|
| VPN til mindre virksomhed Fra : S |
Dato : 01-02-09 20:49 |
|
Hej
Jeg skal have lavet noget VPN til en mindre virksomhed med 7 ansatte.
Serveren kører Small Business Server 2003. De ansatte skal med deres
bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
Hvordan gøres dette lettest. Indeholder serveren en VPN server, der kan
bruges, eller er det smartere at anvende en router med indbygget VPN server?
Hilsen S
| |
Asbjorn Hojmark (02-02-2009)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 02-02-09 07:59 |
|
On Sun, 01 Feb 2009 20:48:57 +0100, S <s@no.no> wrote:
> De ansatte skal med deres
> bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
> Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
> Hvordan gøres dette lettest.
Jeg ville 1) købe en lille firewall til at beskytte firmaets net og 2)
bruge den firewall til at give brugerne VPN-adgang. Se fx på Cisco ASA
5505.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
S (02-02-2009)
| Kommentar Fra : S |
Dato : 02-02-09 09:20 |
|
Tak for svaret.
Er det den her enhed du taler om ?
http://www.proshop.dk/showproduct.aspx?prodid=122595
Det er vidst en 10 bruger udgave - så jeg går ud fra at alle 7
medarbejdere kan koble op samtidig, Ikke ?
Bruger man Microsofts indbyggede VPN klient software på de bærbare eller
følger der noget Cisco software med, som skal installeres?
Hvis antallet af medarbejdere stiger til over 10 medarbejdere, kan
routeren så udvides, eller skal man købe en ny?
Hilsen S
Asbjorn Hojmark wrote:
> On Sun, 01 Feb 2009 20:48:57 +0100, S <s@no.no> wrote:
>
>> De ansatte skal med deres
>> bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
>> Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
>> Hvordan gøres dette lettest.
>
> Jeg ville 1) købe en lille firewall til at beskytte firmaets net og 2)
> bruge den firewall til at give brugerne VPN-adgang. Se fx på Cisco ASA
> 5505.
>
> -A
| |
Uffe S. Callesen (02-02-2009)
| Kommentar Fra : Uffe S. Callesen |
Dato : 02-02-09 09:29 |
|
Overvej noget SSL VPN istedet - så skal du ikke vedligeholde klienter på
dine brugeres maskiner.
| |
S (02-02-2009)
| Kommentar Fra : S |
Dato : 02-02-09 10:12 |
|
Uffe S. Callesen wrote:
> Overvej noget SSL VPN istedet - så skal du ikke vedligeholde klienter på
> dine brugeres maskiner.
>
>
Ok - har du et eksempel på en sådan enhed?
Hilsen S
| |
Asbjorn Hojmark (02-02-2009)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 02-02-09 14:50 |
|
On Mon, 02 Feb 2009 10:12:19 +0100, S <s@no.no> wrote:
>> Overvej noget SSL VPN istedet - så skal du ikke vedligeholde klienter på
>> dine brugeres maskiner.
> Ok - har du et eksempel på en sådan enhed?
Det kan ASA 5505 også.
-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Allan (03-02-2009)
| Kommentar Fra : Allan |
Dato : 03-02-09 08:40 |
|
Det er rigtigt ASA5505 har indbygget 2 SSL clienter men der kan tilkøbes
flere.
Tror nu at en ASA5505-BUN-K9 bliver for lille, du kommer hurtigt op på de 10
MAC adresser som den tæller på.
Du skal nok kigge på en 50 brugers udgave ASA5505-50-BUN-K9
/Allan
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:4fudo4dkei02gp4jos6s20burcia1usn4l@hojmark.net...
> On Mon, 02 Feb 2009 10:12:19 +0100, S <s@no.no> wrote:
>
>>> Overvej noget SSL VPN istedet - så skal du ikke vedligeholde klienter på
>>> dine brugeres maskiner.
>
>> Ok - har du et eksempel på en sådan enhed?
>
> Det kan ASA 5505 også.
>
> -A
> --
> Hvis du bruger et anti-spam program, der spammer os andre i hvert
> eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Asbjorn Hojmark (03-02-2009)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 03-02-09 09:03 |
|
On Tue, 3 Feb 2009 08:39:56 +0100, "Allan"
<ingen_lorte_mails_allan@copenhagenguitars.dk> wrote:
> Tror nu at en ASA5505-BUN-K9 bliver for lille, du kommer hurtigt op
> på de 10 MAC adresser som den tæller på.
En ASA tæller ikke MAC-adresser. Den tæller 'local host objects',
hvilket er hosts (IP-adresser), der sender trafik gennem firewall'en,
bortset fra dem på outside.
Hvis man har hosts på indersiden, der *ikke* sender data gennem
firewall'en, tæller de ikke. (Det kunne fx være printere). Hvis man
har en router (uden NAT) med 5 maskiner bag, tæller det som 5 hosts,
ikke 1.
> Du skal nok kigge på en 50 brugers udgave ASA5505-50-BUN-K9
Man kan opgradere senere, hvis det viser sig nødvendigt.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Jens (02-02-2009)
| Kommentar Fra : Jens |
Dato : 02-02-09 10:46 |
|
"S" <s@no.no> skrev i meddelelsen
news:4985fc41$0$56793$edfadb0f@dtext02.news.tele.dk...
> Hej
>
> Jeg skal have lavet noget VPN til en mindre virksomhed med 7 ansatte.
> Serveren kører Small Business Server 2003. De ansatte skal med deres
> bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
> Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
> Hvordan gøres dette lettest. Indeholder serveren en VPN server, der kan
> bruges, eller er det smartere at anvende en router med indbygget VPN
> server?
Hej S,
Nu ved jeg ikke om din SBS 2003 er tilsluttet direkte til Internet, men hvis
den er, så har du alt det du behøver for at kunne lave VPN. Det er indbygget
i Windows.
Hvis det kun er adgang til Outlook du ønsker, vil jeg anbefale dig at taget
et kig på Outlook AnyWhere (eller Outlook over HTTPS), som det også hedder.
Det er en rigtig brugbar funktion, som jeg kender mange der er rigtigt glade
for. (Det er kort fortalt Outlook, som selv opretter en "VPN" forbindelse
til serveren).
Ellers skal du have en firewall, som både Uffe og Asbjorn anbefaler, og som
Uffe nævner en der understøtter SSL, så slipper du for at vedligeholde
software på klienterne.
Men måske du skulle overveje at tage fat i en konsulent, som kan hjælpe dig
med korrekt valg og opsætning/konfigurering af udstyret.
Jens
| |
S (02-02-2009)
| Kommentar Fra : S |
Dato : 02-02-09 11:09 |
|
Jens wrote:
> "S" <s@no.no> skrev i meddelelsen
> news:4985fc41$0$56793$edfadb0f@dtext02.news.tele.dk...
>> Hej
>>
>> Jeg skal have lavet noget VPN til en mindre virksomhed med 7 ansatte.
>> Serveren kører Small Business Server 2003. De ansatte skal med deres
>> bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
>> Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
>> Hvordan gøres dette lettest. Indeholder serveren en VPN server, der
>> kan bruges, eller er det smartere at anvende en router med indbygget
>> VPN server?
>
> Hej S,
>
> Nu ved jeg ikke om din SBS 2003 er tilsluttet direkte til Internet, men
> hvis den er, så har du alt det du behøver for at kunne lave VPN. Det er
> indbygget i Windows.
> Hvis det kun er adgang til Outlook du ønsker, vil jeg anbefale dig at
> taget et kig på Outlook AnyWhere (eller Outlook over HTTPS), som det
> også hedder. Det er en rigtig brugbar funktion, som jeg kender mange der
> er rigtigt glade for. (Det er kort fortalt Outlook, som selv opretter en
> "VPN" forbindelse til serveren).
>
> Ellers skal du have en firewall, som både Uffe og Asbjorn anbefaler, og
> som Uffe nævner en der understøtter SSL, så slipper du for at
> vedligeholde software på klienterne.
>
> Men måske du skulle overveje at tage fat i en konsulent, som kan hjælpe
> dig med korrekt valg og opsætning/konfigurering af udstyret.
>
> Jens
Den er ikke tilsluttet direkte til internettet. Der sidder en Linksys
RV042 VPN-router imellem. Det er lykkedes at bruge Linksys'en til at
lave VPN forbindelse (pptp) med, men der kan kun laves 5 forbindelser -
og jeg har brug for minimum 7. (Linksys'en skulle også kunne lave VPN
via noget QuickVPN software, men det virker ikke hvis der er mere end ét
netværkskort i de bærbare - og de har alle to (Ethernet og Wireless).
Skod-software!
De har allerede adgang til outlook via web-browseren, men de brokker sig
over at det ikke ligner Outlook 100%, og de har også brug for at kunne
tilgå deres dokumenter på serveren.
Hilsen S
| |
Dennis Pedersen (02-02-2009)
| Kommentar Fra : Dennis Pedersen |
Dato : 02-02-09 11:32 |
|
"S" <s@no.no> skrev i en meddelelse
news:4985fc41$0$56793$edfadb0f@dtext02.news.tele.dk...
> Hej
>
> Jeg skal have lavet noget VPN til en mindre virksomhed med 7 ansatte.
> Serveren kører Small Business Server 2003. De ansatte skal med deres
> bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
> Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
> Hvordan gøres dette lettest. Indeholder serveren en VPN server, der kan
> bruges, eller er det smartere at anvende en router med indbygget VPN
> server?
Den nemme løsning var at lade SBS serveren ergere PPTP server.
Det kan du aktivere via guiden og så skal brugerne bare meldes ind i mobile
users gruppen. Så har de adgang til at daile ind.
Husk at slå komplekse password til så de ikke bare sætte passwordet til at
være "fido"
--
/Dennis
Diverse hardware sælges
http://gallery.daydreamer.dk/salg/
| |
S (02-02-2009)
| Kommentar Fra : S |
Dato : 02-02-09 12:36 |
|
Dennis Pedersen wrote:
> "S" <s@no.no> skrev i en meddelelse
> news:4985fc41$0$56793$edfadb0f@dtext02.news.tele.dk...
>> Hej
>>
>> Jeg skal have lavet noget VPN til en mindre virksomhed med 7 ansatte.
>> Serveren kører Small Business Server 2003. De ansatte skal med deres
>> bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
>> Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
>> Hvordan gøres dette lettest. Indeholder serveren en VPN server, der kan
>> bruges, eller er det smartere at anvende en router med indbygget VPN
>> server?
>
> Den nemme løsning var at lade SBS serveren ergere PPTP server.
> Det kan du aktivere via guiden og så skal brugerne bare meldes ind i mobile
> users gruppen. Så har de adgang til at daile ind.
> Husk at slå komplekse password til så de ikke bare sætte passwordet til at
> være "fido"
>
>
Det lyder simpelt. Vil det sige, at hvis jeg kører guiden og i routeren
forwarder port 1723 til serveren, så skulle det bare spille?
Hilsen S
| |
Ukendt (02-02-2009)
| Kommentar Fra : Ukendt |
Dato : 02-02-09 14:24 |
|
>> Den nemme løsning var at lade SBS serveren ergere PPTP server.
>> Det kan du aktivere via guiden og så skal brugerne bare meldes ind i
>> mobile users gruppen. Så har de adgang til at daile ind.
>> Husk at slå komplekse password til så de ikke bare sætte passwordet til
>> at være "fido"
> Det lyder simpelt. Vil det sige, at hvis jeg kører guiden og i routeren
> forwarder port 1723 til serveren, så skulle det bare spille?
Jeg må altså pointere at PPTP VPN løsninger er mere svage hvad angår
sikkerhed. IMHO er det den dårligste type VPN løsning der findes. Men ja,
den er gratis og utrolig nem at få til at virke. Hvis sikkerhed ikke har
nogen indflydelse i dit setup, så brug det. Men ellers vil jeg som minimum
anbefale dig at lave en IPSEC løsning på din SBS server, eller som Asbjørn
foreslog købe en Cisco box.
mvh
///M
| |
Jens (04-02-2009)
| Kommentar Fra : Jens |
Dato : 04-02-09 19:05 |
|
"S" <s@no.no> skrev i meddelelsen
news:4986da35$0$56795$edfadb0f@dtext02.news.tele.dk...
> Dennis Pedersen wrote:
>>
>> Den nemme løsning var at lade SBS serveren ergere PPTP server.
>> Det kan du aktivere via guiden og så skal brugerne bare meldes ind i
>> mobile users gruppen. Så har de adgang til at daile ind.
>> Husk at slå komplekse password til så de ikke bare sætte passwordet til
>> at være "fido"
>
> Det lyder simpelt. Vil det sige, at hvis jeg kører guiden og i routeren
> forwarder port 1723 til serveren, så skulle det bare spille?
Du skal ud over at forwarde port 1723 protocol TCP også forwarde GRE
(protocol 47)....
Det er ikke sikkert at din router understøtter det....
Jens
| |
Dennis Pedersen (04-02-2009)
| Kommentar Fra : Dennis Pedersen |
Dato : 04-02-09 20:55 |
|
"Jens" <jens.joensson@_FJERNDETTE_gmail.com> skrev i en meddelelse
news:4989d96a$0$90273$14726298@news.sunsite.dk...
> "S" <s@no.no> skrev i meddelelsen
> news:4986da35$0$56795$edfadb0f@dtext02.news.tele.dk...
>> Dennis Pedersen wrote:
>>>
>>> Den nemme løsning var at lade SBS serveren ergere PPTP server.
>>> Det kan du aktivere via guiden og så skal brugerne bare meldes ind i
>>> mobile users gruppen. Så har de adgang til at daile ind.
>>> Husk at slå komplekse password til så de ikke bare sætte passwordet til
>>> at være "fido"
>>
>> Det lyder simpelt. Vil det sige, at hvis jeg kører guiden og i routeren
>> forwarder port 1723 til serveren, så skulle det bare spille?
>
> Du skal ud over at forwarde port 1723 protocol TCP også forwarde GRE
> (protocol 47)....
> Det er ikke sikkert at din router understøtter det....
Du skal ikke forwarde GRE - det er nok med 1723/TCP.
Det er rigtigt der bliver brugt GRE, men den skal ikke forwardes i routeren.
Selv en billig skrammel leveloner router kan tage PPTP.
Det eneste jeg er faldet over indtil nu er ZyXEL USG serien - der har man af
uforklarlige årsager valgt at indgående PPTP ikke er supporteret.
--
/Dennis
Diverse hardware sælges
http://gallery.daydreamer.dk/salg/
| |
Brian R. Jensen (05-02-2009)
| Kommentar Fra : Brian R. Jensen |
Dato : 05-02-09 07:04 |
|
"Dennis Pedersen" <usenetspam@*FJERN*daydreamer.dk> skrev i meddelelsen
news:4989f1ff$0$90270$14726298@news.sunsite.dk...
> Selv en billig skrammel leveloner router kan tage PPTP.
> Det eneste jeg er faldet over indtil nu er ZyXEL USG serien - der har man
> af uforklarlige årsager valgt at indgående PPTP ikke er supporteret.
Hvordan oplever du at det er fravalgt, vi har flere kørende hvor kunderne
ønsker at bruge MS SBS VPN, som jo er PPTP
/Brian
| |
Dennis Pedersen (05-02-2009)
| Kommentar Fra : Dennis Pedersen |
Dato : 05-02-09 17:28 |
|
"Brian R. Jensen" <news@dueslag.dk> skrev i en meddelelse
news:498a8171$0$90265$14726298@news.sunsite.dk...
>
> "Dennis Pedersen" <usenetspam@*FJERN*daydreamer.dk> skrev i meddelelsen
> news:4989f1ff$0$90270$14726298@news.sunsite.dk...
>
>> Selv en billig skrammel leveloner router kan tage PPTP.
>> Det eneste jeg er faldet over indtil nu er ZyXEL USG serien - der har man
>> af uforklarlige årsager valgt at indgående PPTP ikke er supporteret.
>
> Hvordan oplever du at det er fravalgt, vi har flere kørende hvor kunderne
> ønsker at bruge MS SBS VPN, som jo er PPTP
Fravalgt asin det virker ikke.
Sæt en PPTP server bagved en USGxxx og du kan ikke daile in til den.
Jeg har haft en ping pong kørende med ZyXEL omkring det og den eneste måde
det kan komme til at virke på er at bridge en offentlig IP direkte ind på
PPTP serveren - det er i mine øjne ikke en løsning.
Det andet "kommer snart" - men det kom ikke med i den firmware der lige er
frigivet. Jeg har forgæves forsøgt at få en tidshorisont ud af dem, så
indtil det er fikset samlet USG300eren stadigt støv for mit vedkommende.
--
/Dennis
Diverse hardware sælges
http://gallery.daydreamer.dk/salg/
| |
Brian R. Jensen (05-02-2009)
| Kommentar Fra : Brian R. Jensen |
Dato : 05-02-09 22:32 |
|
"Dennis Pedersen" <usenetspam@*FJERN*daydreamer.dk> skrev i meddelelsen
news:498b131f$0$90276$14726298@news.sunsite.dk...
>> Hvordan oplever du at det er fravalgt, vi har flere kørende hvor kunderne
>> ønsker at bruge MS SBS VPN, som jo er PPTP
>
> Fravalgt asin det virker ikke.
> Sæt en PPTP server bagved en USGxxx og du kan ikke daile in til den.
> Jeg har haft en ping pong kørende med ZyXEL omkring det og den eneste måde
> det kan komme til at virke på er at bridge en offentlig IP direkte ind på
> PPTP serveren - det er i mine øjne ikke en løsning.
> Det andet "kommer snart" - men det kom ikke med i den firmware der lige er
> frigivet. Jeg har forgæves forsøgt at få en tidshorisont ud af dem, så
> indtil det er fikset samlet USG300eren stadigt støv for mit vedkommende.
Jeg udtrykte mig måske uklart, men jeg forsøgte få dig til at oplyse hvad du
gør siden det ikke virker, som sagt har vi flere installationer hvor det
virker.
Hvorfor Zyxel-support siger det ikke virker skal jeg lade være usagt, men vi
har ikke haft problemer med det, der er ikke så meget hokus pokus i det.
Jeg plejer at oprette en service-group med de to services PPTP og
PPTP_TUNNEL i og lave en firewall-regel der tillader trafikken til den
ønskede PPTP-server. Så er det bare at mappe PPTP til serveren under
"network/virtual server". Voila som de siger.
HTH
/Brian
| |
Jens (05-02-2009)
| Kommentar Fra : Jens |
Dato : 05-02-09 08:05 |
|
"Dennis Pedersen" <usenetspam@*FJERN*daydreamer.dk> skrev i meddelelsen
news:4989f1ff$0$90270$14726298@news.sunsite.dk...
>
> "Jens" <jens.joensson@_FJERNDETTE_gmail.com> skrev i en meddelelse
> news:4989d96a$0$90273$14726298@news.sunsite.dk...
>> "S" <s@no.no> skrev i meddelelsen
>> news:4986da35$0$56795$edfadb0f@dtext02.news.tele.dk...
>>> Dennis Pedersen wrote:
>>>>
>>>> Den nemme løsning var at lade SBS serveren ergere PPTP server.
>>>> Det kan du aktivere via guiden og så skal brugerne bare meldes ind i
>>>> mobile users gruppen. Så har de adgang til at daile ind.
>>>> Husk at slå komplekse password til så de ikke bare sætte passwordet til
>>>> at være "fido"
>>>
>>> Det lyder simpelt. Vil det sige, at hvis jeg kører guiden og i routeren
>>> forwarder port 1723 til serveren, så skulle det bare spille?
>>
>> Du skal ud over at forwarde port 1723 protocol TCP også forwarde GRE
>> (protocol 47)....
>> Det er ikke sikkert at din router understøtter det....
>
> Du skal ikke forwarde GRE - det er nok med 1723/TCP.
> Det er rigtigt der bliver brugt GRE, men den skal ikke forwardes i
> routeren.
Nu kender jeg ikke den nævnte router, men de routere jeg har haft fat i
skulle på en eller anden måde have GRE indgående forwardet til serveren.
> Selv en billig skrammel leveloner router kan tage PPTP.
> Det eneste jeg er faldet over indtil nu er ZyXEL USG serien - der har man
> af uforklarlige årsager valgt at indgående PPTP ikke er supporteret.
Jeg har aldrig haft problemet med ZyXEL grej. Alle de enheder jeg har rørt
ved har kunne forwarde GRE indgående.
Jens
| |
S (05-02-2009)
| Kommentar Fra : S |
Dato : 05-02-09 08:25 |
|
Dennis Pedersen wrote:
> "S" <s@no.no> skrev i en meddelelse
> news:4985fc41$0$56793$edfadb0f@dtext02.news.tele.dk...
>> Hej
>>
>> Jeg skal have lavet noget VPN til en mindre virksomhed med 7 ansatte.
>> Serveren kører Small Business Server 2003. De ansatte skal med deres
>> bærbare, som de slæber med hjem hver dag, kunne få adgang til Exchange
>> Serveren og deres filer, uanset om de sidder hjemme eller på Hawaii.
>> Hvordan gøres dette lettest. Indeholder serveren en VPN server, der kan
>> bruges, eller er det smartere at anvende en router med indbygget VPN
>> server?
>
> Den nemme løsning var at lade SBS serveren ergere PPTP server.
> Det kan du aktivere via guiden og så skal brugerne bare meldes ind i mobile
> users gruppen. Så har de adgang til at daile ind.
> Husk at slå komplekse password til så de ikke bare sætte passwordet til at
> være "fido"
>
>
Tak for hjælpen. Det spillede bare. Ved at forwarde port 1723 til
serveren var det lige så let som at klø sig et bestemt sted.
PPTP er ganske vidst ikke lige så sikkert som IPSEC og SSL, men hvad
hjælper det at have verdens sikreste hoveddør, hvis tyvene bare kan
komme ind alle mulige andre steder. Risikoen for at de bliver inficeret
med noget virus eller spyware via noget de downloader, får tilsendt
eller bare surfer forbi (de bruger IE), vurderer jeg at være mange gange
større, end at en eller anden hacker vil forsøge at brute-force sig
igennem pptp serveren.
/S
| |
|
|