---

Hejsa.

Er der nogen der kan lægge er par forslag på bordet ang. en fremtidig VPN
løsning?

Firma X skal have en webserver til at kører som kun udvalgte filialer i DK
skal kunne tilgå. Derudover skal linien være sikker. Vil VPN løse dette
problem relativt godt?

Derudover skal udvikler 1 og 2 også have adgang til firmaets server
hjemmefra igennem VPN men gerne fra deres eksisterende ADSL forbindelser.

Hvilke løsninger kunne være muligheder til dette setup? Jeg vil tro at der
til at starte med max vil være 5-10 brugere. Dette vil stige til måske max
30 i løbet af et par år.

Det skal være så "billigt" som muligt men samtidigt selvfølgelig virke så
skal der spyttes en smule mere i går det nok. Hvad koster TDC VPN Basic. Er
det en god løsning? Bør man gå efter en hardware eller software løsning.
Erfaringer og forslag modtages med kyshånd.

Mvh
Anders

---

Hej Anders..

Det sikreste og naturligvis også dyreste, vil være at lave nogle helt
seperate linjer mellem lokationerne...

dette kan gøres for 800 kr pr måned pr lokation, med 2mbit i hver retning..

ud over det burde vpn være den helt rigtige løsning, dog ville jeg dog
stadig anbefale vpn routere.. da dette vil adskille maskinerne fra det
almindelige internet.


--
Venlig hilsen
Lars Andersen



"Flare" <none@at.all> wrote in message
news:413e0ef5$0$227$edfadb0f@dread14.news.tele.dk...
> Hejsa.
>
> Er der nogen der kan lægge er par forslag på bordet ang. en fremtidig VPN
> løsning?
>
> Firma X skal have en webserver til at kører som kun udvalgte filialer i DK
> skal kunne tilgå. Derudover skal linien være sikker. Vil VPN løse dette
> problem relativt godt?
>
> Derudover skal udvikler 1 og 2 også have adgang til firmaets server
> hjemmefra igennem VPN men gerne fra deres eksisterende ADSL forbindelser.
>
> Hvilke løsninger kunne være muligheder til dette setup? Jeg vil tro at der
> til at starte med max vil være 5-10 brugere. Dette vil stige til måske max
> 30 i løbet af et par år.
>
> Det skal være så "billigt" som muligt men samtidigt selvfølgelig virke så
> skal der spyttes en smule mere i går det nok. Hvad koster TDC VPN Basic.
Er
> det en god løsning? Bør man gå efter en hardware eller software løsning.
> Erfaringer og forslag modtages med kyshånd.
>
> Mvh
> Anders
>
>

---

Lars skrev:
> ud over det burde vpn være den helt rigtige løsning, dog ville jeg dog
> stadig anbefale vpn routere.. da dette vil adskille maskinerne fra det
> almindelige internet.

KlientPC'erne vil vel (forhåbentlig) være sikret mod udefrakommende angreb
ved hjælp af en firewall/router med firewall-funktionalitet. De kan da
sagtens lave en VPN-tunnel "ud i verden" uden at gør dem sårbare, eller er
der noget jeg har overset?

Serveren vil dog så blive eksponeret, men det kunne evt. klares ved at at
klienterne forbinder sig med en router eller server som kun har dette til
formål.

-------
Tomas

---

> Det sikreste og naturligvis også dyreste, vil være at lave nogle helt
> seperate linjer mellem lokationerne...
>
> dette kan gøres for 800 kr pr måned pr lokation, med 2mbit i hver
> retning..
>
> ud over det burde vpn være den helt rigtige løsning, dog ville jeg dog
> stadig anbefale vpn routere.. da dette vil adskille maskinerne fra det
> almindelige internet.

Hvad består den løsning du hentyder til af hvis det ikke er en router
løsning. Og hvor har du prisen fra? Er det en TDC pris?

800 kr ligger fint inden for rammerne. Men igen. Hvilken konkret løsning
tænker du på?

Tak for hjælpen.
Anders

---

Priserne jeg nævner er godt nok mine egne..

den løsning jeg hentyder til, er hvor man sætter et netværk op, ene og alene
til det der skal være "sepereret" fra resten af omverdenen.
Det er naturligvis mest sikkert hvis de maskiner der er på det lukkede net,
ikke også er på internettet eller det lokale netværk. det ved jeg jo ikke
lige om det er et krav at de skal kunne være det.

men hvis det ikke er, er det muligt at lave et netværk der er ligeså lukket
som eks dankort-nettet, eller det som militæret har..
dvs fysisk adskilt fra internettet, og ikke bare med en firewall..

alternativt, kan der åbnes til internettet, fra et knudepunk, via en
firewall, og dette vil så give alle maskinerne mulighed for at komme på
internettet via det lukkede net, med en central firewall, hvorved man kun
har en firewall der skal vedligeholdes, og derved også kan bruge flere penge
på en enkelt firewall, istedet for at skulle ud og købe og drifte en
firewall på hver enkelt lokation .

Jeg ved det ikke er god skik at reklamere for sig selv her i nyhedgruppen,
men må ærlig indrømme at jeg ik kender til andre firmaer som leverer denne
slags løsninger i dette pris niveau..

jeg spurgte på et tidspunkt for 5 måneder siden hvad tdc skulle have for en
2 mbit forbindelse lukket mellem 2 lokationer, og de ville have over 12.000
i kvartalet..

men for ik at reklamere for meget her i gruppen, kan du fange mig på min
private mail lars(snabela)yoda(punktum)dk
og så kan vi snakke videre om det der, hvis det er noget du er interesseret
i ..

--
Venlig hilsen
Lars Andersen



"Flare" <none@at.all> wrote in message
news:413e1c4a$0$249$edfadb0f@dread14.news.tele.dk...
> > Det sikreste og naturligvis også dyreste, vil være at lave nogle helt
> > seperate linjer mellem lokationerne...
> >
> > dette kan gøres for 800 kr pr måned pr lokation, med 2mbit i hver
> > retning..
> >
> > ud over det burde vpn være den helt rigtige løsning, dog ville jeg dog
> > stadig anbefale vpn routere.. da dette vil adskille maskinerne fra det
> > almindelige internet.
>
> Hvad består den løsning du hentyder til af hvis det ikke er en router
> løsning. Og hvor har du prisen fra? Er det en TDC pris?
>
> 800 kr ligger fint inden for rammerne. Men igen. Hvilken konkret løsning
> tænker du på?
>
> Tak for hjælpen.
> Anders
>
>

---

> jeg spurgte på et tidspunkt for 5 måneder siden hvad tdc skulle have
> for en 2 mbit forbindelse lukket mellem 2 lokationer, og de ville have
> over 12.000 i kvartalet..
>

Heldigvis findes der mange andre end TDC der leverer E1-forbindelser eller
almindelige IP-forbindelser som punkt til punkt i lukkede netværk...

Og priserne er generelt også billigere end TDC's ditto...

Fang mig hvis man er interesseret, så kan jeg lede videre til et firma...

mvh
Lars Christensen

---

On Tue, 7 Sep 2004 22:19:36 +0200, Yoda.dk - Lars wrote:

> Hej Anders..
>
> Det sikreste og naturligvis også dyreste, vil være at lave nogle helt
> seperate linjer mellem lokationerne...
>
> dette kan gøres for 800 kr pr måned pr lokation, med 2mbit i hver
> retning..

Trivler paa at du kan levere E1 forbindelser mellem 2 vilkaarlige
addresser i Danmark for 800 kr per maaned.

Saa inden du oversaelger din loesning, saa skulle du maaske fortaelle
hvad det rent faktisk er at du kan levere til den pris.

--
Jesper Skriver, CCIE #5456, FreeBSD committer

---

"Flare" <none@at.all> skrev i en meddelelse
news:413e0ef5$0$227$edfadb0f@dread14.news.tele.dk...
> Hejsa.
>
> Er der nogen der kan lægge er par forslag på bordet ang. en fremtidig VPN
> løsning?
>
> Firma X skal have en webserver til at kører som kun udvalgte filialer i DK
> skal kunne tilgå. Derudover skal linien være sikker. Vil VPN løse dette
> problem relativt godt?

Hvis det kun er "udvalgte" filialer (hvilket jeg forstår er de samme "5-10
brugere" du henviser til nedenfor) så er det da oplagt at lade webserveren
være intranetserver, og dermed kun være åben for "interne" forespørgsler.

Filialer og udviklere kobles så på det "interne net" med VPN.

> Derudover skal udvikler 1 og 2 også have adgang til firmaets server
> hjemmefra igennem VPN men gerne fra deres eksisterende ADSL forbindelser.

Jeg ville da også mene alt andet var spild af penge.

> Hvilke løsninger kunne være muligheder til dette setup? Jeg vil tro at der
> til at starte med max vil være 5-10 brugere. Dette vil stige til måske max
> 30 i løbet af et par år.
>
> Det skal være så "billigt" som muligt men samtidigt selvfølgelig virke så
> skal der spyttes en smule mere i går det nok. Hvad koster TDC VPN Basic.
Er
> det en god løsning? Bør man gå efter en hardware eller software løsning.
> Erfaringer og forslag modtages med kyshånd.

Der mumles om 800 kr. pr. måned pr. lokation hvilket jeg synes virker meget
dyrt da der trods alt er 8-13 lokationer.
Men fortæl os om filialerne har en ADSL i forvejen eller om man alligevel
skal ud og købe linier.
Måske kan deres trafik køres over jeres server, så man stadig kunne nøjes
med en linie pr. filial?
For så er 800 kr. pr. måned jo ikke så slemt, så kræver det bare at jeres
linie kan trække alle filialernes trafik ud til internettet.
(WebPartner tilbyder iøvrigt også ADSL forbindelser i seperate kredsløb)

Hvis vi forudsætter at filialerne har en ADSL i forvejen og den nye
hjemmeside ikke er så tung at den kræver sin egen linie mener jeg kun det er
et spørgsmål om VPN-løsningen skal være hard- eller softwarebaseret, for en
VPN-løsning er da vejen frem.

Det folk mener med en VPN-router er at der ved serveren er en seperat boks
der modtager VPN-klienterne.
Alternativet er at lade serveren selv stå for godkendelsen af
trafikken/klienterne.

Personligt har jeg gode erfaringer med softwareVPN på min server og en
hardware VPN-boks hos klienterne.
Serveren kører Freeswan IPSec og klienterne er Linksys VPN-endpoint.

Jeg kan ikke se anden løsning end at køre hardware VPN hos klienterne.
Du ønsker ikke at være afhængig af hvad de laver med deres PC'ere...


Rune

---

Hejsa.

Flare wrote:

> Derudover skal udvikler 1 og 2 også have adgang til firmaets server
> hjemmefra igennem VPN men gerne fra deres eksisterende ADSL forbindelser.
>
> Hvilke løsninger kunne være muligheder til dette setup? Jeg vil tro at der
> til at starte med max vil være 5-10 brugere. Dette vil stige til måske max
> 30 i løbet af et par år.

Umiddelbart ville jeg satse på et hardware VPN-setup på server-site og
remote sites samt software VPN-klient hos udviklerne.

> Det skal være så "billigt" som muligt men samtidigt selvfølgelig virke så
> skal der spyttes en smule mere i går det nok.

Definer billigt

Vi kører med et antal forskellige bokse til VPN (dels af historiske
årsager, dels på baggrund af forskellige krav til funktionalitet).

Til inspiration:

Cisco har en router, som hedder Cisco 1712. Routeren har indbygget
4-ports switch og ISDN (som kan bruges til dial-in i forbindelse med
problemer, hvis VPN går død). Den understøtter op til 15 Mbps 3DES
VPN-kryptering og kan håndtere op til 100 samtidige VPN-tunneler. Hvis
der senere kommer yderligere krav til redundans kan dette skabes ved at
sætte to routere op på en site (fx server-site) i et HSRP-setup.

Routeren kan skabe tunneler til andre HW-enheder og software VPN via
Ciscos VPN klient.

Pris: typisk under DKK 6000,- eksklusiv moms.

<URL:http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Technologies:IPSec&s=Implementation_and_Configuration>
<URL:http://www.cisco.com/en/US/products/hw/routers/ps221/products_data_sheet09186a00801a030a.html>
<URL:http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a00800942f7.shtml>

men:

Det er meget nemmere for dig selv, at se hvad du har brug for.

spørgsmål du bør tage stilling til:

- krav til oppetid og afledte designkrav (fx vil et redundant
routersetup måske ikke give så meget mening, hvis internetforbindelsen
ikke er redundant eller hvis de to routere sidder på samme strømgruppe -
er serveren redundant).
- krav til sikkerhed (hvem må pille ved hvilke bokse med hvilke
rettigheder, er der krav til firewallfunktionalitet, skal evt. software
VPN-løsninger kombineres med certifikater og/eller tokenløsning som fx
SecureID, andre interne sikkerhedspolitikker)
- hvem skal drive løsningen (internt, ekstern leverandør, autonomt på de
enkelte lokationer)
- eksisterende kompetencer (det er ofte bedst, hvis den der
etablerer/driver løsningen ved hvad han/hun laver og er tryg ved at
fejlfinde/ændre løsningen).
- eksisterende udstyr (det er nemmere at designe den rigtige løsning når
du kender den struktur løsningen skal indgå i - ellers risikerer du en
knopskydning som ikke nødvendigvis er hensigtsmæssig)

Knus
Regnar

---

"Flare" <none@at.all> skrev i en meddelelse
news:413e0ef5$0$227$edfadb0f@dread14.news.tele.dk...
> Hejsa.
>
> Er der nogen der kan lægge er par forslag på bordet ang. en fremtidig VPN
> løsning?
>
> Firma X skal have en webserver til at kører som kun udvalgte filialer i DK
> skal kunne tilgå. Derudover skal linien være sikker. Vil VPN løse dette
> problem relativt godt?
>
> Derudover skal udvikler 1 og 2 også have adgang til firmaets server
> hjemmefra igennem VPN men gerne fra deres eksisterende ADSL forbindelser.
>
> Hvilke løsninger kunne være muligheder til dette setup? Jeg vil tro at der
> til at starte med max vil være 5-10 brugere. Dette vil stige til måske max
> 30 i løbet af et par år.
>
> Det skal være så "billigt" som muligt men samtidigt selvfølgelig virke så
> skal der spyttes en smule mere i går det nok. Hvad koster TDC VPN Basic.
Er
> det en god løsning? Bør man gå efter en hardware eller software løsning.
> Erfaringer og forslag modtages med kyshånd.

Vi har løst problemet med en kombination af et lukket IP-VPN netværk købt
hos en telebyder, som ikke behøver at være din internetudbyder, samt
almindelige VPN-tunneller.

Løsningen med et lukket IP-VPN netværk gør at linierne mellem afdelingen er
sikre. Det er naturligvis en dyrere løsning end selv at sætte firewalls op
til VPN mellem afdelingerne, men det gør at der er eksterne folk på til at
passe opsætning osv. som ikke beskæftiger sig med andet.

Med hensyn til udviklerne, så er det vigtigt at du sikrer dig at du åbner og
lukker tunnellerne efter behov og at det er navn-givne (kendte MAC-adresser)
hos udviklerne, der få adgang. Hvis udvikleren skifter PC, så skal tunnellen
sættes op på ny. Man har typisk kendskab til en person hos leverandøren, men
kender ikke hans kollegaer og deres motiver.

Uanset hvilken udbyder, du vælger, så kør din egen VPN-løsning med hardware
firewalls. Lad være med at køre en pakke-løsning hos leverandøren. En sådan
løsning kan kontraktmæssigt være svær at komme ud af, hvis behovet ændrer
sig. Tillad ej software VPN, hvis der ikke er helt 100% styr på anti-virus
og installerede programmer hos klientmaskinen. (Det er der næsten aldrig i
disse spyware tider.).

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

Carsten Overgaard wrote:

[snip - en del gode pointer]

> Tillad ej software VPN, hvis der ikke er helt 100% styr på anti-virus
> og installerede programmer hos klientmaskinen. (Det er der næsten aldrig i
> disse spyware tider.).

Hvorfor er SW VPN så meget mere usikkert end HW VPN?

De to ting jeg umiddelbart kan se er:

1. hvis spyware fanger et password - men det bruger man vel ikke andre
steder?
2. hvis spyware/virus udnytter en bug i VPN-klienten.

- er der noget jeg overser?

En anden ting - hvis du ikke stoler på udvikleren og hans kollegaer er
sikring via MAC-adresse vel ikke meget værd?

Knus
Regnar

---

> Firma X skal have en webserver til at kører som kun udvalgte filialer i DK
> skal kunne tilgå. Derudover skal linien være sikker. Vil VPN løse dette
> problem relativt godt?

Hvis de kun skal have adgang til en webserver, så kan du klare det med en
ssh-tunnel. Det er ikke det nemmeste at sætte op, men det er meget billigt.

Niels Dybdahl