/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
VLAN og VPN- Begrænse bruges adgang i en s~
Fra : Kim Jørgensen


Dato : 27-07-04 14:19

Jeg skal lave en løsning på et firma der lejer nogle lokaler ud til mindre
virksomhedder med internet og telefon.

Hvert firma har internet via en fældes ADSL forbindelse.
Hvert firma har 4 porte i en switch til rådighed der er begrænset med VLAN
så de kun har adgang til de porte der høre til dem så de ikke kan se de
andre firmaer computere.
Og alle har selfølgelig adgang til den port i switchen som ADSL forbindelsen
er på.

Problemet er så at nogle firmaer også gerne ville have mulighed for VPN så
de kan lave hjemmearbejdspladser.

Så er mit problem at hvis man opretter en VPN forbindelse til ADSL routeren
der jo som den eneste port i switchen har adgang til alle porte, for at de
alle kan have adgang til internettet, vil brugerne den vej kunne få adgang
til alle andre maskiner også, og det må de ikke kunne, de må kun kunne komme
ind til de maskiner der høre til deres netværk.

Så vil høre om der er nogle her der kender til nogle produkter der kan
bruges til det hvis det da i det hele taget kan lade sig gøre.







 
 
Regnar Bang Lyngsø (27-07-2004)
Kommentar
Fra : Regnar Bang Lyngsø


Dato : 27-07-04 19:26

Kim Jørgensen wrote:

> Så vil høre om der er nogle her der kender til nogle produkter der kan
> bruges til det hvis det da i det hele taget kan lade sig gøre.

Har du egen router på internetforbindelsen?
Hvis nej - har du så mulighed for at sætte din egen på?
Har du fast IP-adresse på internetforbindelsen?

Lidt inspiration (nej, jeg har ikke et kørende setup beskrevet, men det
var hvad jeg i den givne situation ville kaste en halv dag efter at
undersøge):

Mit bedste bud ville umiddelbart være en Cisco 171x med nogle
access-lists og 802.1q tagging til din switch. Muligvis kombineret med
noget proxy RADIUS-værk på en *nix boks (hvis de enkelte firmaer selv
skal vedligeholde deres brugere vha. egen RADIUS-server som fx IAS).

Se fx på:
<URL:http://www.cisco.com/en/US/products/hw/routers/ps221/products_data_sheet09186a0080088716.html>
<URL:http://www.cisco.com/en/US/products/sw/secursw/ps2308/>
<URL:http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800949ba.shtml>
<URL:http://portmasters.com/www.livingston.com/tech/docs/radius/proxy.html>

Knus
Regnar

Kim Jørgensen (28-07-2004)
Kommentar
Fra : Kim Jørgensen


Dato : 28-07-04 07:11

Ja vi har egen router på forbindelsen. Hvad det i sidste ende skal være for
en er underordnet.
I første omgang sidder der bare en Zyxel Zyxwall 10W, men er kun en
midlertidig løsning.
Men det bliver bare skiftet ud hvis det er der der skal til, ingen problemer
i det.

Fast IP ja det er der, det er en 4 Mbit forbindelse fra Cybercity.

Men hvis det kunne undgås at der skulle sættes en server op til at styre det
hele ville det være det nemmeste, men det kan det nok ikke.


"Regnar Bang Lyngsø" <regnar@writeme.com> skrev i en meddelelse
news:41069e32$0$35882$14726298@news.sunsite.dk...
> Kim Jørgensen wrote:
>
> > Så vil høre om der er nogle her der kender til nogle produkter der kan
> > bruges til det hvis det da i det hele taget kan lade sig gøre.
>
> Har du egen router på internetforbindelsen?
> Hvis nej - har du så mulighed for at sætte din egen på?
> Har du fast IP-adresse på internetforbindelsen?
>
> Lidt inspiration (nej, jeg har ikke et kørende setup beskrevet, men det
> var hvad jeg i den givne situation ville kaste en halv dag efter at
> undersøge):
>
> Mit bedste bud ville umiddelbart være en Cisco 171x med nogle
> access-lists og 802.1q tagging til din switch. Muligvis kombineret med
> noget proxy RADIUS-værk på en *nix boks (hvis de enkelte firmaer selv
> skal vedligeholde deres brugere vha. egen RADIUS-server som fx IAS).
>
> Se fx på:
>
<URL:http://www.cisco.com/en/US/products/hw/routers/ps221/products_data_shee
t09186a0080088716.html>
> <URL:http://www.cisco.com/en/US/products/sw/secursw/ps2308/>
>
<URL:http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_
example09186a00800949ba.shtml>
>
<URL:http://portmasters.com/www.livingston.com/tech/docs/radius/proxy.html>
>
> Knus
> Regnar



Regnar Bang Lyngsø (28-07-2004)
Kommentar
Fra : Regnar Bang Lyngsø


Dato : 28-07-04 17:30

Kim Jørgensen wrote:

> Men hvis det kunne undgås at der skulle sættes en server op til at styre det
> hele ville det være det nemmeste, men det kan det nok ikke.

Det kan det nok godt (undgåes). Det afhænger som altid af hvad man
opfatter som sikkert nok(tm). Du kunne fx også definer ét brugernavn og
password pr. virksomhed i routeren - så måtte de ansatte i hver
virksomhed deles om adgangen til netop deres firma. En RADIUS-løsning
vil give mulighed for at sikre adgangen ned på brugerniveau.

Et eller andet sted tror jeg at løsningen med en offentlig IP-adresse
pr. virksomhed er mindst lige så let at administrere. Samtidig slipper
du for at kunne blive mistænkeliggjort, hvis fremmede har været inde på
det eneklte firmas VPN.

Igen - den korrekte forretningsmodel kender du nok bedst - hvor
kapitalstærke er de virksomheder, der lejer sig ind (vil det være af
stor værdi for dem, hvis du kan tilbyde grydeklar VPN), hvor
teknologistærke er de (vil de selv være i stand til at drive et
VPN-setup), hvor teknologistærk er du/I (vil I kunne få pengene ind,
hvis I skal hyre folk ude i byen til at lave det for jer).

Knus
Regnar

Kim Jørgensen (29-07-2004)
Kommentar
Fra : Kim Jørgensen


Dato : 29-07-04 06:55

Ja var nok smart nok med et login til hvert firma.
Men vil man med en radius server kunne styre adgangen viddere ud på en VLAN
switch, eller i dette tilfælde 3 stk. ?

For er der hele problemet ligger at brugerne ikke må kunne se maskinerne de
andre firmaer har på netværket.

Angående flere offentlige IP adresser, ja havde nok været nemt nok at
administrere på den måde. Men problemer er som du selv siger at
virksomhedder der lejer sig ind er ikke lige så stærke økonomiske. Og kan
nemt gå falit flytte eller lignede. Og så vil jeg ihverfald mene der er for
besværligt at skulle bestille og afbestille offentlige IP adresser hele
tiden. Og samtidig er det ret uvist hvor mange firmaer der lejer sig ind
hele tiden.

Eller man skulle sige man bare fik købte IP adresser nok som de så kunne
leje hvis de havde brug for VPN.

Men i så fald hvordan styre man så adgangen med dem således af de kun kan
komme ind til deres firma ?

For må nok indrømme jeg er ret blank på lige de punkter.

Og om man i sidste ende skal betale sig fra en løsning, ja det kan blive
enden af det hele,
Eftersom det er min chef der har solgt en løsning uden helt at være klar
over begrænsningerne eller snakke med edb manden i dette tilfælde mig om det
overhoved kunne lade sig gøre.

"Regnar Bang Lyngsø" <regnar@writeme.com> skrev i en meddelelse
news:4107d474$0$35875$14726298@news.sunsite.dk...
> Kim Jørgensen wrote:
>
> > Men hvis det kunne undgås at der skulle sættes en server op til at styre
det
> > hele ville det være det nemmeste, men det kan det nok ikke.
>
> Det kan det nok godt (undgåes). Det afhænger som altid af hvad man
> opfatter som sikkert nok(tm). Du kunne fx også definer ét brugernavn og
> password pr. virksomhed i routeren - så måtte de ansatte i hver
> virksomhed deles om adgangen til netop deres firma. En RADIUS-løsning
> vil give mulighed for at sikre adgangen ned på brugerniveau.
>
> Et eller andet sted tror jeg at løsningen med en offentlig IP-adresse
> pr. virksomhed er mindst lige så let at administrere. Samtidig slipper
> du for at kunne blive mistænkeliggjort, hvis fremmede har været inde på
> det eneklte firmas VPN.
>
> Igen - den korrekte forretningsmodel kender du nok bedst - hvor
> kapitalstærke er de virksomheder, der lejer sig ind (vil det være af
> stor værdi for dem, hvis du kan tilbyde grydeklar VPN), hvor
> teknologistærke er de (vil de selv være i stand til at drive et
> VPN-setup), hvor teknologistærk er du/I (vil I kunne få pengene ind,
> hvis I skal hyre folk ude i byen til at lave det for jer).
>
> Knus
> Regnar



Dennis Nielsen (28-07-2004)
Kommentar
Fra : Dennis Nielsen


Dato : 28-07-04 08:18

Hej

Jeg ville nok lave det på den måde at hvert firma (lejer) købte deres egen
router og en ekstra IP adresse, så burde dit problem med VPN også være løst.

MVH

Dennis Nielsen
"Kim Jørgensen" <kim--REMOVE--@teledi.dk> skrev i en meddelelse
news:4106563d$0$199$edfadb0f@dread11.news.tele.dk...
> Jeg skal lave en løsning på et firma der lejer nogle lokaler ud til mindre
> virksomhedder med internet og telefon.
>
> Hvert firma har internet via en fældes ADSL forbindelse.
> Hvert firma har 4 porte i en switch til rådighed der er begrænset med VLAN
> så de kun har adgang til de porte der høre til dem så de ikke kan se de
> andre firmaer computere.
> Og alle har selfølgelig adgang til den port i switchen som ADSL
forbindelsen
> er på.
>
> Problemet er så at nogle firmaer også gerne ville have mulighed for VPN så
> de kan lave hjemmearbejdspladser.
>
> Så er mit problem at hvis man opretter en VPN forbindelse til ADSL
routeren
> der jo som den eneste port i switchen har adgang til alle porte, for at de
> alle kan have adgang til internettet, vil brugerne den vej kunne få adgang
> til alle andre maskiner også, og det må de ikke kunne, de må kun kunne
komme
> ind til de maskiner der høre til deres netværk.
>
> Så vil høre om der er nogle her der kender til nogle produkter der kan
> bruges til det hvis det da i det hele taget kan lade sig gøre.
>
>
>
>
>
>



Kim Jørgensen (28-07-2004)
Kommentar
Fra : Kim Jørgensen


Dato : 28-07-04 09:58

Ja det var selfølgelig en mulighed. men er bange for det kunne gå hen og
give formange problemer. Idet det måske ikke er særlig længe af gangen folk
lejer sig ind der. Og vil nok være alt formeget arbejde i det med oprettelse
af IP adresser hver gang og sletning igen.

Så i første omgang ville jeg gerne det kunne lade sig gøre med en på eller
anden måde avanceret router og switch.


"Dennis Nielsen" <spangsberg@hotmail.fjern.com> skrev i en meddelelse
news:41074522$0$219$edfadb0f@dread14.news.tele.dk...
> Hej
>
> Jeg ville nok lave det på den måde at hvert firma (lejer) købte deres egen
> router og en ekstra IP adresse, så burde dit problem med VPN også være
løst.
>
> MVH
>
> Dennis Nielsen
> "Kim Jørgensen" <kim--REMOVE--@teledi.dk> skrev i en meddelelse
> news:4106563d$0$199$edfadb0f@dread11.news.tele.dk...
> > Jeg skal lave en løsning på et firma der lejer nogle lokaler ud til
mindre
> > virksomhedder med internet og telefon.
> >
> > Hvert firma har internet via en fældes ADSL forbindelse.
> > Hvert firma har 4 porte i en switch til rådighed der er begrænset med
VLAN
> > så de kun har adgang til de porte der høre til dem så de ikke kan se de
> > andre firmaer computere.
> > Og alle har selfølgelig adgang til den port i switchen som ADSL
> forbindelsen
> > er på.
> >
> > Problemet er så at nogle firmaer også gerne ville have mulighed for VPN

> > de kan lave hjemmearbejdspladser.
> >
> > Så er mit problem at hvis man opretter en VPN forbindelse til ADSL
> routeren
> > der jo som den eneste port i switchen har adgang til alle porte, for at
de
> > alle kan have adgang til internettet, vil brugerne den vej kunne få
adgang
> > til alle andre maskiner også, og det må de ikke kunne, de må kun kunne
> komme
> > ind til de maskiner der høre til deres netværk.
> >
> > Så vil høre om der er nogle her der kender til nogle produkter der kan
> > bruges til det hvis det da i det hele taget kan lade sig gøre.
> >
> >
> >
> >
> >
> >
>
>



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste