Umgang mit mehreren Client-VPNs

6

Daher habe ich zuvor einen Verwaltungsserver verwendet, auf dem ich über Standort-zu-Standort-Verbindungen zur Firewall im Netzwerk auf alle verschiedenen VPN-Verbindungen meines Clients zugreifen konnte. Leider haben sie sich aufgrund von Sicherheitsupgrades jetzt entschieden, nur auf (10+) Client-VPN-Verbindungen umzusteigen.

Da ich bereits mehrere andere Client-VPN-Verbindungen zu anderen Netzwerken mit widersprüchlichen IP-Konfigurationen und Subnetzen verwende, ist es fast nicht mehr möglich, diese Verbindungen lokal auf meinem PC zu installieren. Als vorübergehende Lösung führe ich jetzt einige virtuelle Maschinen aus, für die jeweils eine VPN-Verbindung im Windows-Betriebssystem des Gasts eingerichtet ist. Mit zunehmender Anzahl der benötigten Verbindungen erscheint es jedoch fast lächerlich, all diese Ressourcen für jede VM zu verwenden.

Gibt es jemanden, der Erfahrung mit dieser Art von Situation hat und / oder Vorschläge hat, wie man effektiver damit umgehen kann?

Stapelüberlauf ist tot
quelle
FragenL (1) Was meinen Sie mit "(10+) Client-VPN-Verbindungen"? (2) Welchen VPN-Client verwenden Sie? (2) Was ist das Betriebssystem des Hosts?
Harrymc
(4) Was machst du im VPN? Und müssen Sie insbesondere den Desktop des Servers anzeigen oder eine grafische App starten?
Harrymc
1
Warum ein Kopfgeld für "Diese Frage hat nicht genug Aufmerksamkeit erhalten" starten, wenn Sie dann nicht auf unsere Antworten und Kommentare achten?
Harrymc

Antworten:

1

Ihre Frage scheint fabelhaft zu sein und es tut mir leid, dass sie früher nicht genug Beachtung gefunden hat. Leider fehlen einige Details, die die Beantwortung erleichtern würden. Ich versuche hiermit trotzdem ein bisschen zu antworten.

Zuerst werde ich diese Informationsanfrage aus dem Weg räumen.

Sie erwähnen die VPN-Verbindungen Ihres "Clients". Dort bezieht sich der Kunde auf einen Kunden. Dann sagen Sie "Client-VPN-Verbindungen", aber ich frage mich, ob Sie sich zu diesem Zeitpunkt nicht auf einen Kunden beziehen, sondern auf eine Endbenutzer-Workstation in einem Client / Server-Modell.

Es wäre hilfreich, wenn Ihre Frage mehr Details darüber enthalten würde, wie Ihre aktuelle Subnetzkarte aussieht (natürlich mit der richtigen Fiktionierung vertraulicher Informationen).

Sprechen wir zum Beispiel über 3 Websites oder 13 oder 73? Wem gehören die Websites? Es scheint, als ob Sie das Netzwerk Ihres Kunden unterstützen, aber dann hat der Kunde Ihnen technische Netzwerkregeln auferlegt. Also, wer hat die Kontrolle? (In mehreren kleinen MSP-Unternehmen, in denen ich gearbeitet habe, hatte das Unternehmen, das die Techniker belieferte, fast die vollständige Kontrolle über alle Details und sicherlich die vollständige Kontrolle über spezifischere Details wie die Implementierung von VPNs.)

Ohne diese Details kann eine vollkommen gute Antwort für eine Umgebung für eine andere Umgebung sehr ungeeignet sein.

Aber jetzt, anstatt nur Fragen zu stellen, möchte ich versuchen, dies mit einigen Vorschlägen anzusprechen.

Einer der Schlüssel, um solche Szenarien einfacher zu machen, ist ein sauberes und gut funktionierendes Netzwerkdesign. Wenn das aktuelle Layout verschiedener Subnetze nicht funktioniert, muss dies möglicherweise neu gestaltet werden. Leider ist "Umnummerierung" bekannt dafür, teuer und herausfordernd zu sein. (Auch wenn das Gesetz scheinbar kostenlos ist, braucht es Zeit, um das Schema zu entwerfen, und es kann länger dauern, es umzusetzen.)

Es kann oft hilfreich sein, darüber nachzudenken: "Was funktioniert für Menschen, die sich in ähnlichen Situationen befinden?" Ich meine nicht die Situation, viele VPNs zu haben. Ich meine im weiteren Sinne eine Situation wie mehrere Computer an verschiedenen Standorten.

In der Regel ist das Ziel, dass Ihr eigenes internes Netzwerk gut funktioniert. Bei der Verbindung zu Remote-Netzwerken anderer Unternehmen besteht das Risiko einer Überlappung des IP-Subnetzes. Wenn Leute ziemlich anständig versuchen, das dritte IPv4-Oktett etwas zufällig zu ordnen, kann dies die Wahrscheinlichkeit von Überlappungen verringern, aber bei genügend Netzwerken kann dies sicherlich immer noch passieren (insbesondere bei 192.168.low-number oder 192.168.168) Beliebt).

Die typische Lösung für die Verarbeitung mehrerer Clients besteht darin, nicht gleichzeitig eine Verbindung zu beiden Clients herstellen zu müssen.

Letztendlich gibt es manchmal Konflikte, und das führt zu Schmerzen.

Natürlich ist es keine geeignete Alternative, Subnetze wohl oder übel neu zu nummerieren. Was oft etwas vernünftiger zu implementieren ist, ist NAT.

Bearbeiten 1: Bevor ich zu NAT gehe, möchte ich einen anderen möglichen Ansatz durchgehen. Wenn Sie IPv4 verwenden und IPv6 übernehmen können, dies aber noch nicht getan haben, kann die Verwendung dieser Technologie einen weiteren Satz von Zahlen einführen und sich gleichzeitig ziemlich produktiv anfühlen, da Ihre Lösung mehr Vorteile bietet, als nur ein IPv4-Subnetz zu verschieben, um dies zu vermeiden ein Konflikt.

Als kurze Übersicht über verschiedene Methoden zur Implementierung von NAT verwendet eine Methode PNAT, Port-based Network Address Translation, manchmal auch PAT oder NAT genannt, die häufig implementiert wird, indem nur eine IP-Adresse "überlastet" wird Mehrere Arten von Verbindungen, indem nur unterschiedliche Portnummern verwendet werden. Sie können jedoch auch "1-zu-1-NAT" verwenden, wobei ein Block von X-Adressen an einem Ort einem Block von X-Adressen an einem anderen Ort entspricht. (Dies ist möglicherweise der Ansatz, der am einfachsten zu verwenden und zu warten ist, wenn Sie nur die verfügbaren Netzwerkadressblöcke identifizieren können, um dies zu erreichen.) Die Verwendung eines 1-zu-1-NAT-Stils ist möglicherweise einfacher einzurichten als die Möglichkeit eines "Dynamic NAT" -Lösung, bei der die Adressblöcke ungleich groß sein können, möglicherweise ähnlich wie PNAT verhalten, jedoch mehrere Adressen in einem Subnetz verwenden; anstatt mehrerer Ports mit einer IP-Adresse. Wenn Sie mit PNAT mehrere Ports zuordnen, können Sie auch mehrere Adressen zuordnen. Diese Flexibilität ist jedoch häufig von unnötiger zusätzlicher Komplexität.

Das Implementieren eines solchen NAT erfordert oft einige Zeit, um zu überlegen, welche Adressen verwendet werden sollen, und es kann viel Zeit und Geschick erfordern, Regeln für Infrastrukturgeräte (Router / Firewalls / usw.) zu implementieren. Dies kann schmerzhaft sein. Nach dem Einrichten auf den Infrastrukturgeräten kann die Erfahrung für die Endbenutzer-Workstations jedoch schmerzlos sein.

Das mag ein bisschen schmerzhaft klingen. Wie ich bereits sagte: "Letztendlich gibt es manchmal Konflikte, und das führt zu Schmerzen." Ich habe offizielles Cisco-Schulungsmaterial gesehen, das für Fachleute entwickelt wurde, die Netzwerke ausbilden. Wenn die größten Organisationen der Welt Schmerzen nicht vollständig vermeiden können, können Sie dies möglicherweise auch nicht.

Für genauere Details zum technischen Design frage ich mich, ob Sie möglicherweise besser dran sind, Fragen zu NetworkEngineering.StackExchange.com zu stellen

Wenn Sie das Gefühl haben, dass Sie Probleme damit haben, dass die Anforderungen Ihres Kunden nicht gut mit dem übereinstimmen, was Sie erreichen möchten, besteht ein effektiver Weg, um mehr Rat in diesem Bereich zu erhalten, darin, sich Ihren Kunden als Arbeitgeber vorzustellen und eine Frage zu stellen wie man mit einem solchen Konflikt auf Workplace.StackExchange.com umgeht

TOOGAM
quelle
Wenn Sie der Meinung sind, dass diese Antwort nur die Oberfläche zerkratzt und die von Ihnen gesuchte Situation nicht vollständig gelöst hat, erinnere ich Sie an den Anfang meiner Antwort, in der ich sagte, dass möglicherweise weitere Details erforderlich sind, damit dies effektiv geschieht . Ich versuche nicht, Sie über die Verwendung anderer Websites zu unterrichten, als wären Sie ein Neuling, da ich sehe, dass Sie derzeit mehr als doppelt so viel Ruf haben wie ich. Ich erwähne die anderen Websites nur, um einige grundlegende Ideen zu liefern, wie Sie sich sonst möglicherweise mit bestimmten Aspekten befassen möchten. Dieses Problem klingt so komplex, dass die Lösung eine Herausforderung darstellt.
TOOGAM
Ich habe eine ähnliche Situation bei vielen VPN-Client-Verbindungen - wir verwenden jedoch Cisco AnyConnect für die überwiegende Mehrheit und die Erstellung von Profilen ist nicht besonders schwierig - es handelt sich um einfache Textdateien, die in das Profilverzeichnis kopiert werden können. In meinem Fall ist es also nicht unhandlich, Hunderte von Profilen zu erstellen. Wir können jeweils nur eine Verbindung zu einem Client-Netzwerk herstellen. Ist Ihr Problem also - mehrere VPN-Client-Software auf Ihrem Computer, die sich bei jedem Remote-Netzwerk anmelden müssen oder möglicherweise keine Verbindung zu mehreren Remote-Netzwerken herstellen können?
Ross
0

Wir stellen jeweils nur eine Verbindung zu einem Remotenetzwerk her und verwenden hauptsächlich Cisco Anyconnect, sodass widersprüchliche IP-Adressen / Bereiche kein Problem darstellen. Unserem lokalen Laptop wird im Remote-Netzwerk eine neue IP-Adresse zugewiesen, und der gesamte Datenverkehr wird über den VPN-Tunnel geleitet. Es ist kein lokaler Verkehr zulässig, obwohl dieser konfigurierbar ist. Es können mehrere lokale Computer gleichzeitig eine Verbindung herstellen, wobei es sich jeweils um eine unabhängige Verbindung handelt.

Wir haben manchmal andere VPN-Clients verwendet, obwohl wir Probleme mit mehreren Clients auf demselben Computer hatten.

Die anderen Clients, die wir verwenden, authentifizieren uns und stellen dann eine RDP-Verbindung zum Remote-Netzwerk her. Die gesamte Verwaltung und Unterstützung erfolgt in den Remotesitzungen.

Ross
quelle