Temat: Wdrożenie VPN - jakie rozwiązanie?

Witam,
chciałbym wdrożyć połączenie VPN w firmie, nie ma doświadczenia w tej materii. Wymagania są takie: klienci powinni mieć dostęp do dysku sieciowego z Internetu, łatwość konfiguracji przez klientów.
Zacząłem czytać o rodzajach połączeń vpn i możliwościach konfiguracyjnych. Znalazłem 2 rodzaje możliwości rozwiązania mojego problemu, jeśli się mylę to proszę o poprawienie.
1. Serwerem vpn będzie router/firewal. Po ustanowieniu połączenie vpb klienci mogą się podłączyć do zasobów poprzez odwołanie do serwera po ścieżce i podaniu danych autoryzujących
\\serwer1\moj-dysk
2. Drugie rozwiązanie. Windows Serwer 2008 jako brama vpn. Nie wiem jak tutaj można po ustanowieniu połączenia można uzyskać dostęp do zasobów. Czy w takim sam sposób jak powyżej? Czy można jakoś zautomatyzować/zamapować dysk sieciowy po ustanowieniu połączenia.
Proszę o wypowiedzi, jakie rozwiązanie jest najlepsze.
Z góry dziękuje za wypowiedzi.Ten post został edytowany przez Autora dnia 04.05.15 o godzinie 15:15
Maciej K.

Maciej K. DevOps Engineer

Temat: Wdrożenie VPN - jakie rozwiązanie?

OpenVPN albo Openswan w zależności od tego jakie mechanizmy chcesz wykorzystać albo od tego co chcesz połączyć (czy tylko klientów z serwerem czy też np. jakieś urządzenia sieciowe).
Maciej G.

Maciej G. Projektant /
Programista, Famor
S.A.

Temat: Wdrożenie VPN - jakie rozwiązanie?

Jeśli ma to być połączenie łatwe dla klientów i nie wymagające dla administratora to proponuję serwer VPN - PPTP
, szyfrowany kanał komunikacyjny można wyklikać w każdym nowoczesnym OS (oprócz Windowsa także np. Android czy iOS lub Linux). No i nie wymaga generacji i instalacji przez klientów certyfikatów użytkownika jak w OpenVPN. Jest łatwiejszy do złamania niż OpenVPN (ale ryzyko włamania nie jest duże przy odpowiedniej konfiguracji).

Wybierz sam co Ci bardziej odpowiada (zależy to także od tego do jak istotnych da firmy danych dajesz dostęp przez tego VPNa, można utworzyć dwa serwery VPN: PPTP do mniej wrazliwych danych i łatwiejsze w użyciu, OpenVPN do ważniejszych danych).

BTW: serwer VPN w zasadzie daje Ci dostęp do konkretnej sieci (np. firmowej), lokalizacja zasobów to oddzielna sprawa (w ogólnym wypadku) - oczywiście są rozwiązania, które integrują te dwie sprawy.

Pozdrawiam.Ten post został edytowany przez Autora dnia 04.05.15 o godzinie 15:55
Przemysław Świderski

Przemysław Świderski Administrator Sieci,
Aves Sp. z o.o.

Temat: Wdrożenie VPN - jakie rozwiązanie?

Jeśli chodzi o VPN i łatwość instalacji o obsługi przez klientów to PPTP.
Jeśli chodzi o serwer to Albo na windowsie albo ogarniesz sobie to doskonale na MIKROTIKU. Dodatkowo Mikrotik wesprze ci inne rodzaje vpnów a dodatkowo przy odpowiedniej platformie ccr załatwi sprzętowo liczenie algorytmu ipsec.

Temat: Wdrożenie VPN - jakie rozwiązanie?

Obecnie chcę podłączyć tylko klientów bez podłączania urządzeń sieciowych. Chyba obecnie wykorzystam PTPP, dane nie są wrażliwe. Nie mam teraz czasu na jakieś rozbudowane konfiguracje.
Mam pytanie, VPN PTPP mogę skonfigurować na urządzeniu sieciowym (wg dokumentacji wspiera ten rodzaj vpn) lub na Windows 2008R2. Które rozwiązanie polecacie pod względem bezpieczeństwa, czy może nie ma to wielkiego znaczenia?
Dobry pomysł z tym mikrotikiem, mam nawet jeden już nieużywany w szafie ;) Ale to rozwiązanie na przyszłość.
Maciej G.:
BTW: serwer VPN w zasadzie daje Ci dostęp do konkretnej sieci (np. firmowej), lokalizacja zasobów to oddzielna sprawa (w ogólnym wypadku) - oczywiście są rozwiązania, które integrują te dwie sprawy.
Możesz to rozwinąć, może to wykorzystam w przyszłości.
Przemysław Świderski

Przemysław Świderski Administrator Sieci,
Aves Sp. z o.o.

Temat: Wdrożenie VPN - jakie rozwiązanie?

Generalnie wygląda to tak.
Jesteś sobie w sieci podłączony po np GSM. Standardowo chcąc połączyć się z serwerem o adresie 10.10.10.1 który stoi w twojej sieci np firmowej nie zrobisz tego bo blokuje cię jakiś router ( nat, firewall), a po drugie korzystasz z puli adresowej która nie jest nigdy rozgłaszana ( zarezerwowane prefixy na użytek prywatny ).
Aby jednak się podłączyć do niej zestawiasz vpna. Vpn zestawia ci tunel i przy odpowiedniej konfiguracji uzyskujesz dostęp do wnętrza swojej sieci lub do danych adresów. Teraz drugą sprawą jest konfiguracja serwerów i ich zasobów które znajdują się wewnątrz twojej sieci firmowej. Możesz skonfigurować to na wiele sposobów tylko musisz wiedzieć co chcesz i do czego masz zamiar przyznać dostęp.
Jeśli używasz domeny AD to nie głupim pomysłem było by skorzystanie z serwera vpn na Windowsie. Uprościło by ci to nadawanie uprawnień do danych zasobów i zarządzanie kontami VPN. Jednak według mnie ( podkreślam moje osobiste zdanie ) Windows nie nadaje się zbytnio na tego typu akcje. Lepiej by tym zarządzał jakiś linux/ lub dedykowany router/UTM. Zastosowanie dodatkowego urządzenie nie wyklucza jednak połączenia tego z domeną AD. Wystarczy użyć radiusa i również kontami będziesz zarządzał z domeny AD.
Andrzej K.

Andrzej K. IT Network
Administrator

Temat: Wdrożenie VPN - jakie rozwiązanie?

FortiGate + FortiClient i sprawa załatwiona. Klient nic nawet nie będzie musiał konfigurować.
Przemysław Świderski

Przemysław Świderski Administrator Sieci,
Aves Sp. z o.o.

Temat: Wdrożenie VPN - jakie rozwiązanie?

A jednak klienta będzie musiał zainstalować i podgrać konfig :), ale nie o to tu chodzi
Krzysztof W.

Krzysztof W. Administrator IT

Temat: Wdrożenie VPN - jakie rozwiązanie?

Ja bym jednak postawił OpenVPN na wirtualce, może być jakieś gotowe rozwiązanie np. pfence. Do tego radius przez AD.
Andrzej K.

Andrzej K. IT Network
Administrator

Temat: Wdrożenie VPN - jakie rozwiązanie?

Przemysław Ś.:
A jednak klienta będzie musiał zainstalować i podgrać konfig :), ale nie o to tu chodzi
No niestety klienta trzeba zainstalować, a konfig już nie pamiętam, dawno to robiłem aż sprawdzę.
Ogólnie, FCT-Access i za pomocą fori możesz sterować co i jak działa na kliencie, czy będzie włączony AV,FW,VPNTen post został edytowany przez Autora dnia 06.05.15 o godzinie 06:25
Andrzej K.

Andrzej K. IT Network
Administrator

Temat: Wdrożenie VPN - jakie rozwiązanie?

Andrzej K.:
Przemysław Ś.:
A jednak klienta będzie musiał zainstalować i podgrać konfig :), ale nie o to tu chodzi
No niestety klienta trzeba zainstalować, a konfig już nie pamiętam, dawno to robiłem aż sprawdzę.
Ogólnie, FCT-Access i za pomocą fori możesz sterować co i jak działa na kliencie, czy będzie włączony AV,FW,VPN
Potwierdzam
Provisioning FortiClienta działa poprawnie, można zdalnie wypchać konfigurację VPN
o ile to kogoś interesuje :)
Firmware V5 build 292 i wyższy

A może temat załatwić przez Citrix ? Ten post został edytowany przez Autora dnia 06.05.15 o godzinie 23:21
Przemysław F.

Przemysław F. Tibco BusinessWorks
developer,
Billennium

Temat: Wdrożenie VPN - jakie rozwiązanie?

Andrzeju, Forti kosztuje :P Direct Access jest w cenie licencji Win 7/8.
+ Jesteś w sieci domenowej jak masz internet.
+ Automatyczne wykrywanie lokalizacji sieciowej.
+ Automatyczne wystawianie i odnawianie certyfikatów.
+ Zero konfiguracji po stronie klienta, wszystko przez GPO, czyli centralne zarządzanie ze wszystkimi bajerami jakie dają AD grupy.
+ Podłączenie z automatu po ok. minucie po wykryciu działającego połączenia internetowego.
- Nie masz internetu = nie masz sieci domenowej. Ale każdy VPN tak działa. :)
Andrzej K.

Andrzej K. IT Network
Administrator

Temat: Wdrożenie VPN - jakie rozwiązanie?

Przemysław F.:
Andrzeju, Forti kosztuje :P Direct Access jest w cenie licencji Win 7/8.
+ Jesteś w sieci domenowej jak masz internet.
+ Automatyczne wykrywanie lokalizacji sieciowej.
+ Automatyczne wystawianie i odnawianie certyfikatów.
+ Zero konfiguracji po stronie klienta, wszystko przez GPO, czyli centralne zarządzanie ze wszystkimi bajerami jakie dają AD grupy.
+ Podłączenie z automatu po ok. minucie po wykryciu działającego połączenia internetowego.
- Nie masz internetu = nie masz sieci domenowej. Ale każdy VPN tak działa. :)
Tu masz racje Przemo.Ten post został edytowany przez Autora dnia 10.05.15 o godzinie 01:49

Następna dyskusja:

Serwer VPN w firmie. Jakie ...




Wyślij zaproszenie do