Gå til innhold

VPN løsning for liten bedrift

arne22

Av arne22
i IKT-drift og sikkerhet

Anbefalte innlegg

arne22

arne22

Skrevet
Skrevet (endret)

En liten bedrift med ca 8 ansatte har pålogging og administrasjon av Windows 10 arbeids PC via Microsoft Active Directory, på lokal server.

Det finnes en felles fileserver med ganske mye data på LAN og et lagerstyringssystem som kjører på LAN pluss noen printere og slike ting.

Bedriften ønsker at de ansatte skal ha mulighet for hjemmekontor og at de i den forbindelse skal kunne logge seg på bedriftens LAN hjemmefra.

Det er vel først og fremst aktuelt å bruke PC til arbeidet på hjemmekontoret.

Jeg vil tro at det kan holde med en nokså enkel løsning gjerne uten "split tunneling" i alle fall til å begynne med. Hvis det ert en løsning uten "split tunneling" så bør vel brukeren ha en mulighet til å logge på og av VPN oppkoblingen.  

Er det noen her på forum som kan anbefale en enkel god og funksjonell og sikker nok VPN løsning til denne anvendelsen? 

Endret av arne22
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
arne22

arne22

Skrevet
  • Forfatter
Skrevet

Satte opp en løsning med OpenVPN en gang i tiden, dvs OpenVPN på LAN gateway. 

Skal tro om dette kunne fungere i dette tilfellet? Problem: Først så må jo bruker logge seg på OpenVPN for å komme inn på Lan, og så der i fra så må jo vedkommende logge seg på Microsoft AD. Det blir liksom noe med en "dobbel pålogging" (??!)

En mulighet som jeg også har tenkt på, det er om man kunne kjøre en OpenVPN oppe i nettskyen, og så både logge LAN server med databaseløsning og Windows 10 klient mot den samme OpenVPN serveren i nettskyen. Skulle det kunne fungere? 

  • Liker 1
Lenke til kommentar
vidor

vidor

Skrevet
Skrevet
16 minutes ago, arne22 said:

Satte opp en løsning med OpenVPN en gang i tiden, dvs OpenVPN på LAN gateway. 

Skal tro om dette kunne fungere i dette tilfellet? Problem: Først så må jo bruker logge seg på OpenVPN for å komme inn på Lan, og så der i fra så må jo vedkommende logge seg på Microsoft AD. Det blir liksom noe med en "dobbel pålogging" (??!)

En mulighet som jeg også har tenkt på, det er om man kunne kjøre en OpenVPN oppe i nettskyen, og så både logge LAN server med databaseløsning og Windows 10 klient mot den samme OpenVPN serveren i nettskyen. Skulle det kunne fungere? 

OpenVPN fungerer helt fint for lokalnett-tilgang fra f.eks en hjemme-pc. Når nett-tilgangen først er etablert over VPN fungerer alt som om man skulle vært lokalt i nettet.

Det er litt konfigurering som skal til, så man bør ikke være helt ukjent i det terrenget, men det burde være greit overkommelig så lenge man forstår litt om IP-nettverk.

Lenke til kommentar
arne22

arne22

Skrevet
  • Forfatter
Skrevet
2 minutes ago, vidor said:

Når nett-tilgangen først er etablert over VPN fungerer alt som om man skulle vært lokalt i nettet.

Men når den PC'en man skal logge på allerede tilhører Windows Active Directory, blir de ikke da "noe surr" når man samtidig skal logge på MS AD og OpenVPN? (Har prøvd OpenVPN men ikke i kombinasjon med Windows Active Directory)

Lenke til kommentar
vidor

vidor

Skrevet
Skrevet

Har ikke noe praktisk erfaring med AD, men du starter med å koble opp VPN slik at du kommer deg inn i jobbnettet. Deretter kan du uansett kjøre Remote Desktop mot den aktuelle maskinen hvis du vet IP-addressen til den. Eneste er at jobbmaskinene må ha det aktivert.

Ønsker du en AD-løsning på dette er det vel bare å søke litt på det og se om det vil fungere slik du tenker.

Lenke til kommentar
NoBo

NoBo

Skrevet
Skrevet
arne22 skrev (1 time siden):

Men når den PC'en man skal logge på allerede tilhører Windows Active Directory, blir de ikke da "noe surr" når man samtidig skal logge på MS AD og OpenVPN?

Man kan fint logge på* en PC som er medlem av et Active Directory selv om man ikke har tilgang til domenekontroller (DC) og deretter aktivere VPN mot internt nett på jobb. Når PC-en da får kontakt med DC-en, vil group policy kjøres men eks. logon script for kobling mot filshare skjer ikke; det må da gjøres på andre måter (bruker trykker på ikon på skrivebordet som starter rutine etc.).


Det finnes løsninger som gjør at PC-en automatisk kobler seg opp på VPN før noen har logget på PC-en, OpenVPN støtter også dette.


Firmaet (TS) bør uansett sørge for at VPN-løsningen settes opp med tofaktorautentisering - MFA - da kun brukernavn og passord er lite sikkert og ikke anbefalt. Jeg har ikke satt det opp selv men OpenVPN skal ha støtte for bruk av MFA 

Microsoft har forøvrig en VPN-løsning kalt ‘Always On VPN’ som kan brukes men den er nok ‘overkill’ i dette miljøet. Den gir også mulighet til å bruke MFA men da vha. Microsoft’s Azure AD. Igjen, overkill om ikke firmaet skal ta i bruk eller allerede bruker Microsoft sky (Azure/Office 365).

 

*så lenge man har logget på PC-en tidligere (og Group Policy ikke er satt til å nekte pålogging uten kontakt med domenekontroller) sånn at brukeren er ‘kjent’ (cacher) på PC-en.

Lenke til kommentar
arne22

arne22

Skrevet
  • Forfatter
Skrevet (endret)

Mange takk for mye interessant informasjon for videre oppfølging. Googlet også opp en video som handler om Microsoft Allways ON VPN for senere referanse.
 

En ting jeg lurer litt på:

Jeg har sett at på en litt større arbeidsplass så bruker man lokale AD servere i kombinasjon med Microsoft 365. Her virker det slik at når medarbeiderne tar med seg PC hjem, så etableres det automatisk VPN forbindelse slik at trafikken routes via arbeidsgiver sitt datanettverk. 

Spørsmål: Kan det forholde seg slik at det på en eller annen måte settes opp en slik automatisk "Allways On VPN" forbindelse i forbindelse med bruk/konfigurering av Microsoft 365?

Hva hvis man bruker en skybasert utgave av Microsoft AD, vil det da på tilsvarende måte bli opprettet en VPN forbindelse opp til nettskyen? (MS Azure) (Og kan denne i så fall også brukes til å kommunisere inn mot LAN ressurser på firmaets LAN?)

Endret av arne22
Lenke til kommentar
NoTrace

NoTrace

Skrevet
Skrevet

En skybasert utgave av Azure AD vil ikke gi deg tilgang til LAN på arbeidsplassen eller ressurser på dette. Du trenger fortsatt et VPN for å nå disse. Kommunikasjon med Azure AD går hovedsaklig over internett.

Den enkleste løsningen her er at du konfigurere en VPN server (OpenVPN, Microsoft RAS m/Always On VPN e.l.) og installerer tilhørende klient på brukernes maskiner. Du kan benytte Microsoft 365 Intune for å installere og konfigurere klienten på brukernes maskiner, men dette krever at du har gyldig lisens og at Intune settes opp og konfigureres samt. maskinene kobles til Intune først.

Lenke til kommentar
arne22

arne22

Skrevet
  • Forfatter
Skrevet (endret)

Mye interessant her. 

5 hours ago, NoTrace said:

En skybasert utgave av Azure AD vil ikke gi deg tilgang til LAN på arbeidsplassen eller ressurser på dette.

Trodde at det faktisk også var mulig å administrere lokale PC'er via skybasert, men det kan godt være at jeg tar feil.

Trodde også at det skulle være mulig å installere OpenVPN i nettskyen, logge på 2 klienter og så kommunisere klient til klient via nettskyen, altså 2 lan forbundet via OpenVPN i nettskyen. Tenker på å teste ut og se om denne løsningen kan fungere.

Trodde at det var noe av dette prinsippet som var i bruk her, men er langt i fra sikker på det.

https://docs.aws.amazon.com/vpn/latest/clientvpn-user/client-vpn-user-what-is.html

Microsoft 365 Intune, var intil nå helt ukjent for meg. Legger en link for senere refearanse. (Ineressant å forsøke å lære litt forskjellig, når man først er i gang.)

https://docs.microsoft.com/en-us/mem/intune/fundamentals/what-is-intune

Fant også en god beskrivelse av de forskjellige typene Microsoft VPN:

https://docs.microsoft.com/en-us/answers/questions/92688/what-are-the-differences-betwen-aovpn-and-normal-w.html

Noe mer interesant som også ser ut til å handle om bruk av Microsoft 365 for VPN:

https://docs.microsoft.com/en-us/microsoft-365/solutions/empower-people-to-work-remotely-remote-access?view=o365-worldwide

Endret av arne22
Lenke til kommentar
NoTrace

NoTrace

Skrevet
Skrevet
1 hour ago, arne22 said:

Trodde at det faktisk også var mulig å administrere lokale PC'er via skybasert, men det kan godt være at jeg tar feil.

Det går fint, ref. det jeg skrev om Intune. Intune brukes til å administrere lokale PCer over internett, men det lager ingen VPN-kobling som du er på jakt etter.

1 hour ago, arne22 said:

Trodde også at det skulle være mulig å installere OpenVPN i nettskyen, logge på 2 klienter og så kommunisere klient til klient via nettskyen, altså 2 lan forbundet via OpenVPN i nettskyen. Tenker på å teste ut og se om denne løsningen kan fungere.

Skjønner ikke hva du mener med "nettskyen" her. Du må ha en server på den ene siden, og en klient installert på PCene. Disse kommuniserer over internett og gir en tilkobling som om klient-maskinen skulle vært tilkoblet jobb-nettet.

1 hour ago, arne22 said:

Noe mer interesant som også ser ut til å handle om bruk av Microsoft 365 for VPN:

https://docs.microsoft.com/en-us/microsoft-365/solutions/empower-people-to-work-remotely-remote-access?view=o365-worldwide

VPN via Azure fordrer at man enten har ressursene man skal nå i Azure, eller at man har en VPN-kobling fra kontoret til Azure. For din del vil det kun føre til økte kostnader og dårligere brukeropplevelse å dra trafikk via et ekstra mellomledd. Hadde bedriften hatt serverne/applikasjonene sine i Azure hadde det vært en annen sak.

Lenke til kommentar
arne22

arne22

Skrevet
  • Forfatter
Skrevet (endret)
8 hours ago, NoTrace said:

VPN via Azure fordrer at man enten har ressursene man skal nå i Azure, eller at man har en VPN-kobling fra kontoret til Azure.

Har egentlig flere prosjekter jeg holder på med, med forskjellige "spekker", men så langt har du helt rett. Og så en annen faktor, som kanskje er like interessant, det er jo å forstå teknologien, ikke bare "å få det til å virke".

Satte akkurat opp en OpenVPN server "i nettskyen", dvs hos MS Azure. Logget på to klienter (Windows 10) i den tro at de to klientene skulle kunne kommunisere med hverandre via OpenVPN serveren. Det skjedde så langt ikke. Brukte default konfigurering, men de to klientene kan ikke pinge hverandre og en webserver som kjører på PC A er ikke tigjengelig på PC B.

Det som der i mot fungerer, det er at både PC A og PC B kommuniserer ut på Internett via Open VPN serveren.

Edit: Ser ut som at det er noen interessante opplysninger her:

https://blog.programster.org/openvpn-allow-clients-to-talk-to-each-other  

Endret av arne22
Lenke til kommentar
arne22

arne22

Skrevet
  • Forfatter
Skrevet (endret)
5 hours ago, NoTrace said:

Du må tillate at klienter skal kunne se hverandre, ja.

I Azure har du også Azure sin klient som gjør at du slipper å sette opp og konfigurere din egen VPN server. About Azure Point-to-Site VPN connections - Azure VPN Gateway | Microsoft Docs

Mange takk for mye interessant informasjon" 

Nå har jeg omsider fått til å sette opp en OpenVPN server i nettskyen (Azure) og så fungerer det helt fint å la de forskjellige klientene "snakke med hverandre".

Tenker på å bruke denne løsningen i tilfeller der det vil være kanskje lite praktisk å sette opp en lokal OpenVPN gatway og der det er snakk om små datamengder, for eksempel tekniske styringssystemer, koblet opp mot et felles virtuelt nettverk. Her bør en løsning med hvert enkelt stryringssystem som klient og en VPN server i nettskyen være en bra løsning.

Denne andre varianten med å kommunisere via Azure høres også meget interessant ut (Til annen type bruk.)

Hva slags Microsoft lisens/produkt er det man må ha for å få dette (Azure Point-to-site) til å kjøre?

Er det nok å ha tilgang til å sette opp virtuelle servere i nettskyen eller kreves det noe annet "speiselt", eller er det en spsiell lisens for dette?

Endret av arne22
Lenke til kommentar
  • 9 måneder senere...

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...