VPN connectie...wie wat waar waarom...

[krisken]

Ik neem regelmatig als proefpersoon deel aan medicatieonderzoeken in het DRUG-centrum van het UZ Gent. Daar de regeltjes hier vrij streng zijn op basis van internetgebruik, zit ik te denken om op mijn pfsense (die thuis staat) ook een VPN oplossing te zetten.

Het eerste dat ik heb geprobeerd, is een PPTP connectie. Server was snel opgezet, gebruiker aangemaakt en..."klik". Nothing happened vanaf het UZ Gent netwerk. Als ik echter via mijn P&G Connect even tether, kan zie ik dat hij deze verbinding WEL maakt! Het ligt dus aan het UZ Gent hotspot systeem dat de VPN connectie niet lukt!

Standaard kan ik vanuit pfsense de volgende VPN servers runnen:
- IPSec
- L2TP
- OpenVPN
- PPTP

Enig idee welke VPN server wel door de firewall van het UZ zou geraken (maw wat is meest "common")?

[Tomsworld]

Een sslvpn oplossing zal altijd de grootste kans geven op succes.

Wat je misschien kan proberen is openvpn in udp ofwel in tcp mode, als uiterste optie openvpn in tcp op poort 443.

[VOiD]

Volledig akkoord met Tomsworld. Met een SSL VPN heb je de meeste kans (gaat bijna overal door). Beste alternatief (en dit gebruik ik momenteel) is OpenVPN TCP op poort 443 (werkt niet altijd).

[krisken]

En wie kan wat meer info geven? Want van SSL VPN heb ik nog niet gehoord

[depeje]

ik gebruik in zo'n situatie openvpn op poort 443 in tcp mode. VOiD, in welke gevallen werkt dit niet?

[ Post made via mobile device ]

[Dima_2005]

OpenVPN zal wel meeste kans hebben om erdoor te geraken denk ik.

[honda4life]

OpenVPN is volgens mij wat je nodig hebt.
Je stelt in op poort 443 (https) en geen verschil te onderscheiden met https surfen

Het is niet noodzakelijk de hotspot die vpn blokkeert, maar kan ook bijvoorbeeld aan het aantal gelijktijdige VPN verbindingen liggen.
Wat oudere hotspots ondersteunen bijvoorbeeld maar 1 verbinding en als er dan ergens een werklustige het niet kan laten .

[VOiD]

ik gebruik in zo'n situatie openvpn op poort 443 in tcp mode. VOiD, in welke gevallen werkt dit niet?

Bij sommige van m'n klanten werkt het niet en ik vermoed dat dit te maken heeft met proxy/firewall instellingen. Probleem is dat ik natuurlijk niet altijd weet wat de achterliggende infrastructuur is van de netwerken die ik gebruik.

[VOiD]

En wie kan wat meer info geven? Want van SSL VPN heb ik nog niet gehoord

Juniper heeft een populaire SSL VPN oplossing. De enige free, open source die ik ken ik het vroegere Adito, nu OpenVPN ALS.

[honda4life]

Via het werk gebruiken wij watchguard.

AL vind ik de windows vpn veel performanter, maar dit heeft misschien te maken dat de watchguard op de backup lijn draait.

[krisken]

grrrr openvpn...juist die VPN server die ik maar niet werkende krijg :-S

[honda4life]

Ik vermoed dat dit ook de minst leuke om te configureren is
Kreeg ik VMware met PPPoE maar klaar met pfsense... zucht

[Petervanakelyen]

Met OpenVPN op poort 443 kom je het meeste wel door
Maar het is inderdaad de lastigste om te configureren.

Een eenvoudiger alternatief is een OpenSSH tunnel.

[honda4life]

Nu ik er op denk, je kan toch net zo goed een proxy proberen opzetten. of een tunnel en daar door de proxy bereiken?

[krisken]

Helaas...alles wat proxy is blocken ze ook (ook al geprobeerd...)

[jorgo]

Het is met pfSense net kinderlijk eenvoudig hoor..

http://blog.stefcho.eu/?p=492

[Ken]

Bij OVH kan je in hun Cloud infra een openvpn opzetten.

http://www.ovh.ie/cloud/instances/index.xml

Zie helemaal onderaan:
http://www.ovh.ie/cloud/devcloud/devcloud.xml

Kan handig zijn om te testen

[krisken]

Merci voor de linkjes
Maar tis wel stoerder als het via je eigen pfsense loopt eh

Anyway : toch eens testen : kost bijna geen geld!

[Dima_2005]

OpenVPN opzetten is inderdaad soms irritant, maar zo moeilijk is het niet. Grootste probleem ligt em vooral bij genereren van certificaten en het juist installen van config file (en eventuele IPTables)

[Ken]

Maar tis wel stoerder als het via je eigen pfsense loopt eh

True. Nu ook leuker met het high upload profiel!

[krisken]

High Upload profiel is aangevraagd, zal één dezer dagen veranderen vermoed ik Maar daar draaien mn servers op. Privé gebruik ik mijn Openweb/WeePee vdsl2 lijntje. En die is snel genoeg zonder HU profiel

[ubremoved_539]

Helaas...alles wat proxy is blocken ze ook (ook al geprobeerd...)

Heb je dan iets gevonden wat werkt ?

Volgens mij is een SSL-VPN oplossing (zoals OpenVPN, SSTP, ... over HTTPS) het enige wat een goede kans geeft in zo'n omgeving.

[krisken]

Tot nu toe niks ontdekt. De volgende keer dat ik "binnen" moet is van zondag 10/6 tot woensdag 13/6.
Ga proberen tegen dan OpenVPN draaiende te hebben op mijn pfsense...

[Sub Zero]

Ze hebben een redelijk strenge proxy-server op 't UZ hoor
Het zou me verbazen moest je er door geraken met OpenVPN op 443. Maar wie niet waagt, niet wint.

[krisken]

Subke : blijkbaar weet jij meer
Vertel

[ubremoved_539]

Ze hebben een redelijk strenge proxy-server op 't UZ hoor
Het zou me verbazen moest je er door geraken met OpenVPN op 443.

Volgens wat ik gelezen heb is OpenVPN over SSL moeilijk te filteren... blijkbaar is dat voor SSTP (gelijkaardig concept van Microsoft iets eenvoudiger). Ik geloof trouwens niet dat ze met opzet iets filteren... zit in een gelijkaardige situatie met een ander ziekenhuis, en daar staat ook gewoon alles dicht behalve 80/443 (en de ellende is dat ik bij TN niets op 443 kan draaien )

[Trojan]

Vertel eens wat meer over die medische proeven, wat betalen die en waar kan ik me inschrijven?

[Tim.Bracquez]

Ze hebben een redelijk strenge proxy-server op 't UZ hoor
Het zou me verbazen moest je er door geraken met OpenVPN op 443. Maar wie niet waagt, niet wint.

Klopt, die halen alles door een proxy en doen er content filtering op. Je VPN gaat echt HTTP requests moeten spreken voor het er door gaat zodat ze kunnen controleren. Maar je kan zeker proberen, zelf al ssh op poort 433 gaat niet. Kom er regelmatig met vrijwilligerwerk en het is rampzalig tenzij je de juiste logins krijgt

Maar test het eens in jouw blok, of het daar ook zo is, ze hebben verschillende netwerken ginds.

[ubremoved_539]

Je VPN gaat echt HTTP requests moeten spreken voor het er door gaat zodat ze kunnen controleren. Maar je kan zeker proberen, zelf al ssh op poort 433 gaat niet.

Dat is net het voordeel van SSL-VPN oplossingen... die "spreken" ook effectief het HTTP protocol. In weze zijn ze dus niet anders dan normaal HTTPS verkeer en is het zeer moeilijk ze te gaan filteren. De reden dat je ssh op poort 433 niet gaat is inderdaad omdat het geen HTTP verkeer is en je dus gezien bent met een proxy.

[Tim.Bracquez]

@r2504: Klopt, vandaar dat je dit met SSL-VPN kan omzeilen.

Je kan ook proberen met de published web apps van microsoft

[VOiD]

Waarom zijn ze eigenlijk zo strict ?

[ubremoved_539]

Ze zijn in wezen niet strict... ze hebben gewoon een verplichte proxy en alle andere poorten dicht.

Dit is trouwens de werkwijze bij de meeste grote bedrijven (of zij die security ernstig nemen).

Op zich kan ik het wel begrijpen... maar niet op het netwerk voor patienten.

Je kan altijd eens een scan doen of er hier of daar toch geen poort open staat... handig tooltje is http://www.firebind.com

[krisken]

Vertel eens wat meer over die medische proeven, wat betalen die en waar kan ik me inschrijven?

www.drug-uzgent.be. Betalingen hangen af van hoe "groot" de proefperiode is, hoeveel keer je moet overnachten, eventueel "discomfort" etc.

Je hebt studies van €1200 tot meer dan €3000, afhankelijk van bovenstaande zaken. UZA heeft ook zoiets trouwens, net als JP Merksem (0800 97 886), Pfeizer (0800 99 256) en Stuyvenberg (03 217 25 61). Of gewoon eens googlen op geneesmiddelenonderzoek.

Wat betreft de VPN connecties : bedankt voor alle tips, ga dit toch zeker eens proberen in orde stellen!

[Trojan]

Hebde gij geen dedi ergens staan bij OVH bv? Dan kunde daar toch een VPN opzetten ipv dat naar u thuis te tunnelen.

En ge kunt ook nog altijd een glype proxy gebruiken, steek dat achter https en ge zijt vertrokken.

Als ge openVPN aan de praat krijgt moogt ge mij altijd eens helpen, ik lig hier enorm mee te sukkelen.

[ubremoved_539]

Dan kunde daar toch een VPN opzetten ipv dat naar u thuis te tunnelen.

Het probleem is dat hij niet voorbij de firewall van UZ Gent geraakt... of de VPN endpoint dus bij hem thuis of OVH zit maakt niet uit.

Pure ellende die ziekenhuizen... net nog ergens op bezoek geweest en ik hoopte met Citrix op de normale HTTPS poort ergens te geraken, maar natuurlijk wou hij die software niet installeren (ga eens een paswoord recovery CD moeten meenemen om local admin te worden ) Een andere oplossing op basis van een Java applet was ook al nada... is natuurlijk geen Java geinstalleerd op die PC

[vuurvos]

@Kris: heb je al geprobeerd met Teamviewer of Logmein ?

[honda4life]

bedoel je dan via je browser een computer thuis overnemen?
Als je hiervoor de server wil draaien, heb je sowieso thuis een actieve pc nodig hé, zo bestaan er volgens mij veel oplossingen

[ubremoved_539]

Als je in het ziekenhuis je eigen PC kan gebruiken is dat geen probleem... maar als je enkel de beschikking hebt over een PC die volledig dicht staat en waarop je geen client kan installeren ben je dus nog niets verder (in dat opzicht is PPTP of SSTP de mooiste oplossing omdat het een standaard onderdeel is van Windows).

TeamViewer en verwanten gebruikt trouwens poort 443 (net zoals een SSL-VPN dat doet)... maar je hebt dus wel een client nodig.

[honda4life]

nee, teamviewer client gaat ook vanuit de browser.
Ook VNC heeft een webclient

[vuurvos]

Mijn (krachtigste) PC staat thuis 24/7 op. En daar draait een Teamviewer client (is geInstalleerd). Op een PC in het ziekenhuis hoef je Teamviewer niet eens te installeren, je kan ook kiezen de client te runnen (niet installeren). Werkt perfect. Bovendien bestaat Teamviewer ook voor Android en is geheel gratis.

Via Skynet is er geen enkel probleem, want poort 443 staat gewoon open.