/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Hvilken ny Router?
Fra : Torben Brøndum


Dato : 13-12-05 12:25

Hej derude,

Vi har et mindre netværk med ca. 8 brugere samt en 2Mb internetforbindelse.
Forbindelsen bruges også til fjernopkobling med en ca et par samtidige
brugere.....men kan dog på et tidspunkt blive flere.

Vi kører VPN med validering på vores SBS 2000 server samt Win TS.

Vores router er en gammel Cisco SoHo 77 - den er jeg træt af af flere
grunde - bl.a administrationen er ikke særlig nem - og ikke i forhold til
web admin interfaces i de nye routere.

Hvad kan I anbefale af ny router hvor jeg gerne vil have så meget sikkerhed
ud i den som muligt. Meget gerne vil jeg have routeren til agere VPN server
etc.

Har set på en ZyWall 5 - men jeg kan ikke bliev klar over, om den kan agere
VPN server.

Hvad kan I foreslå os ? Tak for svar på forhånd.

Torben Brøndum



 
 
Uffe S. Callesen (13-12-2005)
Kommentar
Fra : Uffe S. Callesen


Dato : 13-12-05 14:18

Torben Brøndum wrote:
> Har set på en ZyWall 5 - men jeg kan ikke bliev klar over, om den kan agere
> VPN server.
>
> Hvad kan I foreslå os ? Tak for svar på forhånd.
>
> Torben Brøndum

Zywall'en vil være et rigtigt godt valg - overvej dog om du ikke skal
have en model større så du ikke bruger samtlige mulige VPN forbindelser
fra dag 1.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

Torben Brøndum (13-12-2005)
Kommentar
Fra : Torben Brøndum


Dato : 13-12-05 14:31

"Uffe S. Callesen" <anon@anon.local> wrote
>> Har set på en ZyWall 5 - men jeg kan ikke bliev klar over, om den kan
>> agere VPN server.
>>
>> Hvad kan I foreslå os ? Tak for svar på forhånd.
>>
>> Torben Brøndum
>
> Zywall'en vil være et rigtigt godt valg - overvej dog om du ikke skal have
> en model større så du ikke bruger samtlige mulige VPN forbindelser fra dag
> 1.

Hej og tak for svar.

Stod måske ikke helt klart, men der vil "kun" være tale om 3 måske 4
samtidige vpn forbindelser - men (og) 6 daglige brugere på LAN.....så den er
vel "stor" nok ikke?

Er det en VPN-server - ved du det?

Torben Brøndum



Svend Erik Høst (13-12-2005)
Kommentar
Fra : Svend Erik Høst


Dato : 13-12-05 15:06

Torben Brøndum wrote:
> "Uffe S. Callesen" <anon@anon.local> wrote
>
>>>Har set på en ZyWall 5 - men jeg kan ikke bliev klar over, om den kan
>>>agere VPN server.
>>>
>>>Hvad kan I foreslå os ? Tak for svar på forhånd.
>>>
>>>Torben Brøndum
>>
>>Zywall'en vil være et rigtigt godt valg - overvej dog om du ikke skal have
>>en model større så du ikke bruger samtlige mulige VPN forbindelser fra dag
>>1.
>
>
> Hej og tak for svar.
>
> Stod måske ikke helt klart, men der vil "kun" være tale om 3 måske 4
> samtidige vpn forbindelser - men (og) 6 daglige brugere på LAN.....så den er
> vel "stor" nok ikke?
>

Du skal nok ikke tænke på vpn forbindelserne som samtidige men som
aktive vpn konfiguration, dvs. kun 5 aktive konfigurationer uanset om de
er åbne eller ej. z35 skulle give dig bedre mulighed for vokseværk.

> Er det en VPN-server - ved du det?
>
> Torben Brøndum
>
>

Ja den kan termininere lan2lan vpn konfigurationerne, jeg har ikke
prøvet med lan2client + dynamsike ip adr., men det burde også kunne
virke, om ikke andet med zyxels egen vpn klient.

--
Svend


Torben Brøndum (13-12-2005)
Kommentar
Fra : Torben Brøndum


Dato : 13-12-05 22:07

"Svend Erik Høst" <2@lazy.dk> wrote

[snip]

> Ja den kan termininere lan2lan vpn konfigurationerne, jeg har ikke prøvet
> med lan2client + dynamsike ip adr., men det burde også kunne virke, om
> ikke andet med zyxels egen vpn klient.

Jeg havde i tankerne at flytte vpn valideringen ud til routeren - har hidtil
anvendt en win2ksrv som vpn-server herunder tildeling af LAN ip´er.

Men hvordan foregår det i routeren fremover - den skal jo tildele ip´er som
findes på LAN.......kan du kort beskrive det Hvad med brugervalidering i
forhold til AD på serveren ?

Mener du ikke "client2lan" ovenfor og ikke "lan2client"?

Hilsen Torben Brøndum



Svend Erik Høst (14-12-2005)
Kommentar
Fra : Svend Erik Høst


Dato : 14-12-05 09:48

Torben Brøndum wrote:
> "Svend Erik Høst" <2@lazy.dk> wrote
>
> [snip]
>
>
>>Ja den kan termininere lan2lan vpn konfigurationerne, jeg har ikke prøvet
>>med lan2client + dynamsike ip adr., men det burde også kunne virke, om
>>ikke andet med zyxels egen vpn klient.
>
>
> Jeg havde i tankerne at flytte vpn valideringen ud til routeren - har hidtil
> anvendt en win2ksrv som vpn-server herunder tildeling af LAN ip´er.
>
> Men hvordan foregår det i routeren fremover - den skal jo tildele ip´er som
> findes på LAN.......kan du kort beskrive det Hvad med brugervalidering i
> forhold til AD på serveren ?

Det eneste setup jeg kan udtale mig om er der hvor du kører lan2lan, der
vil man køre med forskellige subnets på alle sites, f.eks.

firma : 172.16.1.*
homea : 172.16.2.*
homeb : 172.16.3.*
homec : 172.16.4.*

dvs. du har vpn routere alle steder som tildeler ip adr. og laver
vpntunellen automatisk. Hvis du gerne vil have at alle klienterne skal
være i samme subnet, vil jeg tror at du skal konfigurere routeren til
f.eks. at have et /25 subnet (f.eks 192.168.10.0 -> 192.168.10.127). Så
burde det være muligt at sætte software klienterne at komme på med ip
adr. over 127.

Er du klar over at ipsec ikke er det samme som pptp vpn ?

>
> Mener du ikke "client2lan" ovenfor og ikke "lan2client"?

Det gør ingen forskel for mig, men hvis det giver bedre mening for dig
så værsgo.

>
> Hilsen Torben Brøndum
>
>
--
Svend

Torben Brøndum (14-12-2005)
Kommentar
Fra : Torben Brøndum


Dato : 14-12-05 15:43

"Svend Erik Høst" <2@lazy.dk> wrote

[snip det hele]

Hej Svend - tak for svar. Håber du har "tålmodighed" med lidt præciseringer:

Vi har p.t. 3 hjemmepc´ere, der kobler op via vpn - igennem en Cisco soho 77
router ind til vor Win2ksrv som agerer vpn server (tildeling af intern lan
ip i sessionen) og hvor AD validerer bruger for id + passw. (måske simpelt
for dig....men jeg prøver lige at forklare på en anden måde .

1) Er det mere sikkert, og kan man med fordel flytte vpn serveren ud i
routeren (Eks. ZyWall5) med tildeling af ip - eller er det ikke muligt, når
min server også er DHCP.....for det er vel ikke muligt at lade den nye
router tildele ip´er i et andet subnet en det vi kører på lan - når klient
og lan skal tale sammen (se hinanden)?

2) Du nævner et scenarie med et firmalan og tre home lans - de har alle hver
deres subnet. Hvordan kan de enkelte homelans være/blive en del af firma
lan, når det ikke er samme subnet?

3) ok - nu nærlæser jeg endnu engang dit tidligere svar, hvor du anfører en
mulig metode for at få alle klienter på samme subnet.......men der kan vel
ikke være to DHCP´er på samme lan (router og server)......men det skal måske
sættes specielt op?

4) Hvordan er det man konfigurere en (klient)router, så den selv etablerer
en vpn turnel til vpn-server.....hvor er det jeg skal se efter stedet (i
routeren) for konfig af dette og hvordan fungerer det, hvad sætter det
automatiske vpn turnel igang?

Sluttelig vil jeg lige bemærke, at vore hjemmearbejdspladser ikke lige
(alle) har routere (kabelmodems) - så det er ikke for alle muligt at lave en
aut. lan2lan forbindelse, men "kun" alm. vpn netværksforbindelse.

Mange tak for din hjælp.

Torben Brøndum



Hans (14-12-2005)
Kommentar
Fra : Hans


Dato : 14-12-05 15:57

Torben Brøndum wrote:
>
> 4) Hvordan er det man konfigurere en (klient)router, så den selv
> etablerer en vpn turnel til vpn-server.....hvor er det jeg skal se
> efter stedet (i routeren) for konfig af dette og hvordan fungerer
> det, hvad sætter det automatiske vpn turnel igang?
>
Jeg er sikker på du finder svaret i manualen til Zywall5 her:
ftp://www.zyxel.dk/ZyWALL5/document/ZyWALL5_v3.64_UsersGuide.pdf

Det er ret godt dokumenteret hvilke VPN funktioner den har, men jeg er ikke
så sikker på at det du ønsker findes "lige ud af æsken".

Hans



Svend (15-12-2005)
Kommentar
Fra : Svend


Dato : 15-12-05 09:08

Torben Brøndum wrote:
> "Svend Erik Høst" <2@lazy.dk> wrote
>
> [snip det hele]
>
> Hej Svend - tak for svar. Håber du har "tålmodighed" med lidt præciseringer:
>
> Vi har p.t. 3 hjemmepc´ere, der kobler op via vpn - igennem en Cisco soho 77
> router ind til vor Win2ksrv som agerer vpn server (tildeling af intern lan
> ip i sessionen) og hvor AD validerer bruger for id + passw. (måske simpelt
> for dig....men jeg prøver lige at forklare på en anden måde .

Det er nok pptp vpn. Jeg kender ikke specielt meget til det setup, men
jeg har erfaring med at man typisk får en ip adr. når man har en vpn
klient der forbinder.

Jeg har sat en dlink router op i min andels forening hvor folk i
bestyrelsen forbinder til den (med pptp) for at kunne printe på den
fælles kopiprinter. Det fungere sådan fint nok bortset fra at de ikke
kan scanne på den af en eller årsag, men det er en anden sag.

ipsec vpn (Som zywall bruger) er anderledes.

Jeg ved ikke om det er en fordel at have en router(zywal) siddende bag
en anden router(soho), det virker lidt redundant på mig.

>
> 1) Er det mere sikkert, og kan man med fordel flytte vpn serveren ud i
> routeren (Eks. ZyWall5) med tildeling af ip - eller er det ikke muligt, når
> min server også er DHCP.....for det er vel ikke muligt at lade den nye
> router tildele ip´er i et andet subnet en det vi kører på lan - når klient
> og lan skal tale sammen (se hinanden)?
>


Jeg tror ikke at du kan få ZyWALL 5 til at tildele ip adr. til
klienterne, sådan fungere det vist bare ikke. De vpn konfigurationer jeg
kender med ipsec vpn og zywall er det klienten selv der kommer med ip
adr., men min viden er også begrænset på få mærker.

Den måde som zywall's vpn fungere på er at det netop er fordi at de ikke
er på samme subnet, at boksen ved hvor trafikken skal hen.

Det kan være at der er andre der ved mere om dynamsike konfigurationer
med software klienter.



> 2) Du nævner et scenarie med et firmalan og tre home lans - de har alle hver
> deres subnet. Hvordan kan de enkelte homelans være/blive en del af firma
> lan, når det ikke er samme subnet?

De behøver ikke at være på samme subnet for at kommunikere, hvis du
kender ip adr. på den server du som hjemme bruger vil snakke med, eller
hvis du sætte hjemme brugernes pc'er op til at bruge din dns vil de
kunne slå ressource op på navnet, men de kan nok ikke browse sig frem
via stifinderen, på det punkt er din nuværende løsning nok bedre.

>
> 3) ok - nu nærlæser jeg endnu engang dit tidligere svar, hvor du anfører en
> mulig metode for at få alle klienter på samme subnet.......men der kan vel
> ikke være to DHCP´er på samme lan (router og server)......men det skal måske
> sættes specielt op?

Nej det er rigtigt, og det vil heller ikke løser dit problem, glem det,
det var noget vrøvl.

>
> 4) Hvordan er det man konfigurere en (klient)router, så den selv etablerer
> en vpn turnel til vpn-server.....hvor er det jeg skal se efter stedet (i
> routeren) for konfig af dette og hvordan fungerer det, hvad sætter det
> automatiske vpn turnel igang?

Hvis du laver lan2lan vpn sørger boksene selv for at åbne tunellerne når
der er trafik. Fordelen er at man som hjemmebruger ikke behøver at gøre
noget aktivt for at få kontakt til en server på arbejdet, det virker
helt transperant.

>
> Sluttelig vil jeg lige bemærke, at vore hjemmearbejdspladser ikke lige
> (alle) har routere (kabelmodems) - så det er ikke for alle muligt at lave en
> aut. lan2lan forbindelse, men "kun" alm. vpn netværksforbindelse.
>

På mig virker det som om du skal have lavet en del om i din
konfiguration for at få det til at virke. Jeg tror ikke at dine brugere
vil opleve det som en forbedring. At pptp vpn så ikke er helt så sikker
som en ipsec med aes eller 3des kryptering er en anden sag. Ipsec har
også nogle svagheder, hvis man konfigurere det forkert.

Jeg ved at cisco har et godt vpn produkt med software klienter. Zyxel er
mere brugbart kun til lan2lan konfigurationer, men det kan have ændret
sig siden jeg prøvede sidst.

--
Svend


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste