---

Jeg har nogle lokationer jeg skal have koblet op til et centralt
netværk via VPN. Lokationerne har fået en Proaccess ADSL fra TDC med
dertilhørende Speedstream 5781 router.
Grundet problemer med VPN gennem lige netop denne router, overvejer
jeg følgende, men har brug for lidt sparing vedr. sikkerheden i
setup'et:

Hvis nu jeg dropper routeren og giver PC'en den offenlig IP adresse,
så er der jo ingen beskyttelse. Men når der etableres en VPN session,
er der vel ikke noget trafik udefra der kan komme ind via WAN siden,
andet end det der kommer fra VPN tunnelen?

Hvis ovenstående er tilfældet, så vil der kun være en sikkerhedsrisiko
i det tidsrum hvor PC'en har fået initialiseret netkort og indtil der
etableres en VPN session?
VPN sessionen oprettes inden logon på PC'en, hvorfor jeg vil skyde på
at der vil gå ca. 15-20 sek. fra netkortet er initialiseret og indtil
VPN tunnelen er oppe.

Jeg må indrømme at jeg ikke er helt hooked på ovenstående løsning, da
den er for usikker efter min mening, men lad os se hvad i kan bidrage
med.

Der bruges Cisco 3005 VPN concentrator, som er sidder på et DMZ på en
Cisco PIX. På klienten bruges Cisco software VPN klient.

Alternativt må jeg droppe routeren/ideen helt og smide en Cisco 501 op
i stedet.

--
Mvh.
Thomas

---

Hej Thomas



"Thomas" <thomas2k@mail.dk> skrev i en meddelelse
news:hYhkPbYfeWV0305QPK26afhzN8A=@4ax.com...
> Jeg har nogle lokationer jeg skal have koblet op til et centralt
> netværk via VPN. Lokationerne har fået en Proaccess ADSL fra TDC med
> dertilhørende Speedstream 5781 router.
> Grundet problemer med VPN gennem lige netop denne router, overvejer
> jeg følgende, men har brug for lidt sparing vedr. sikkerheden i
> setup'et:
>
> Hvis nu jeg dropper routeren og giver PC'en den offenlig IP adresse,
> så er der jo ingen beskyttelse. Men når der etableres en VPN session,
> er der vel ikke noget trafik udefra der kan komme ind via WAN siden,
> andet end det der kommer fra VPN tunnelen?

Jeg mener at der kommer trafik ind aligevel... men på den anden side så er
det ikke en sikker løsning.

>
> Hvis ovenstående er tilfældet, så vil der kun være en sikkerhedsrisiko
> i det tidsrum hvor PC'en har fået initialiseret netkort og indtil der
> etableres en VPN session?
> VPN sessionen oprettes inden logon på PC'en, hvorfor jeg vil skyde på
> at der vil gå ca. 15-20 sek. fra netkortet er initialiseret og indtil
> VPN tunnelen er oppe.

Samme svar som foroven.

>
> Jeg må indrømme at jeg ikke er helt hooked på ovenstående løsning, da
> den er for usikker efter min mening, men lad os se hvad i kan bidrage
> med.
>
> Der bruges Cisco 3005 VPN concentrator, som er sidder på et DMZ på en
> Cisco PIX. På klienten bruges Cisco software VPN klient.
>
> Alternativt må jeg droppe routeren/ideen helt og smide en Cisco 501 op
> i stedet.

Jeg anbefaler af smide en 501 op.
Eller hoppe over på en TDC MPLS løsning.


>
> --
> Mvh.
> Thomas



Mvh
Thomas Nielsen - ww.tdn.dk

---

> Eller hoppe over på en TDC MPLS løsning.

Det er lige hvad han skal gøre.
Det er stærkt stabilt og en god løsning. Ellers kunne du jo gøre noget andet
købe en anden router med firewall i. Det kunne fx være en zywall.

Det kommer også lidt an på hvor mange penge du har, for ellers kunne man
gøre det at man satte en MS ISA server op på en maskine som havde den
externe ip og så lod den kalde op via vpn.

James

---

Thomas wrote:
> Jeg har nogle lokationer jeg skal have koblet op til et centralt
> netværk via VPN. Lokationerne har fået en Proaccess ADSL fra TDC med
> dertilhørende Speedstream 5781 router.
> Grundet problemer med VPN gennem lige netop denne router, overvejer
> jeg følgende, men har brug for lidt sparing vedr. sikkerheden i
> setup'et:

Hvilke problemmer?

Routeren selv kan kører IPSec hvis du har den rigtige licens, endvidere
NAT'er den fint IPSec, blot er der nogle IPSec implementation der ikke
kan lide den måde det bliver NAT'et på.

Du skriver du en har en Cisco 3005 VPN, kan du ikke indpakke trafiken i UDP?

Kik evt. på http://www.efficient.com/products/routband.html