VPN-Einwahl für Unternehmensnetzwerk
Hallo zusammen,
aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt.
Wir setzen aktuell das User-VPN von Sophos ein (mittels UTM). Prinzipiell ist die Lösung relativ simpel und gut zu implementieren. Vor allem der Rollout auf die Laptops lässt sich mit einfachen Mitteln (Skript) bei uns gut bewerkstelligen.
Da aber die User-Anzahl auf der UTM sehr begrenzt ist und wir mittlerweile an harte Limits stoßen, fahren wir einen "Dauertest" mit dem Nachfolger (XG). Leider ist die XG bei weitem nicht so "User-freundlich"...
In Summe befinden wir uns aktuell auf der grünen Wiese und schauen gerade ob es auf dem Markt eine Lösung gibt, die uns mehr zusagt.
Grobe Eckdaten wären:
- > 700 gleichzeitige Verbindungen
- AD-Integration
- Zertifikate o.Ä. sollten ohne User-Interaktion auf den Laptops verteilt werden können
- Einfaches Handling der Einwahl
- optional Anbindung an vorhandenes IAM (für MFA)
- Fulltunnel
Ich würde mich freuen, wenn ich von euch ein paar Eindrücke sammeln könnte und ggf auch ein paar Lösungsvorschläge.
Gruß und Danke
aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt.
Wir setzen aktuell das User-VPN von Sophos ein (mittels UTM). Prinzipiell ist die Lösung relativ simpel und gut zu implementieren. Vor allem der Rollout auf die Laptops lässt sich mit einfachen Mitteln (Skript) bei uns gut bewerkstelligen.
Da aber die User-Anzahl auf der UTM sehr begrenzt ist und wir mittlerweile an harte Limits stoßen, fahren wir einen "Dauertest" mit dem Nachfolger (XG). Leider ist die XG bei weitem nicht so "User-freundlich"...
In Summe befinden wir uns aktuell auf der grünen Wiese und schauen gerade ob es auf dem Markt eine Lösung gibt, die uns mehr zusagt.
Grobe Eckdaten wären:
- > 700 gleichzeitige Verbindungen
- AD-Integration
- Zertifikate o.Ä. sollten ohne User-Interaktion auf den Laptops verteilt werden können
- Einfaches Handling der Einwahl
- optional Anbindung an vorhandenes IAM (für MFA)
- Fulltunnel
Ich würde mich freuen, wenn ich von euch ein paar Eindrücke sammeln könnte und ggf auch ein paar Lösungsvorschläge.
Gruß und Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1286684068
Url: https://administrator.de/contentid/1286684068
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
13 Kommentare
Neuester Kommentar
Servus,
Securepoint kann ich dir auch empfehlen. Wird bei unseren Kunden eingesetzt und die sind sehr zufrieden damit.
Zwar brauchen unsere Kunden keine 700 Verbindungen aber da wird es für euch bestimmt ein Angebot geben das euch zusagen wird. Das UI von Securepoint ist sehr Benutzerfreundlich. Auf den Notebooks wird einfach der Road Warrior ausgeführt und fertig.
Hoffe dir geholfen zu haben.
LG
Securepoint kann ich dir auch empfehlen. Wird bei unseren Kunden eingesetzt und die sind sehr zufrieden damit.
Zwar brauchen unsere Kunden keine 700 Verbindungen aber da wird es für euch bestimmt ein Angebot geben das euch zusagen wird. Das UI von Securepoint ist sehr Benutzerfreundlich. Auf den Notebooks wird einfach der Road Warrior ausgeführt und fertig.
Hoffe dir geholfen zu haben.
LG
Was sind deine Bedenken? Da kannst du genauso eine CA mit MFA oder AuthToken anbinden
Zitat von @Looser27:
Cisco AnyConnect ist grottig. Cisco sollte Switche bauen...denn das können sie. Der Rest ist geht so geil.....
Just my 2 Cents.
Was sind deine Bedenken?
Cisco AnyConnect ist grottig. Cisco sollte Switche bauen...denn das können sie. Der Rest ist geht so geil.....
Just my 2 Cents.
AnyConnect in Verbindung mit einer ASA ist der beste VPN-Client, mit dem ich in den letzten 15 Jahren gearbeitet habe.
Cisco sollte Switche bauen...denn das können sie.
Ursprünglich sind sie aber mit Routern angefangen was ihr ureigenstes Geschäft war und auch immer noch ist !! 😉https://www.cisco.com/c/dam/global/de_de/assets/cisconnect/2009-12/media ...
https://community.cisco.com/t5/routing/where-were-you-when-the-ags-was-i ...
Für den Firmware Wechsel wurden da noch Eproms getauscht. Heute weiss kaum einer der "Nerds" mehr was Eproms sind....!
Wenn, dann also bitte historisch korrekt ! 🧐
Generell sollte man immer auf alle 3rd Party VPN Clients verzichten und die onboard VPN Clients aller Betriebssysteme nutzen da diese bekanntlich immer am besten ins OS integriert sind !!
Das minimiert den Management Aufwand und die Gefahr das es solche SW Anbieter mal nicht mehr gibt. Außerdem sind sie meist so oder so nur die onboard VPN Protokolle nur in einem anderen, bunten Gewand und daher meist überflüssig. Im VPN wird ja das Rad nicht neu erfunden. OK...ein kleines bisschen vielleicht mit Wireguard. Bis das aber in OS wandert dauert es noch...
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
usw. usw.
Wie man sieht können das sogar alle gängigen OpenSource Firewalls und gängige Router (auch Cisco) problemlos
Moin,
Gruß,
Dani
Ich würde mich freuen, wenn ich von euch ein paar Eindrücke sammeln könnte und ggf auch ein paar Lösungsvorschläge.
wir haben Anfang des Jahres Cisco Anyconnect aus allen Unternehmensteilen geworfen. Das hatte verschiedene Gründe: Technischer Support, Weiterentwicklunng, Lizenzierung und damit wirtschaftliche Aspekte. Auf Grund dessen sind haben wir im Konzern global auf Microsoft Always-On VPN gewechselt. Erstmal sind keine explizite CALs o.ä. notwendig. Es wird entsprechend Windows Server lizenziert. Was bei uns den Kohl nicht mehr dick macht.700 gleichzeitige Verbindungen
Ohne Lastausgleich wird es nicht gehen. Wir haben unsere Endpoints geografisch verteilt und routen die Clients mit Hilfe von Azure Traffic Manager an den nächst gelegenen Server. Ein umfangreiches Regelwerk ist problemlos möglich und somit können auch komplexe Failover Konzepte abgebildet werden. - AD-Integration
Check. - Zertifikate o.Ä. sollten ohne User-Interaktion auf den Laptops verteilt werden können
Erfolgt mit Hilfe der Windows PKI und Gruppenrichtlinien. - Einfaches Handling der Einwahl
Im Idealfall funktioniert der DeviceTunnel und die Einwahl wird automatisch erzwungen, sobald eine Internetverbindung steht. Beim UserTunnel kann der Benutzer selbst über "Netzwerk- und Interneteinstellungen" die Verbindung aufbauen/abbauen. - optional Anbindung an vorhandenes IAM (für MFA)
MFA halte ich bei Verwendung von Zertifikaten für überflüssig.Fulltunnel
Check.Gruß,
Dani
Hallo,
du gehst von einer "grüner Wiese" aus. Hübsch
Damit steht einem Wechsel der Firewall theoretisch nichts im Wege, wenn ihr mit dem Nachfolger einfach nicht grün genug werdet. Nur am Rande: so eine Migration ist aber auch nicht ohne.
Bei uns kommen Komponenten von Fortinet zum Einsatz: FortiGate als Firewall und FortiClient als VPN-Client.
Die Produkte sind sehr firmenspezifisch benannt, weshalb ein Schulungsleiter den Teilnehmern mal einen "FortiStaubsauger" unterjubeln wollte. War witzig.
Ich greife einfach mal das Schema von @Dani auf, weil es mir gefällt und keine Produktaufzählung ist:
Wir haben vor einigen Jahren alle Cisco ASAs (hauptsächlich 5505) gegen Fortinet FortiGates ausgetauscht. Die hauptsächlichen Gründe waren das Alter samt Support, ein komplettes Redesign des Netzwerks sowie der Bedarf eines zentralen Managements (ohne Verlust der Console bzw. Chance auf Individualkonfiguration).
Seit einiger Zeit gibt es auch einen kostenfreien "FortiClient VPN only" für SSL-VPN und IPSec. Das offiziell Hinterhältige: dieser Client enthält keinen Support. Das inoffiziell Geniale: den haben wir auch noch nie gebraucht.
Früher war das ein kompletter Teil Endpoint Management inkl. "Sicherheitspaket", wobei es diese Variante auch weiterhin geben wird und für individuelle Anpassungen musste man eine Art Entwicklerzugang haben, dessen Hürden jedoch recht leicht zu überwinden waren.
Aus unserer Sicht überraschend positiv bemerkbar gemacht hat sich während der letzten zwei Jahre mit diesem bösen C-Wort das quasi kostenfreie Client2Site-VPN via SSL bzw. TLS. Keine Lizenzen, kein Gejammer, kein nix. Da wir hauptsächlich mit Thinclients gearbeitet haben und Fatclients eher den ohnehin mobilen Menschen vorbehalten waren, konnten wir vorher schon Erfahrung sammeln. So wussten wir, dass es eine Einstellung für Timeout gibt (Default: 8 Stunden) und manchmal das automatische (Wieder-)Erwecken der VPN-Verbindung nach längerer Pause bzw. Abwesenheit aufgrund der Energiespareinstellungen des Endgerätes etwas "gutes Zureden" braucht.
Wir müssen lediglich so um die 250 bis 300 gleichzeitigen Client2Site-VPN-Verbindungen handlen. Je nach Standort, Infrastruktur und Anbindung des VPN-Konzentrators kann das schon interessant werden, wie Dani bereits schrieb. Bei uns derzeit kein Thema und die Hardware der Firewall döst quasi vor sich hin. Die haben wir aber bewusst eine Nummer größer gewählt, um die künftigen Bedürfnisse abdecken zu können.
Wenn ich deinen Post richtig deute, habt ihr 700 Verbindungen, die auf eine einzelne Firewall (-cluster?) einprasseln, welche den VPN-Server darstellt. Ist das korrekt?
Auch Check. Steuerung von "wer darf, wer darf nicht" über AD-Gruppen macht uns das Leben schon sehr angenehm.
Unsere User suchen sich eine Strippe oder Welle mit Internet, machen dann "Rechtsklick -> mit Firmenname-VPN verbinden" und sind verbunden. Haben wirklich alle geschafft. Die Hotlineanrufe kamen nur, wenn die Leute im Büro waren, bereits in unserem Firmen-WLAN hingen und dann dieser gemeine VPN-Client einfach nicht so wollte wie sie *schmunzelt*
Ein möglicher Fallstrick: Zum Zeitpunkt des Anmeldens besteht bei unserem Szenario keine Verbindung zum Firmennetz. Also greifen keine Gruppenrichtlinien, zentrale Startskripte, Laufwerksmappings, etc., was aber wiederum vom Endpoint Management und etwas "Voodoo" abgefangen wird.
Auch Check.
Jaaa... wir haben es komfortabler: explizite Software für das Endpointmanagement inkl. Paketierung. Beim allerersten Start wird der User nämlich gefragt, ob er damit einverstanden ist, dass das Produkt keinen Support mitbringt und welches Zertifikat er denn für das VPN nutzen möchte. Diese beiden Sachen hat das Team vom Endpointmanagement mit "etwas Voodoo" geregelt, damit unsere User das bloß nicht zu Gesicht bekommen.
So ungefähr drei Jahre altes Wissen:
Wie gut sich mittlerweile Fortinets SSL-VPN mit dem schon vorhandenen Windows Client versteht, weiß ich nicht (damals war Windows kein SSL-VPN erlaubt / implementiert). L2TP/IPSec geht definitiv und läuft auch bei vielen. Verglichen mit dem FortiClient ist der Client von Microsoft aber wohl ärmer an (zusätzlichen?) Konfigurationsmöglichkeiten.
Was für dich ggf. auch interessant sein könnte: IPv6 und Mobilfunk / CGNAT
Wir haben derzeit kein Routing für IPv6 aktiv. Besonders bei Verwendung eines Mobilfunknetzes (Handy als HotSpot), hatten waren teils geografisch, teils providerabhängig (teils sogar nur tarifabhängig) kein Tunnelaufbau möglich. Wir haben die wenigen betroffenen User dann stumpf ihren APN im Handy abändern lassen.
Richtig Ärger im Bereich DualStack Lite hatten wir nicht. Zuhause scheint das wohl eher weniger ein Problem zu sein.
du gehst von einer "grüner Wiese" aus. Hübsch
Damit steht einem Wechsel der Firewall theoretisch nichts im Wege, wenn ihr mit dem Nachfolger einfach nicht grün genug werdet. Nur am Rande: so eine Migration ist aber auch nicht ohne.
Bei uns kommen Komponenten von Fortinet zum Einsatz: FortiGate als Firewall und FortiClient als VPN-Client.
Die Produkte sind sehr firmenspezifisch benannt, weshalb ein Schulungsleiter den Teilnehmern mal einen "FortiStaubsauger" unterjubeln wollte. War witzig.
Ich greife einfach mal das Schema von @Dani auf, weil es mir gefällt und keine Produktaufzählung ist:
Zitat von @Dani:
Moin,
Moin,
Ich würde mich freuen, wenn ich von euch ein paar Eindrücke sammeln könnte und ggf auch ein paar Lösungsvorschläge.
wir haben Anfang des Jahres Cisco Anyconnect aus allen Unternehmensteilen geworfen. Das hatte verschiedene Gründe: Technischer Support, Weiterentwicklunng, Lizenzierung und damit wirtschaftliche Aspekte. Auf Grund dessen sind haben wir im Konzern global auf Microsoft Always-On VPN gewechselt. Erstmal sind keine explizite CALs o.ä. notwendig. Es wird entsprechend Windows Server lizenziert. Was bei uns den Kohl nicht mehr dick macht.Wir haben vor einigen Jahren alle Cisco ASAs (hauptsächlich 5505) gegen Fortinet FortiGates ausgetauscht. Die hauptsächlichen Gründe waren das Alter samt Support, ein komplettes Redesign des Netzwerks sowie der Bedarf eines zentralen Managements (ohne Verlust der Console bzw. Chance auf Individualkonfiguration).
Seit einiger Zeit gibt es auch einen kostenfreien "FortiClient VPN only" für SSL-VPN und IPSec. Das offiziell Hinterhältige: dieser Client enthält keinen Support. Das inoffiziell Geniale: den haben wir auch noch nie gebraucht.
Früher war das ein kompletter Teil Endpoint Management inkl. "Sicherheitspaket", wobei es diese Variante auch weiterhin geben wird und für individuelle Anpassungen musste man eine Art Entwicklerzugang haben, dessen Hürden jedoch recht leicht zu überwinden waren.
Aus unserer Sicht überraschend positiv bemerkbar gemacht hat sich während der letzten zwei Jahre mit diesem bösen C-Wort das quasi kostenfreie Client2Site-VPN via SSL bzw. TLS. Keine Lizenzen, kein Gejammer, kein nix. Da wir hauptsächlich mit Thinclients gearbeitet haben und Fatclients eher den ohnehin mobilen Menschen vorbehalten waren, konnten wir vorher schon Erfahrung sammeln. So wussten wir, dass es eine Einstellung für Timeout gibt (Default: 8 Stunden) und manchmal das automatische (Wieder-)Erwecken der VPN-Verbindung nach längerer Pause bzw. Abwesenheit aufgrund der Energiespareinstellungen des Endgerätes etwas "gutes Zureden" braucht.
Wir müssen lediglich so um die 250 bis 300 gleichzeitigen Client2Site-VPN-Verbindungen handlen. Je nach Standort, Infrastruktur und Anbindung des VPN-Konzentrators kann das schon interessant werden, wie Dani bereits schrieb. Bei uns derzeit kein Thema und die Hardware der Firewall döst quasi vor sich hin. Die haben wir aber bewusst eine Nummer größer gewählt, um die künftigen Bedürfnisse abdecken zu können.
Wenn ich deinen Post richtig deute, habt ihr 700 Verbindungen, die auf eine einzelne Firewall (-cluster?) einprasseln, welche den VPN-Server darstellt. Ist das korrekt?
Auch Check. Steuerung von "wer darf, wer darf nicht" über AD-Gruppen macht uns das Leben schon sehr angenehm.
Zitat von @Dani:
Machen wir auch so. Sehr komfortabel und wenn die Mittel eh schon zur Verfügung stehen, sollte man auch darauf zurückgreifen statt "noch eine Drittanbieter-Software einzukaufen, um nur einen Bruchteil davon zu nutzen". - Zertifikate o.Ä. sollten ohne User-Interaktion auf den Laptops verteilt werden können
Erfolgt mit Hilfe der Windows PKI und Gruppenrichtlinien.Zitat von @Dani:
DeviceTunnel war für uns keine Option. Eine Art "Alway Up" bzw. "Autoconnect" auf User-Basis haben wir nicht verwendet, wobei es möglich sein dürfte und auch dokumentiert ist. - Einfaches Handling der Einwahl
Im Idealfall funktioniert der DeviceTunnel und die Einwahl wird automatisch erzwungen, sobald eine Internetverbindung steht. Beim UserTunnel kann der Benutzer selbst über "Netzwerk- und Interneteinstellungen" die Verbindung aufbauen/abbauen.Unsere User suchen sich eine Strippe oder Welle mit Internet, machen dann "Rechtsklick -> mit Firmenname-VPN verbinden" und sind verbunden. Haben wirklich alle geschafft. Die Hotlineanrufe kamen nur, wenn die Leute im Büro waren, bereits in unserem Firmen-WLAN hingen und dann dieser gemeine VPN-Client einfach nicht so wollte wie sie *schmunzelt*
Ein möglicher Fallstrick: Zum Zeitpunkt des Anmeldens besteht bei unserem Szenario keine Verbindung zum Firmennetz. Also greifen keine Gruppenrichtlinien, zentrale Startskripte, Laufwerksmappings, etc., was aber wiederum vom Endpoint Management und etwas "Voodoo" abgefangen wird.
Zitat von @Dani:
Solange das Zertifikat nicht komplett nomadisch nutzbar ist ;) MFA haben wir ebenfalls nicht im Einsatz. Einerseits eben wegen der Zertifikate und andererseits will Fortinet dann Lizenzen beim Kunden bzw. dessen Hardware sehen und je nach Vorliebe auch noch zusätzliche Hardware verkaufen. - optional Anbindung an vorhandenes IAM (für MFA)
MFA halte ich bei Verwendung von Zertifikaten für überflüssig.Auch Check.
Zitat von @joerg
Wir setzen aktuell das User-VPN von Sophos ein (mittels UTM). Prinzipiell ist die Lösung relativ simpel und gut zu implementieren. Vor allem der Rollout auf die Laptops lässt sich mit einfachen Mitteln (Skript) bei uns gut bewerkstelligen.
Das ist vermutlich recht angenehm: Der FortiClient liest beim Start eine XML Config ein. Wir haben einfach initial den Client installiert, über die GUI ein VPN-Profil erstellt, durchkonfiguriert und dann exportiert. Bis auf ein, zwei Feinheiten (die aber dem Betrieb geschuldet sind) konnten wir die exportierte XML auf den Rest der Endgeräte verteilen.Wir setzen aktuell das User-VPN von Sophos ein (mittels UTM). Prinzipiell ist die Lösung relativ simpel und gut zu implementieren. Vor allem der Rollout auf die Laptops lässt sich mit einfachen Mitteln (Skript) bei uns gut bewerkstelligen.
Jaaa... wir haben es komfortabler: explizite Software für das Endpointmanagement inkl. Paketierung. Beim allerersten Start wird der User nämlich gefragt, ob er damit einverstanden ist, dass das Produkt keinen Support mitbringt und welches Zertifikat er denn für das VPN nutzen möchte. Diese beiden Sachen hat das Team vom Endpointmanagement mit "etwas Voodoo" geregelt, damit unsere User das bloß nicht zu Gesicht bekommen.
So ungefähr drei Jahre altes Wissen:
Wie gut sich mittlerweile Fortinets SSL-VPN mit dem schon vorhandenen Windows Client versteht, weiß ich nicht (damals war Windows kein SSL-VPN erlaubt / implementiert). L2TP/IPSec geht definitiv und läuft auch bei vielen. Verglichen mit dem FortiClient ist der Client von Microsoft aber wohl ärmer an (zusätzlichen?) Konfigurationsmöglichkeiten.
Was für dich ggf. auch interessant sein könnte: IPv6 und Mobilfunk / CGNAT
Wir haben derzeit kein Routing für IPv6 aktiv. Besonders bei Verwendung eines Mobilfunknetzes (Handy als HotSpot), hatten waren teils geografisch, teils providerabhängig (teils sogar nur tarifabhängig) kein Tunnelaufbau möglich. Wir haben die wenigen betroffenen User dann stumpf ihren APN im Handy abändern lassen.
Richtig Ärger im Bereich DualStack Lite hatten wir nicht. Zuhause scheint das wohl eher weniger ein Problem zu sein.