat kan je zelf ook op het internet nazoeken met het model van de router.
Welke versie van Windows en welk level van de AD?quote:
De huidig situatie dwingt ons alle om meer thuis te gaan werken, nu wil ik een vpn gaan opzetten tussen kantoor en thuis, ik twijfel over de te kiezen weg.
Op kantoor staan drie servers die van belang zijn:
Windows bak met AD
Fileserver(non windows)
Freepbx.
Hoeveel resources heeft deze windows bak?
Wat is je huidige supportlevel op dat ding? Hoe oud is de hardware?
Wat voor soort fileserver is dat? Waar draait die op? Koppeling met de AD?
Hoeveel gebruikers werken tegelijkertijd op die fileserver? Wat zijn z'n resources?
Wat is je huidige supportlevel op dat ding?
Moet pbx benaderbaar zijn via de vpn? Betreft dit ook VaMo?
Hoeveel toestellen? Poe toestellen? Heb je ook Voip/Poe thuis of een VaMo app?
Hoeveel gebruikers tegelijkertijd moeten vpn kunnen gebruiken?
Gebruik je Vlans?
Hoe regel je de maximale bandbreedte die de pbx mag gebruiken?
Wat is je huidige supportlevel op dat ding?
Wie is je huidige ISP?
Wat is de overeengekomen bandbreedte up en down en overboekings factor?
Wat is de werkelijke bandbreedte?
Wat is het merk, model en typenummer van het modem?
Wat is je huidige supportlevel op dat contract?
Ik denk niet dat het verstandig is één van je huidige servers (ook al is het maar 1 poortje) direct toegankelijk te maken via internet.quote:Ik kan de vpn server zowel op mijn router als op de windowsbak installeren, als je hierop zoekt dan zie je heel verschillende meningen maar geen consensus.
Voor zover ik het nu kan overzien lijkt me een Sonicwall TZ wel een redelijke oplossing.
[ Bericht 1% gewijzigd door Mr_Belvedere op 19-10-2020 22:31:22 ]