HDSoftware Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Folkens... Jeg er i ferd med å sette opp et VPN nett mellom fire SITEs. Jeg har fått tak i en del info rundt dette og mange anbefalinger om hvordan VPN settes opp. Det jeg nå gjenre skulle vist var hva ROUTE egentlig er for noe. Sett at jeg har følgende oppsett med PPTP på to SITES der begge bruker en Windows 2008 server som FW/ROUTER Site 1: IP 10.0.1.1 PPTP til Site2: 172.16.0.100 Site 2: IP 172.16.0.1 PPTP til Site1: 10.0.1.2 I dette oppsettet vil jo man på serveren kunne pinge både PPTP og LAN, men LAN'et kan jo kunn pinge sit lokale segment. Er det mulig å sette opp i router at klienter også skal nå remote server/klienter ? Vet jeg kan sette gateway, men den er jo allerede satt til WAN. Ser også at jeg kan sette gateway når jeg adder en ROUTE, men her er jeg litt på bortebane og gjetter relativt mye. All hjelp er hjertelig velkommen Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Eller kort fortalt: Hjelp meg å forstå ROUTE ;-) Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 (endret) Route-kommandoen forteller TCP/IP-stacken (programvaren i OSet som driver TCP/IP) at du ønsker å sende trafikk som skal til et nettverk, til en bestemt IP-adresse. Denne IP-adressen, også kjent som "next hop" må være en adresse som maskinen har direkte tilgang til. Routing-tabellen ligger i minnet på maskinen, og vil i utgangspunktet nullstilles ved omstart. På Windows-plattformen (fra NT og oppover) kan man angi parameteret "-p" for å gjøre en route "persistent", slik at den lagres i registeret og overlever omstart. Så over til oppsettet ditt. På serveren på site 1 har du nå et virtuelt nettverkskort ifm. PPTP. Dette er egentlig en GRE-tunnel, men med en "vri": På site 2 har denne tunnelen tilsynelatende ingen egen adresse. Dette er default-oppsettet i Windows; man får en unummerert tunnel og en IP-adresse i nettet på den andre siden. Enheten som terminerer PPTP-forbindelsen på site 2 foretar "proxy ARP" for denne IP-adressen (svare på dens vegne) dersom du prøver å nå enheter i nettet på site 2 via serveren i site 1, som så svarer. Dette er ikke et oppsett som vil fungere i site-to-site-sammenheng. Det er to kriterier som må være oppfylt for at en IP-basert side-to-site-forbindelse skal fungerer (uavhengig av tunneleringsprotokoll): 1. Tunnelen må være satt opp på nettverkets gateway (eller trafikk må manuelt routes til enheten som er endepunkt for tunnelen) 2. Tunnelen må ikke være slik at det ene endepunktet er definert som en enkel IP-adresse (som i dette tilfellet) Såvidt jeg forstår, er dette Windows-servere som står som gateway i nettene. Stemmer det? Og er dette "rene" Windows-installasjoner, eller er det installert brannmurprogramvare som f.eks. Forefront TMG på noen av dem? Endret 4. oktober 2011 av conundrum Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Det stemmer at dette er rene Windows servere og at de fungere som GateWay. Jeg har benyttet RRAS for å sette de opp som routere og VPN servere. Var faktisk ved å vurdere TMG her, men tror det er litt i overkant av hva som trengs.. Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Åja, kort om route? Syntaksen i Windows er: route (kommando) (nettverk) mask (nettmaske) (gateway) [metric (kostnad)] "Kommando" er enten add, delete, print eller change. "Nettverk" er nettverksadressen (eller IP-adressen) du vil route. "Nettmaske" er relativt selvforklarende. "Gateway" er "next hop", altså routeren/maskinen man vil sende trafikken via. "metric"-parameteret er valgfritt, og jeg hopper over det foreløpig. Dersom du selv har IP-adressen 10.0.0.10(/24) og 10.0.0.1 som default gateway, men vet at routeren med adressen 10.0.0.5 er tilknyttet nettverket 172.16.0.0/16, ksn du legge inn en route slik: route add 172.16.0.0 mask 255.255.0.0 10.0.0.5 Maskinen vil nå sende all trafikk til 172.16.0.0/16 til 10.0.0.5. "route print" (uten ytterligere parametre) vil nå vise en linje som angir nettopp dette, slik (utdrag): IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.10 10 172.16.0.0 255.255.0.0 10.0.0.5 10.0.0.10 11 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 Route nr. 2 (linje 5 i teksten) viser den route-oppføringen som nettopp ble laget. Det er ikke veldig vanlig å endre routing-tabellen på servere og arbeidsstasjoner. Unntaket er når en slik maskin også fungerer som router/brannmur. Dette var det korteste jeg klarte. Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Det stemmer at dette er rene Windows servere og at de fungere som GateWay. Jeg har benyttet RRAS for å sette de opp som routere og VPN servere. Var faktisk ved å vurdere TMG her, men tror det er litt i overkant av hva som trengs.. OK, da må du gå inn i RRAS-konsollet, merke "interfaces", høyreklikke og velge "New Demand-dial Interface". Microsoft lever antakelig litt i fortiden, og site-to-site-VPN heter derfor "demand dial", som om man skulle lage en oppringt forbindelse. Men veiviseren henter seg relativt fort inn, og du kan velge mellom VPN og PPPoE(!), og deretter L2TP eller PPTP hvis du velger VPN. (Hvorfor RRAS, forresten? Altså, hvorfor bruke serveren som router?) Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Hehe, det er rett og slett fordi jeg ikek vet bedre ;-) Jeg trengte en måte å komme meg inn på remote site og fant ut at jeg kunne kjøre opp RRAS og vips vaps vups så hadde jeg VPN server installert out of the box. Har jo sett at DSL routere også har VPN, men som nevnt i en annen tråd så aner jeg svert lite om IpSEC og slikt. VPN er for meg noe som bare virker når jeg installerer RRAS ;-) Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Windows Server kan benyttes som router, VPN-endepunkt og brannmur, men jeg vil påstå at man da får en usedvalig dyr og tungdrevet router med et tungvindt grensesnitt. Det går forøvrig greit å sette opp en "ekte" router som gateway og VPN-endepunkt, og autentisere VPN-brukere mot AD via RADIUS. Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Det er mulig, serveren står jo der allerede og eneste jeg trengte var et NIC i tillegg.. Men de fleste routere jeg har sett, av litt billigere kvalitet og i hvertfall av de som leveres fra ISP har bare VPN passthrough. Dustete uttrykk og er i beste fall et BUZZWORD og jeg misstenker at dette er produsentens måte å fortelle at man kan forwarde VPN trafikk ved å velge IPSEC i veiviserene rundt port forwarding, egentlig bare for å få lov å ha ordet VPN i anonsene sine for å virke "avanserte". Helt idiotisk i såfall å i det hele tatt å nevne det spør du meg. Men det er mulig jeg tar feil her altså Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Men de fleste routere jeg har sett, av litt billigere kvalitet og i hvertfall av de som leveres fra ISP har bare VPN passthrough. Dustete uttrykk og er i beste fall et BUZZWORD og jeg misstenker at dette er produsentens måte å fortelle at man kan forwarde VPN trafikk ved å velge IPSEC i veiviserene rundt port forwarding, egentlig bare for å få lov å ha ordet VPN i anonsene sine for å virke "avanserte". Helt idiotisk i såfall å i det hele tatt å nevne det spør du meg. Men det er mulig jeg tar feil her altså Du har forsåvidt rett i at "VPN Passthrough" er mest egnet til å forvirre, men det er ikke så mange år siden mange NAT-routere faktisk ikke taklet NATing av PPTP (pga. GRE), og dermed begynte kundene å spørre om dette virket. Slik endte "PPTP Passthrough" opp blant spesifikasjonene. Det er ikke veldig vanskelig å finne OK småroutere med VPN-funksjonalitet. De fleste er kategorisert som brannmurer. Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Ok. Ser litt på noen firewaller fra ZyXEL(http://www.hattelco.no/ArtDtl.aspx?it=178659) og er en rimelig variant til 1500 spenn har følgende spek: Brukerlisenser : ubegrenset ¦ Samtidige sesjoner : 6000 ¦ IPSec VPN-tunneler : 2 ¦ SSL VPN-tunneller : 1 En litt dyrere (http://www.hattelco.no/ArtDtl.aspx?it=160630) har denn spekken: Brukerlisenser : ubegrenset ¦ Forbindelser / antall brukere : 25 ¦ Samtidige sesjoner : 20000 ¦ IPSec VPN-tunneler : 50 ¦ SSL VPN-tunneller : 2 Ikke til å bli klok på. I det ene øyeblikket sier de ubegrenset, så sier de maks 25 brukere, men samtidige sesjoner er 20000 og IPsec VPN er kunn 50 og i tilleg er SSL VPN begrenset til 2!!! WTF!!! Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Ok. Ser litt på noen firewaller fra ZyXEL(http://www.hattelco.no/ArtDtl.aspx?it=178659) og er en rimelig variant til 1500 spenn har følgende spek: Brukerlisenser : ubegrenset ¦ Samtidige sesjoner : 6000 ¦ IPSec VPN-tunneler : 2 ¦ SSL VPN-tunneller : 1 En litt dyrere (http://www.hattelco.no/ArtDtl.aspx?it=160630) har denn spekken: Brukerlisenser : ubegrenset ¦ Forbindelser / antall brukere : 25 ¦ Samtidige sesjoner : 20000 ¦ IPSec VPN-tunneler : 50 ¦ SSL VPN-tunneller : 2 Ikke til å bli klok på. I det ene øyeblikket sier de ubegrenset, så sier de maks 25 brukere, men samtidige sesjoner er 20000 og IPsec VPN er kunn 50 og i tilleg er SSL VPN begrenset til 2!!! WTF!!! Dette handler i stor grad om markedssegmentering; den minste enheten må ha visse begrensninger, ellers ville veldig få kjøpt den nest minste. Man ser jo det samme i Windows-verdenen: Hvorfor er Server 2008 Standard begrenset til å ha én virtuell maskin i Hyper-V? Noen begrensninger kan ha med dårlig CPU å gjøre, som f.eks. SSL VPN (som altså er klient-VPN man aksesserer via en https-nettside der man starter en eller annen applet som så tunnelerer alt via SSL). Men jeg synes dette var skuffende dårlige spesifikasjoner for å være et sikkerhetsprodukt fra ZyXEL. Til og med er D-Links (nå utgåtte) DFL-210 er vesentlig bedre. Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Ok. Desverre fører ikke Hattelco Dlink (i ser ikek jeg noen) Kan du, sånn kjappt bare annbefale meg en fra produktene deres ? Kravet mitt er pr. idag 4 avdelinger totalt. Ingen brukere skal bruke VPN. Det er kunn snakk om å knytte avdelingne sammen for en rimelig penge. Datatrafikken er ikke stor. Det er noe word dokumenter her og der og noen enkle windows programmer Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Med 4 avdelinger får du 3 VPN-tunneler pr. enhet i et fullstendig mesh-oppsett (alle-til-alle). Det er jo ikke veldig mye. Hvor stor båndbredde må enhetene takle mot Internet og i VPN-tunnelene? (Hva er opp- og nedhastigheten på de respektive linjene?) Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 20Mb fiber på alle stedene levert av EB Nett Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 (endret) 20Mb fiber på alle stedene levert av EB Nett Det vil den ZyXEL-enheten du linket til, takle. Det samme vil Cisco ASA 5505, men den har høy ytelse og en masse funksjonalitet du kanskje ikke trenger (IPv6, DmZ-sone, VLAN-støtte, 2 PoE-porter og en god del mer) og er derfor nokså dyr. D-Links DSR-250N er kanskje noe å se på. Det er et svært nytt produkt og ikke tilgjengelig hos alle D-Link-forhandlere foreløpig, men det er altså en nokså avansert VPN-router som vil koste rundt 1500,- i Norge. Støtter IPv6 også, faktisk. (Og til de som er skeptiske til D-Link-produkter, kanskje spesielt routere, vil jeg si: Dere har helt rett. Low End-produktene har vært preget av uakseptabel høy feilrate, til og med switchene har hatt dårlige strømforsyninger, men Small Business-routerene har lenge vært i en helt annen klasse.) Edit: Glemte å spørre om enheten bør ha trådløs funksjonalitet. DSR-250N har det. Endret 4. oktober 2011 av conundrum Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Du sikter nå til nr. to av de jeg nevnte ? Eller vil denne også være tilstrekkelig ? http://www.hattelco.no/ArtDtl.aspx?it=178661 Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 (endret) Den du linket til (USG 50) takler 5 samtidige IPsec-tunneler iflg. ZyXELs offisielle spesifikasjoner, mens USG 20 bare klarer 2. Utenom dette ser begge enhetene ut til å være egnet for formålet. Edit: Jeg har erfaring med disse ZyXEL-produktene, og har så langt ikke hatt noen problemer med dem. Funksjonaliteten er svært god, og ZyXEL har lovet at IPv6-støtte skal komme i en senere firmware-versjon. De er forøvrig Linux-baserte. Endret 4. oktober 2011 av conundrum Lenke til kommentar
HDSoftware Skrevet 4. oktober 2011 Forfatter Del Skrevet 4. oktober 2011 Er de det? USG20 har som du sier 2 VPN kanaler. Holder det til 4 avdelinger da? Må de ikek ha minst 4 kanaler hver for å takle SITE2SITE mellom alle avdelingne ? Eller har jeg mnissforstått noe ? Lenke til kommentar
conundrum Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Og hvis det finnes en premie for å være off-topic i en tråd, er vi nå godt kvalifisert til å motta den. Er de det? USG20 har som du sier 2 VPN kanaler. Holder det til 4 avdelinger da? Må de ikek ha minst 4 kanaler hver for å takle SITE2SITE mellom alle avdelingne ? Eller har jeg mnissforstått noe ? Du må ha minst 3, og da er 2 for lite. Det jeg mente, var at begge produktene ellers så greie ut, hvis man så bort fra VPN-begrensningen i USG 20. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå