business VPN: welke hardware?

[brubbel]

Vraagje om een startpunt te hebben, ik zit niet in die wereld.

Wat is tegenwoordig een
1. betaalbare (=/= goedkoopste, =/= duurste) oplossing voor een eenvoudige VPN oplossing.
2. hardware aan server zijde (geen publiek IP)
3. software aan client zijde (windows PC).

Cisco router X met anyconnect support? Maar waarschijnlijk is dit in de IT wereld de grootste dommigheid die ik kan uitkramen.

Licenties, hardware kost, Fool proof, set en forget?

Thanks!

[Sasuke]

Hangt ervanaf ...
1. Waarom geen fixed IP ? (kost is toch niet zo veel tegenwoordig ?)
2. Hoeveel (gelijktijdige) VPN connecties
3. Zeker dat je VPN nodig hebt ... afhankelijk van wat je wil doen zijn er tegenwoordig toch een pak betere/veiligere opties dan een VPN ...

[SpecialK]

Ik zie Juniper Pulse Secure nog steeds vaak voorbij komen als het grotere deployments zijn. Voor kleinere deployments zou je iets built-in in de firewall (bv Fortinet) kunnen overwegen.

[brubbel]

Hangt ervanaf ...
3. Zeker dat je VPN nodig hebt ... afhankelijk van wat je wil doen zijn er tegenwoordig toch een pak betere/veiligere opties dan een VPN ...

Voorlopig 1 connectie. Een poort forwarden van veranderende locatie A naar veranderende locatie B. Vandaar geen fixed IP.
Huidig systeem is Hamachi P2P, maar dat werkt soms te traag door een jump proxy. Eigenlijk is dat een huis-tuin-en keuken oplossing dus ik vroeg mij af wat de alternatieven zijn.
Linux, geen probleem dat is gewoon een reverse SSH tunnel via een publiek IP en je bent vertrokken. Maar dat is geprul op windows en IT support spelen is niet de bedoeling.

[devilkin]

Is het een client-server vpn, of server-server? Of zelfs site to site?

[brubbel]

Is het een client-server vpn, of server-server? Of zelfs site to site?

Server port x -> firewall/proxy -> internet -> NAT -> windows PC met software die op port x connecteert (TCP)

[Sasuke]

Als het een 2016+ is kan je de Ikev2 VPN gebruiken, die overleeft zelfs een switch van fixed naar mobile aan de client kant en werkt goed achter NAT.
Microsoft RRAS service + IkeV2 VPN ? ==> https://geekdudes.wordpress.com/2017/01 ... rver-2016/

[fuserke]

hi installeer een opnsense of een pfsense en op de client computer een openvpn. Goedkoop en werkt ook goed.

wil je een appliance zou ik voor (als het geld mag kosten) checkpoint, palo alto, pulse secure gaan

[CCatalyst]

OpenVPN is technologisch achterhaald, wat niet wegneemt dat het uiteraard nog steeds werkt.

Akkoord met poster hierboven dat IKEv2 vandaag de dag de meest moderne/performante non-proprietary VPN oplossing is. Zelf een OpenBSD router of firewall in elkaar steken (op bv een Intel NUC) is hier een manier om het zelf te doen, er is wel een leercurve.

Wil je effectief een specifieke hardware-oplossing dat dit allemaal out-of-the-box kan zonder gepruts en zware kosten, dan is de Cisco RV340 router een aanrader. Deze werkt met AnyConnect, geen licensing nodig tenzij je meer dan 2 clients tegelijk wil.

Daarnaast zijn er uiteraard ook nog de Cisco enterprise routers en firewalls maar dat is vrij complex om hier te behandelen. En dan zijn we nog niet begonnen over de andere vendors.

[DarkV]

OpenVPN is technologisch achterhaald, wat niet wegneemt dat het uiteraard nog steeds werkt.

De "vervanger" van OpenVPN is trouwens https://www.wireguard.com/ (wat trouwens build in roaming heeft).

[CCatalyst]

De "vervanger" van OpenVPN is trouwens https://www.wireguard.com/ (wat trouwens build in roaming heeft).

Dat zal idd wellicht de nieuwe standaard worden, niet in het minst omdat het even performant is als IKEv2 maar eenvoudiger om te configureren. Voorlopig enkel native in de laatste Linux kernel, dit najaar ook in OpenBSD.

[brubbel]

OpenVPN is technologisch achterhaald, wat niet wegneemt dat het uiteraard nog steeds werkt.

De "vervanger" van OpenVPN is trouwens https://www.wireguard.com/ (wat trouwens build in roaming heeft).

Ok, dan ben ik terug bij het idee waar ik vertrokken ben: wireguard

[DarkV]

Voorlopig enkel native in de laatste Linux kernel, dit najaar ook in OpenBSD.

Het hoeft toch niet native te zijn... genoeg ondersteuning https://www.wireguard.com/install/

[ITnetadmin]

Wireguard gebruikt obscure protocols die voor zover ik niet niet allemaal grondig geaudit zijn, en geeft geen keuze in protocols.
Ik ben daar dus geen fan van.

[CCatalyst]

Het hoeft toch niet native te zijn... genoeg ondersteuning https://www.wireguard.com/install/

In een userland process jakkes. RIP performance. Als snelheid geen punt is maakt het idd niet uit, maar ik wacht nog even af tot het native in OpenBSD zit. Bij groot gebruik is het verschil wel degelijk merkbaar.

Ok, dan ben ik terug bij het idee waar ik vertrokken ben: wireguard

Is nog wat te nieuw om in de business-wereld aanhang te krijgen, maar dat komt nog. Server kan je zelf configureren obv een Linux server met kernel 5.6 of nieuwer. Of ook OpenBSD-current (main line 6.8, de eerste met WireGuard, verschijnt dit najaar). Inzake de clients zal je een binary moeten downloaden, maar da's voor AnyConnect niet anders. Hou er rekening mee dat het op de Linux-implementatie na nog allemaal beta-versies zijn. Wil je geen beta, wacht dan nog met WireGuard.

[Ken]

Hier zocht ik tijden geleden een goed alternatief met hardware & eventuele bijkomende software om vooral mobiele sites van klanten veilig te kunnen verbinden. Het probleem daarbij was CGNAT, dus geen public IP beschikbaar.
Daarbij gebruik ik enkel nog MikroTik hardware, voor die mobiele sites dus een MikroTik LTE 4G router die de VPN verbinding opzet naar een VPN concentrator.

Draai nu al enkele jaren MikroTik Cloud Hosted Router (CHR) op VMware vSphere in een datacenter, en deze fungeert als mutli-site(MikroTik hardware router) + client(Windows/Linux) VPN concentrator.

Zowel L2TP/IPsec, IKEv2 clients werken perfect zoals het moet.

[Emile51]

VPN is toch gratis op Windows 10?
En, indien jouw provider TN is, en je alsnog geen vast IP adres hebt, blijkt toch dat je dynamisch IP vele jaren statisch blijft...
Zelf gebruik ik al vele jaren een W10 VPN met mijn clubcomputer, nooit geen last gehad met veranderde IP's, en is gratis!

[Ken]

VPN is toch gratis op Windows 10?
En, indien jouw provider TN is, en je alsnog geen vast IP adres hebt, blijkt toch dat je dynamisch IP vele jaren statisch blijft...
Zelf gebruik ik al vele jaren een W10 VPN met mijn clubcomputer, nooit geen last gehad met veranderde IP's, en is gratis!

Geen idee waarover je het hebt of wat je setup is... Maar VPN poorten openzetten en naar een Windows PC forwarden lijkt me niet echt veilig en zou ik 100% afraden... Ik hoop ook dat je geen PPTP VPN gebruikt, want binnen de kortste keren zal er niet veel meer overschieten van je data als je het toevallig doelwit bent...

Erop vertrouwen dat je dynamisch IP statisch blijft gedurende meerdere jaren is leuk als het effectief zo is, tot je een nieuwe router hebt, of tot je dringend moet verbinden en je op een grote afstand bent en het nieuwe IP niet kan zien/kennen (tenzij dan via DDNS of Mijn Telenet, maar als je Proximus of een andere provider hebt waar je dat niet makkelijk kan zien)...

[NuKeM]

OpenVPN is technologisch achterhaald, wat niet wegneemt dat het uiteraard nog steeds werkt.

Ik zie die uitspraak af en toe terugkomen op verschillende plekken, maar heb geen idee waarom. Het protocol werkt nog steeds heel betrouwbaar en veilig. Enige nadeel is mogelijk dat het wat zwaarder is voor de CPU (afhankelijk van de instelling) en ‘moeilijker’ op te zetten is. Voor de rest geen reden om OpenVPN achterhaald te noemen lijkt me?

Add: https://www.vpnranks.com/blog/wireguard-vs-openvpn/ hier worden wel een paar punten aangehaald (geen idee of die site wat ok is trouwens). Blijft wel dat OpenVPN nog niet achterhaald is, maar dat wireguard in de toekomst mogelijk wel de nieuwe default zal gaan worden voor veel zaken.

[Ken]

Blijft wel dat OpenVPN nog niet achterhaald is, maar dat wireguard in de toekomst mogelijk wel de nieuwe default zal gaan worden voor veel zaken.

OpenVPN vind ik persoonlijk zeer lastig/omslachtig voor multi-user gebruik. Wireguard werd al in de laatste MikroTik RouterOS geïmplementeerd, dus ik hoop dat dit ook 'snel' zal gebeuren met andere merken en OS.

[CCatalyst]

OpenVPN is technologisch achterhaald, wat niet wegneemt dat het uiteraard nog steeds werkt.

Ik zie die uitspraak af en toe terugkomen op verschillende plekken, maar heb geen idee waarom.

Ik ga vergelijken met wat ik de huidige moderne referentie voor VPN acht, zijnde IPSec/IKEv2 (voor Wireguard vind ik het nog te vroeg). Problemen zijn:
* single-threaded en in userland, bij zwaar gebruik kan OpenVPN gewoon niet opboksen tegen IKEv2
* IKEv2 zit native in alle moderne platformen. Voor OpenVPN moet je een blob downloaden over een onveilige verbinding (je weet niet of er mee gefoefeld is) of een code compileren en elk lijntje nalezen
* Op mobile kan IKEv2 heel snel en onmerkbaar op de achtergrond de verbinding in stand houden als je van cell naar cell of zelfs van netwerk naar netwerk roamt - bij OpenVPN is dit veel problematischer

Het achterhaalde zit hem dus in zaken die meer en meer een struikelblok vormen omdat we steeds meer data gebruiken, steeds meer toestellen gebruiken, en bovendien steeds mobieler zijn. De limiet op performantie, het feit dat je op een nieuw toestel eerst nog een binary moet installeren (over een onveilige verbinding) voor je kan beginnen werken, en de problematiek bij roaming maken van OpenVPN een achterhaalde implementatie, temeer omdat men niet van plan lijkt die zaken aan te pakken.

Het heeft niets met de veiligheid van de implementatie zelf te maken (dat hangt meer van de ciphers af) en evenmin dat het niet zou werken. Op een desktop met een sterke processor is OpenVPN perfect ok.

IPSec/IKEv2 heeft natuurlijk ook een nadeel, nl dat de configuratie geen lachertje is, zeker serverside kan het bijzonder complex worden. Wireguard zou hierop het antwoord moeten bieden, alle voordelen van IPSec/IKEv2 + easy configuration, momenteel wel nog in beta tenzij op Linux.

[brubbel]

Wireguard werd al in de laatste MikroTik RouterOS geïmplementeerd, ...

* Op mobile kan IKEv2 heel snel en onmerkbaar op de achtergrond de verbinding in stand houden als je van cell naar cell of zelfs van netwerk naar netwerk roamt - bij OpenVPN is dit veel problematischer

Dat is nu eens nuttige informatie! Thanks.