|
| VPN nedsætter min båndbredde Fra : adam.hvidt@gmail.com |
Dato : 15-02-06 13:33 |
|
Hej
På min hjemmepc har jeg VPN-forbindelse til mit arbejde så jeg kan
få fat i mine netværksdrev, post etc.
Men når jeg er koblet op, er min båndbredde hjemme jo begrænset af
arb.pladsens udbredde. Det er - mildt sagt - ret irriterende pludselig
at side bag en 512kbit´forbindelse, når vi har en 10mbit synkron
forbindelse i ejendommen.
Hvordan kan jeg forbinde til arbejdet via VPN - og lede øvrig trafik
"udenom" og igennem min egen internetforbindelse. Kan jeg lavet et
øh.. subnet... til VPN-trafikken, eller skal jeg helt ud i at afvikle
VPN-forbindelsen fra et seperat netkort? Og er det i så fald
fremkommeligt. Jeg kan ikke være den eneste, der står med sådan et
problem
Mvh AdamH
| |
Martin Schultz (15-02-2006)
| Kommentar Fra : Martin Schultz |
Dato : 15-02-06 13:59 |
|
adam.hvidt@gmail.com <adam.hvidt@gmail.com> skrev 2006-02-15:
> Hej
> På min hjemmepc har jeg VPN-forbindelse til mit arbejde så jeg kan
> få fat i mine netværksdrev, post etc.
>
> Men når jeg er koblet op, er min båndbredde hjemme jo begrænset af
> arb.pladsens udbredde. Det er - mildt sagt - ret irriterende pludselig
> at side bag en 512kbit´forbindelse, når vi har en 10mbit synkron
> forbindelse i ejendommen.
>
> Hvordan kan jeg forbinde til arbejdet via VPN - og lede øvrig trafik
> "udenom" og igennem min egen internetforbindelse. Kan jeg lavet et
> øh.. subnet... til VPN-trafikken, eller skal jeg helt ud i at afvikle
> VPN-forbindelsen fra et seperat netkort? Og er det i så fald
> fremkommeligt. Jeg kan ikke være den eneste, der står med sådan et
> problem
Hvilken VPN klient bruger du?
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.
| |
Anon (15-02-2006)
| Kommentar Fra : Anon |
Dato : 15-02-06 14:28 |
|
Martin Schultz wrote:
> Hvilken VPN klient bruger du?
Og hvad siger firmaets sikkerhedspolitik på dette område?
Anon
| |
///M (15-02-2006)
| Kommentar Fra : ///M |
Dato : 15-02-06 14:52 |
|
adam.hvidt@gmail.com wrote:
> Men når jeg er koblet op, er min båndbredde hjemme jo begrænset af
> arb.pladsens udbredde. Det er - mildt sagt - ret irriterende pludselig
> at side bag en 512kbit´forbindelse, når vi har en 10mbit synkron
> forbindelse i ejendommen.
I visse VPN-klienter har du lov til selv at bestemme om du vil benytte
"remote gateway" til ikke-vpn trafik, MEN: Det er mega-farligt set med
sikkerhedsøjne! Det bør være forbudt i sikkerhedspolitikken (Anon er inde på
det i sit indlæg).
Bruger du fx. Window's egen VPN-klient, eller en klient der anvender den,
kan du fjerne "Use remote gateway", under fanen "Network", TCP/IP
properties, Advanced.
For at skære det ud i pap: Hvis du gør ovenstående, så åbner du potentielt
en vej fra Internettet - via din evt. inficerede pc - lige ind i firmaet.
--
Mvh
///M
| |
Thomas S. Iversen (15-02-2006)
| Kommentar Fra : Thomas S. Iversen |
Dato : 15-02-06 14:59 |
|
///M <nospam@tdcadsl.dk> skrev 2006-02-15:
> For at skære det ud i pap: Hvis du gør ovenstående, så åbner du potentielt
> en vej fra Internettet - via din evt. inficerede pc - lige ind i firmaet.
Hvilket sikkert kan medføre en opsigelse i henhold til ens
ansættelseskontrakt.
Thomas
--
| |
Anon (15-02-2006)
| Kommentar Fra : Anon |
Dato : 15-02-06 15:14 |
|
///M wrote:
> I visse VPN-klienter har du lov til selv at bestemme om du vil benytte
> "remote gateway" til ikke-vpn trafik, MEN: Det er mega-farligt set med
> sikkerhedsøjne! Det bør være forbudt i sikkerhedspolitikken (Anon er inde på
> det i sit indlæg).
Plus at det i nogle klienter (Cisco) er muligt at definere fra
VPN-endpointets side hvorvidt det er tilladet (jeg skal muligvis
korrigeres her).
> Bruger du fx. Window's egen VPN-klient, eller en klient der anvender den,
> kan du fjerne "Use remote gateway", under fanen "Network", TCP/IP
> properties, Advanced.
Muligvis, ja. Men det giver problemer, hvis man skal have fat i mere end
det ene subnet som man bliver placeret i for ende af tunnelen. I såfald
skal man kende alle (interessante) subnets for enden af tunnelen og
tilsvarende manuelt korrigere i rute-tabellen. Og det er vel meget
sjældent "interessant" på en klientmaskine...
Anon
| |
///M (15-02-2006)
| Kommentar Fra : ///M |
Dato : 15-02-06 17:58 |
|
Anon wrote:
> ///M wrote:
>> I visse VPN-klienter har du lov til selv at bestemme om du vil
>> benytte "remote gateway" til ikke-vpn trafik, MEN: Det er
>> mega-farligt set med sikkerhedsøjne! Det bør være forbudt i
>> sikkerhedspolitikken (Anon er inde på det i sit indlæg).
>
> Plus at det i nogle klienter (Cisco) er muligt at definere fra
> VPN-endpointets side hvorvidt det er tilladet (jeg skal muligvis
> korrigeres her).
Det er korrekt at Cisco's VPN-klient (engang i hvert fald) kunne kontrollere
dette fra centralt hold.
>> Bruger du fx. Window's egen VPN-klient, eller en klient der anvender
>> den, kan du fjerne "Use remote gateway", under fanen "Network",
>> TCP/IP properties, Advanced.
>
> Muligvis, ja. Men det giver problemer, hvis man skal have fat i mere
> end det ene subnet som man bliver placeret i for ende af tunnelen. I
> såfald skal man kende alle (interessante) subnets for enden af
> tunnelen og tilsvarende manuelt korrigere i rute-tabellen. Og det er
> vel meget sjældent "interessant" på en klientmaskine...
Hvis der er flere subnet, bliver det hurtigt interessant for brugeren, hvis
han ønsker at have sin P2P klient kørende samtidig med han er på VPN....
--
Mvh
///M
| |
Asbjorn Hojmark (15-02-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-02-06 16:05 |
|
On 15 Feb 2006 04:32:39 -0800, adam.hvidt@gmail.com wrote:
> Men når jeg er koblet op, er min båndbredde hjemme jo begrænset af
> arb.pladsens udbredde. Det er - mildt sagt - ret irriterende pludselig
> at side bag en 512kbit´forbindelse, når vi har en 10mbit synkron
> forbindelse i ejendommen.
Så lad være med at koble op til firmaet, når du vil bruge din egen
hurtige forbindelse...
Uanset hvad du gør, så sørg for at afklare med firmaet, om det er OK!
Som andre er inde på, kan det være virkelig upopulært at (forsøge at)
omgå firmaets sikkerhedspolitik. En advarsel vil typisk være minimum
og en afskedigelse er ikke urealistisk.
Når det er sagt... Du kan muligvis slippe afsted med at bruge et
ekstra netkort til dit lokale netværk og så kun bruge VPN-forbindelsen
til trafik til firmaet. Måske kan du endda nøjes med dit nuværende
netkort. Det afhænger dog fuldstændig af firmaets setup (og det har du
ikke fortalt noget om).
-A
| |
///M (15-02-2006)
| Kommentar Fra : ///M |
Dato : 15-02-06 18:02 |
|
Asbjorn Hojmark wrote:
> Når det er sagt... Du kan muligvis slippe afsted med at bruge et
> ekstra netkort til dit lokale netværk og så kun bruge VPN-forbindelsen
> til trafik til firmaet.
Også en mulighed
- rejser dog samme sikkerhedsmæssige advarsel, det er "farligt" for firmaet
hvis du har begge linier åbne samtidig.
--
Mvh
///M
| |
Asbjorn Hojmark (15-02-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-02-06 19:03 |
|
On Wed, 15 Feb 2006 18:01:34 +0100, "///M" <nospam@tdcadsl.dk> wrote:
>> Når det er sagt... Du kan muligvis slippe afsted med at bruge et
>> ekstra netkort til dit lokale netværk og så kun bruge VPN-forbindelsen
>> til trafik til firmaet.
> Også en mulighed
> - rejser dog samme sikkerhedsmæssige advarsel, det er "farligt" for
> firmaet hvis du har begge linier åbne samtidig.
Det er jeg ikke ubetinget enig i: Hvis man har kontrol over klienten,
kan man også kontrollere, hvad der kan ske via et 'åbent' netkort.
Man kan principielt lave lige så meget skade ved først at forbinde sig
til Internet og derefter til firmaet, som ved at være forbundet til de
to net samtidig.
Hvis man (firmaet) *ikke* stoler på, man har ordentlig kontrol med
pc'erne, skal man slet ikke tillade dem at blive koblet direkte på
Internet.
I bund og grund er det primært et spørgsmål om sikkerhedspolitik.
-A
| |
Morten Christensen (16-02-2006)
| Kommentar Fra : Morten Christensen |
Dato : 16-02-06 11:01 |
|
Asbjorn Hojmark skrev dette den 15-02-2006 16:05:
>
>>Men når jeg er koblet op, er min båndbredde hjemme jo begrænset af
>>arb.pladsens udbredde. Det er - mildt sagt - ret irriterende pludselig
>>at side bag en 512kbit´forbindelse, når vi har en 10mbit synkron
>>forbindelse i ejendommen.
>
> .. Du kan muligvis slippe afsted med at bruge et
> ekstra netkort til dit lokale netværk og så kun bruge VPN-forbindelsen
> til trafik til firmaet. Måske kan du endda nøjes med dit nuværende
> netkort. Det afhænger dog fuldstændig af firmaets setup .
>
Kan du fortælle lidt mere om mulighederne for at lave 2 forbindelser på
samme netkort ? Vi arbejdet til daglig op mod en mainframe, vi forbinder
til gennem en mpls-linie. Når den linie går ned (et par gange om året),
bruger vi den almindelige internet-forbindelse istedet med en Cisco
Systems VPN Client op imod en Cisco Concentrator (jeg ikke kender mere
til concentratoren). Cisco VPN-klienten forhindrer os bla. i at udskrive
til netværksprintere og bruge det interne mailsystem f.eks. til
telefonbeskeder. Derfor ville vi gerne kunne lave en "bredere" opsætning.
--
Morten Christensen
| |
Asbjorn Hojmark (16-02-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 16-02-06 12:06 |
|
On Thu, 16 Feb 2006 11:00:42 +0100, Morten Christensen
<mc@mc.sletmig.cx> wrote:
> Vi arbejdet til daglig op mod en mainframe, vi forbinder til gennem
> en mpls-linie. Når den linie går ned (et par gange om året), bruger
> vi den almindelige internet-forbindelse istedet med en Cisco Systems
> VPN Client op imod en Cisco Concentrator (jeg ikke kender mere til
> concentratoren). Cisco VPN-klienten forhindrer os bla. i at udskrive
> til netværksprintere og bruge det interne mailsystem f.eks. til
> telefonbeskeder.
Man kan (på concentratoren) sætte op, om brugerne må lave 'split
tunneling', som det kaldes. Det sættes per User, Group eller Base
Group under Client Config.
Hvis administratoren har valgt at styre det for klienten, er der ikke
rigtig andet at gøre end at kontakte administratoren.
-A
| |
James Rune Hansen (21-02-2006)
| Kommentar Fra : James Rune Hansen |
Dato : 21-02-06 10:41 |
|
> Man kan (på concentratoren) sætte op, om brugerne må lave 'split
> tunneling', som det kaldes. Det sættes per User, Group eller Base
> Group under Client Config.
Bare til lidt info >>
Selvom brugerne er plain simple PPTP (windows) brugere kan man også sagtens
forbyde dem at gøre dette.
Ved at lave et routet net som de lander på. Så bliver de nød til at have VPN
boksen på firmaet som standard gateway. Så trickset med at fjerne fluebenet
på windows klienten ikke virker.
/James
| |
|
|