- NL
|
41213
netweters
|
17774
gesprekken
|
|
19205
vragen
|
Onderwerpen die langer dan 6 maanden geen reactie krijgen, worden afgesloten. Heb je dezelfde vraag of wil je er toch meer informatie over?
Start dan een nieuw onderwerp op De Netweters. Hoe je dit kan doen, vind je hier
Opgelet! Denk eraan dat er in oude onderwerpen informatie kan staan die niet meer up to date is.
Ik ken de Sophos RED-20 niet, maar neem aan dat dit VPN clients zijn, die thuis bij de medewerkers geplaats zullen worden, die dan een VPN-tunnel opbouwen naar de VPN-server op het kantoor. Dat is de meest gebruikelijke VPN setup voor telewerken.
In dat geval zal je geen vast publiek IPv4 adres nodig hebben bij de medewerkers thuis. Normaal mogen dit soort hw VPN clients gewoon achter een Telent HGW geplaatst worden. Zij zullen dan van de Telenet HGW een private IPv4 adres ontvangen (192.168.0.x).
Arnie | 
@rdhoore108 Aan de modem router van Telenet wordt 1 (een) PUBLIEK IPv4 adres toegekend. Intern kent deze modem/router private IPadressen toe in de range 192.168.0.0. Normaal gezien kan een medewerker een VPN verbinding opzetten naar uw VPN server zonder problemen.
De toestellen die je aangekocht hebt zijn in feite routers. Dus uw werknemers moeten hun eigen modem inruilen naar een CV8560E modem/router zodat ze via het mac adres van die Sophos een publiek IP kunnen krijgen naast dat van de Telenet modem/router.
Andere mogelijkheid is uitvissen welke poorten de Sophos gebruikt om een VPN verbinding op te zetten en deze te forwarden in "Mijn Telenet" naar uw Sophos router.
Ik weet niet wat de eigenlijke meerwaarde is van die Sophos maar eigenlijk kan elke medewerker zonder dat ook een VPN verbinding opzetten naar uw VPN server en op uw lokaal netwerk werken.
En vanaf thuis werken en inloggen op uw lokale server net zoals hij op het werk zelf is.
Ignace (igvfer) |
@rdhoore108 Eigenlijk vind ik dit een beetje overkill hoor. Ik zie bedrijven zoals BNP Paribas, KBC en Dexia niet bij al hun medewerkers zo'n toestel plaatsen. Die maken gewoon een VPN connectie via hun laptop met de nodige credentials en ze moeten dit maar 1 keer instellen op hun laptop. Ik zie dat niet bij mijn dochters die allebei voor een verschillende bank thuiswerk doen, al maanden.
@igvfer, ik heb thuis ook een HW based VPN client, die zich met de server op het werk verbindt. In mijn geval gaat het om een Cisco 881. Die bouwt de verbinding op naar de server, niet andersom. Er is daarom helemaal geen port-forwarding of "bridge" / passthrough nodig.
Mijn VPN router hangst direkt aan de CV8560E, dus niet achter mijn eigen router. Dit werkt probleemloos.
PS. In mijn geval is de reden voor de HW oplossing het feit dat ik dan een VOIP telefoon of video systeem (DX80) eraan kan koppelen, zonder gebruik te hoeven maken van een softphone op de PC.
@Arnie Dat is/was ook mijn idee. De client maakt de verbinding naar de VPN server niet omgekeerd, maar ik weet niet hoe dat toestel juist werkt.
Als je dit toestel met met zijn WAN port aansluit op een LAN aansluiting van de Telenet router, dan zou het een IPv4 uit het subnet 192.168.0.0/24 moeten ontvangen.
De Telenet HGW heeft een ingebouwde DHCP server en zal op DHCPv4 requests antwoorden, zolang dit aan de standaard voldoet. Het maakt niet uit of de client dan een PC, laptop of een Sophos SD-RED 20 is.
De PC of VOIP telefoon die je vervolgens aan de Sophos SD-20 RED aansluit zal een IP adres toegekent krijgen uit dat apparaat. Dat is waarschijnlijk dan uit een klein subnet uit het bedrijfsnetwerk.
Aan wat voor soort Telenet HGW/modem is dit getest?
@rdhoore108 Ik zoek het misschien wat ver maar die collega zit toch zelf al niet bezig met een VPN verbinding naar een of andere commerciële VPN provider. Of met nog een extra router? Het is zoals @Arnie zegt normaal moet je op een Telenet HGW ( Modem/router) normaal een 192.168.0.0 adres krijgen aan de WAN zijde. En een PC die dan op de LAN zijde wordt aangesloten zal een IPadres krijgen in de range van het netwerk dat de baas gebruikt vermits die alleen verbinding maakt via die VPN tunnel. Natuurlijk zeer ambetant dat de baas nu maar in aktie schiet nadat dit al 9 maanden de norm is, en het nu vlug, vlug, vlug moet gebeuren met nutteloze kosten voor gevolg.
@rdhoore108 koppel gewoon de PAPB centrale met een SIP trunk (eventueel in de cloud), zodat je nummers ook in de cloud bereikbaar zijn en zet softphones op de laptops van het callcenter. Zo moeten ze gewoon inloggen op de softphone en het is opgelost.
Wat betreft de vpn, hier kan je natuurlijk een hardwarematige vpn router gebruiken of je zet een open vpn op op een server waar je dan een certificaat opzet (privé key) en op de laptops de public key. Zo heb je een beveiligde connectie met certificaten. Je gebruikt dan gewoon de AD authenticatie als inlog referentie, zodat je connectie SSL beveiligd is met certificaat en credentials.
Zet dan de beveiliging op 256 AES en het is in orde 🙂
Wat Sophos doet is inderdaad een appliances maken en daar verschillende toeters en bellen op implementeren die meestal gebaseerd zijn op opensource oplossingen, zoals bijv OpenVPN.
Een toegevoegde waarde van zo'n Sophos Red is dat je ze kan laten connecteren naar een Cloud Service waar de toestellen hun licenties, en indien gewenst hun configuratie kunnen downloaden.
Dit is handig voor bedrijven met heel veel remote sites. Zij kunnen die appliances verdelen naar de gebruikers zonder dat daar enige config op hoeft te staan. De cloud service biedt al de nodige config aan op basis van het serienummer van de appliance.
Ik ben geen fan van Sophos, maar dit principe vindt is wel goed doordacht.
Een Sophos appliance moet achter een Telenet verbinding normaal gezien meteen werken, zonder portforwardings. OpenVPN is een SSL VPN en draait standaard over UDP (optioneel over TCP) en dat kan perfect genat worden door een Telenet router.
Ter info:
Iets anders is het wanneer je meer coporate VPN appliances gebruikt (Cisco, Fortinet, Palo Alto Networks, Checkpoint, ...)
Deze gebruiken doorgaans het IPsec protocol, wat geen gebruik maakt van UDP of TCP, maar wel van ESP.
ESP kan door upstream routers (zoals de Telenet homegateways) niet genat worden. Enkel UDP en TCP kan genat worden.
In zulke gevallen zal je "NAT Traversal" moeten aanzetten op de IPSEC verbinding. De IPsec pakketjes zullen dan geëncapsuleerd worden in een UDP pakket (UDP 4500). Deze pakketjes kunnen dan weer wel zonder problemen genat worden
https://community.cisco.com/t5/security-documents/how-does-nat-t-work-with-ipsec/ta-p/3119442
