Connessione di due sedi fisiche

[marcofilippini]

Ciao a tutti, ho una rete aziendale con 30 client e 1 server che funge da Domain Controller (Windows Server). 

Gli utenti accedono a questo server su cui c'è un disco rigido condiviso con tutte le varie share dei reparti/utenti. 

 

Tutto è dietro un firewall che esce su internet con il router di TIM su IP statico. 

 

Abbiamo la necessità di collegare una altra sede (si tratta di circa 5 client in più), qual'è la soluzione che adottereste? Tenendo conto che ci saranno anche altri utenti (circa 5 sempre) che si dovranno connettere con PC portatili anche nella loro rete domestica o in qualsiasi rete internet senza dover mettere mano a configurazione sul router.

 

Quale soluzione adottereste voi per connettere le due sedi completamente e limitare al minimo rallentamenti di rete? 

Entrambe le sedi hanno una connessione a internet GPON da 1 gigabit /s sia in downstream che upstream, gli utenti da casa invece potrebbero trovarsi a lavorare con 20 mbit/s in down con la classica ADSL. 

 

Grazie mille

MF

[Andrea Annoni]

VPN site to site per l’Interconnessione aziende.

VPN roadwarrior per gli utenti da esterno 

[marcofilippini]

7 minuti fa, Andrea Annoni ha scritto:

VPN site to site per l’Interconnessione aziende.

VPN roadwarrior per gli utenti da esterno 

Ciao Andrea, grazie per la tua risposta. 

 

Per la prima quindi potrei configurare qualcosa sul firewall? Ho un UTM di Sophos in entrambe le sedi, quindi in automatico io posso collegare i miei client per accedere al mio domain controller (azienda.local) e non devo modificare alcune configurazione sui client, giusto? Posso scollegarli da una presa di rete di una sede e metterlo nell'altra senza problemi se metto la VPN site to site a livello di firewall-firewall, dico correttamente? 

Non ho mai utilizzato la VPN sul firewall, non so se è una buona idea e resta performante oltre che sicura. Sarebbe una L2TP/ipsec come protocollo?

 

Mentre per la VPN roadwarrior come funziona? Non l'ho mai utilizzata personalmente. Su quale server va messa? Sempre a livello di firewall oppure su una macchina dedicata? 

I client come sarebbero configurati in questo caso? Devono avere un'altra configurazione non possono accedere al mio "azienda.local" come per le due sedi? 

 

Grazie mille

[marcofilippini]

Scusa, Andrea, aggiungo un altro dettaglio: al momento abbiamo anche un NAS QNAP che è solamente come archivio "aperto" all'esterno. Su questo QNAP c'è attiva la sua VPN come server (Qbelt) e i client dei vari dipendenti si collegano a questa con il software client QVPN. Tuttavia le performance come velocità sono molto scarse. In azienda c'è una rete 1gigabit /s in upstream mentre la rete domestica del dipendente è di 60 mbit /s in wi-fi naviga e mi segnala tempi molto alti per aprire dei files (ovviamente parlo di files pesanti spesso). 

In questo caso potrebbe essere che QNAP non sia il massimo per gestire la VPN come hardware e software? Oppure c'è qualche mancanza di configurazione su firewall tipo priorità etc.?

[Andrea Annoni]

Se usi Sophos senza dubbio la VPN va usata li! Anche perchè se è anche il router DEVE essere li. In questo modo puoi configurare le rotte di ritorno sui rispettivi apparati. In questo modo  le subnet delle due sedi sono visibili senza NAT di mezzo.

 

Per la parte clienti invece decidi un pool di indirizzi da usare e imposti le regole per cosa possono vedere; se non servono limitazioni lasci tutto a default.

 

Il tipo di protocollo dipende da come vuoi usare la VPN. Per la Site to Site userei una IPSec o una OpenVPN ma entrambe con certificati.

Per gli utenti userei  al IPsec in modo da usare il client Sophos con certificato.

 

Se usi la VPN su altri apparati come fai a gestire l'accesso al domain controller? Dove imposti le rotte? Ci sono apparat che ti vengono incontro.......ma è una porcheria.

 

 

Discorso NAS lo ritengo davvero folle ad averlo pubblicato.......QNAP come tutti gli altri hanno notevoli exploit di vulerabilità. Anche usarlo come server VPN in un azienda lo vedo davvero male....... senza offesa ma avere firewall Sophos e usare QNAP per fare da VPN server mi mette i brividi. Qui c'è un genio del male!😀

[marcofilippini]

4 ore fa, Andrea Annoni ha scritto:

Il tipo di protocollo dipende da come vuoi usare la VPN. Per la Site to Site userei una IPSec o una OpenVPN ma entrambe con certificati.

 

Con certificati intendi quello autogenerato oppure hanno un costo?

 

4 ore fa, Andrea Annoni ha scritto:

ma entrambe con certificati

I certificati sono quelli autogenerati? Oppure ci sono certificati più sicuri da utilizzare che sono a pagamento?

 

4 ore fa, Andrea Annoni ha scritto:

Per gli utenti userei  al IPsec in modo da usare il client Sophos con certificato.

 

Il client Sophos intendi che c'è un software di Sophos da installare sui client degli utenti? Non posso collegare la VPN del mio firewall Sophos con quella nativa di Windows (IPsec tipo)?

 

5 ore fa, Andrea Annoni ha scritto:

Discorso NAS lo ritengo davvero folle ad averlo pubblicato.......QNAP come tutti gli altri hanno notevoli exploit di vulerabilità. Anche usarlo come server VPN in un azienda lo vedo davvero male....... senza offesa ma avere firewall Sophos e usare QNAP per fare da VPN server mi mette i brividi. Qui c'è un genio del male!😀

No ma solo la 443 UDP è aperta per fare andare la VPN, il resto è tutto chiuso, è pericoloso comunque? 

Purtroppo il firewall Sophos è gestito da un fornitore esterno che non ci da accesso volendo gestire tutto loro completamente non ci danno le password quindi spesso dobbiamo rimpiazzare in questo modo trovando soluzioni in autonomia. Lo ammetto, sono io il genio del male in questo caso 😁, però il nas di qnap è solo uno spazio dove archiviamo file per accedere dall'esterno, a parte la riservatezza dei dati per il resto sono solo copie dei dati già sul server locale.  

[Andrea Annoni]

57 minuti fa, marcofilippini ha scritto:

Con certificati intendi quello autogenerato oppure hanno un costo?

Puoi anche autogenerarli. Lo stesso Sophos se ben ricordo lo fa.

 

57 minuti fa, marcofilippini ha scritto:

I certificati sono quelli autogenerati? Oppure ci sono certificati più sicuri da utilizzare che sono a pagamento?

Ci sono anche quelli a pagamento da enti accreditati.

 

57 minuti fa, marcofilippini ha scritto:

Il client Sophos intendi che c'è un software di Sophos da installare sui client degli utenti? Non posso collegare la VPN del mio firewall Sophos con quella nativa di Windows (IPsec tipo)?

Si c'è il client Sophos che ti installi accedendo alla sua pagina web (è da abilitare). Se invece vuoi usare VPN meno solide puoi anche impostare le native Windows.

 

57 minuti fa, marcofilippini ha scritto:

No ma solo la 443 UDP è aperta per fare andare la VPN, il resto è tutto chiuso, è pericoloso comunque? 

Certo, qualsiasi porta pubblicata è pericolosa.

 

 

Dipende da cosa dice il contratto. Ma se il Sophos lo avete acquistato il fornitore DEVE per legge, nelle forme che meglio crede, dare le password. Se sparisce lui cposa fate??

 

 

Modificato: 26 febbraio 2020 da Andrea Annoni

[marcofilippini]

Il 26/2/2020 alle 18:36 , Andrea Annoni ha scritto:

Certo, qualsiasi porta pubblicata è pericolosa.

 

E con la VPN site to site non apri nessuna porta invece? 

 

Il 26/2/2020 alle 18:36 , Andrea Annoni ha scritto:

Dipende da cosa dice il contratto. Ma se il Sophos lo avete acquistato il fornitore DEVE per legge, nelle forme che meglio crede, dare le password. Se sparisce lui cposa fate??

 

Si, il Sophos è acquistato dall'azienda perciò è nostro, però non ci hanno mai dato nessun accesso a niente in assoluto, nessuno ha niente, motivo per cui spingo da più di 10 anni a fare cambiare questo partner informatico che a mio parere è rimasto abbastanza arretrato su molti aspetti. 

 

 

Modificato: 27 febbraio 2020 da marcofilippini