Torben Brøndum wrote:
> "Svend Erik Høst" <2@lazy.dk> wrote
>
> [snip det hele]
>
> Hej Svend - tak for svar. Håber du har "tålmodighed" med lidt præciseringer:
>
> Vi har p.t. 3 hjemmepc´ere, der kobler op via vpn - igennem en Cisco soho 77
> router ind til vor Win2ksrv som agerer vpn server (tildeling af intern lan
> ip i sessionen) og hvor AD validerer bruger for id + passw. (måske simpelt
> for dig....men jeg prøver lige at forklare på en anden måde
.
Det er nok pptp vpn. Jeg kender ikke specielt meget til det setup, men
jeg har erfaring med at man typisk får en ip adr. når man har en vpn
klient der forbinder.
Jeg har sat en dlink router op i min andels forening hvor folk i
bestyrelsen forbinder til den (med pptp) for at kunne printe på den
fælles kopiprinter. Det fungere sådan fint nok bortset fra at de ikke
kan scanne på den af en eller årsag, men det er en anden sag.
ipsec vpn (Som zywall bruger) er anderledes.
Jeg ved ikke om det er en fordel at have en router(zywal) siddende bag
en anden router(soho), det virker lidt redundant på mig.
>
> 1) Er det mere sikkert, og kan man med fordel flytte vpn serveren ud i
> routeren (Eks. ZyWall5) med tildeling af ip - eller er det ikke muligt, når
> min server også er DHCP.....for det er vel ikke muligt at lade den nye
> router tildele ip´er i et andet subnet en det vi kører på lan - når klient
> og lan skal tale sammen (se hinanden)?
>
Jeg tror ikke at du kan få ZyWALL 5 til at tildele ip adr. til
klienterne, sådan fungere det vist bare ikke. De vpn konfigurationer jeg
kender med ipsec vpn og zywall er det klienten selv der kommer med ip
adr., men min viden er også begrænset på få mærker.
Den måde som zywall's vpn fungere på er at det netop er fordi at de ikke
er på samme subnet, at boksen ved hvor trafikken skal hen.
Det kan være at der er andre der ved mere om dynamsike konfigurationer
med software klienter.
> 2) Du nævner et scenarie med et firmalan og tre home lans - de har alle hver
> deres subnet. Hvordan kan de enkelte homelans være/blive en del af firma
> lan, når det ikke er samme subnet?
De behøver ikke at være på samme subnet for at kommunikere, hvis du
kender ip adr. på den server du som hjemme bruger vil snakke med, eller
hvis du sætte hjemme brugernes pc'er op til at bruge din dns vil de
kunne slå ressource op på navnet, men de kan nok ikke browse sig frem
via stifinderen, på det punkt er din nuværende løsning nok bedre.
>
> 3) ok - nu nærlæser jeg endnu engang dit tidligere svar, hvor du anfører en
> mulig metode for at få alle klienter på samme subnet.......men der kan vel
> ikke være to DHCP´er på samme lan (router og server)......men det skal måske
> sættes specielt op?
Nej det er rigtigt, og det vil heller ikke løser dit problem, glem det,
det var noget vrøvl.
>
> 4) Hvordan er det man konfigurere en (klient)router, så den selv etablerer
> en vpn turnel til vpn-server.....hvor er det jeg skal se efter stedet (i
> routeren) for konfig af dette og hvordan fungerer det, hvad sætter det
> automatiske vpn turnel igang?
Hvis du laver lan2lan vpn sørger boksene selv for at åbne tunellerne når
der er trafik. Fordelen er at man som hjemmebruger ikke behøver at gøre
noget aktivt for at få kontakt til en server på arbejdet, det virker
helt transperant.
>
> Sluttelig vil jeg lige bemærke, at vore hjemmearbejdspladser ikke lige
> (alle) har routere (kabelmodems) - så det er ikke for alle muligt at lave en
> aut. lan2lan forbindelse, men "kun" alm. vpn netværksforbindelse.
>
På mig virker det som om du skal have lavet en del om i din
konfiguration for at få det til at virke. Jeg tror ikke at dine brugere
vil opleve det som en forbedring. At pptp vpn så ikke er helt så sikker
som en ipsec med aes eller 3des kryptering er en anden sag. Ipsec har
også nogle svagheder, hvis man konfigurere det forkert.
Jeg ved at cisco har et godt vpn produkt med software klienter. Zyxel er
mere brugbart kun til lan2lan konfigurationer, men det kan have ændret
sig siden jeg prøvede sidst.
--
Svend