Bij het verbinden van bijkantoren met het hoofdkantoor voor gebruik heeft niet elk bedrijf meteen de functionele omvang van een VPN-client nodig. Site-to-site VPN’s zijn hier een goed alternatief en zijn minstens zo veilig. Hier leest u hoe site-to-site VPN’s werken en hoe ze verschillen van standaard VPN’s.
Inhoudsopgave
1 Wat is een site-to-site VPN en waarin verschilt het van een “gewone” VPN?
Met een site-to-site VPN kunnen kantoren op verschillende (vaste) locaties beveiligde verbindingen tot stand brengen via een openbaar netwerk. Daartoe worden de volledige netwerken met elkaar verbonden via een OpenVPN-tunnel. Het tunnel eindpunt kan bijvoorbeeld een router, gateway, Windows server of zelfs een software client zijn. Het Site-2-Site VPN is dus een soort uitbreiding van het bedrijfsnetwerk, waarmee de werknemers van de verschillende vestigingen toegang krijgen tot de middelen van een of meer andere vestigingen.
In principe zijn er twee soorten site-to-site VPN’s:
- Bij op intranet gebaseerde Site-2-Site VPN’s heeft het bedrijf één of meer externe locaties (met afzonderlijke LAN’s) die via één enkel particulier netwerk (WAN) met elkaar zijn verbonden.
- Bij een extranet-gebaseerd Site-2-Site VPN daarentegen zijn de LAN’s van verschillende bedrijven met elkaar verbonden. Op die manier kunnen zij samenwerken in een beveiligde, gedeelde netwerkomgeving, terwijl de toegang tot hun eigen intranet wordt verhinderd.
De hosts binnen het Site-2-Site VPN gebruiken geen clientsoftware, maar verzenden en ontvangen gewoon TCP/IP-verkeer via een zogenaamde VPN-gateway. Deze gateway zorgt ook voor de inkapseling en versleuteling van het uitgaande dataverkeer.
Uitleg: In de informatietechnologie verwijst “inkapseling” naar de gelaagdheid van pakketten.
Het verkeer wordt dan via de VPN-tunnel over het netwerk naar een bijbehorende bestemmingsgateway gestuurd, die de headers ontcijfert en de inhoud van het pakket doorstuurt naar de bestemmingshost binnen het privénetwerk. Alle verzonden informatie moet zich daarbij authentiseren (met een digitale handtekening of een digitaal certificaat).
2. instellen van S2S VPN: Geen extra configuratie vereist
Site-to-site VPN’s zijn schaalbaar, wat betekent dat verbindingen onzichtbaar over het centrale netwerk worden gerouteerd zonder extra configuratie. Daarom is het in principe vrij eenvoudig om een nieuw filiaal of kantoor toe te voegen aan een bestaand netwerk. Het enige wat gedaan moet worden is de poorten die door de verbinding (aan beide zijden) worden gebruikt vrijgeven in de firewallregels voor de WAN-interface.
Het meest gebruikte tunnelprotocol voor site-to-site VPN’s is IPSec ESP (Encapsulating Security Payload). Dit is een “versterkte” versie van het IP-protocol dat ook op het Internet en in de meeste moderne bedrijfsnetwerken wordt aangetroffen. Als alternatief kan MPLS (Multi-Protocol Label Switching) worden gebruikt, maar dit biedt geen versleuteling.
Voor toegang op afstand wordt PPTP (Point to Point Tunneling Protocol) of L2TP (Layer 2 Tunneling Protocol) via IPsec gebruikt, dat ook veel veiliger is dan PPTP. De laatste jaren zijn er echter steeds meer alternatieve oplossingen op basis van SSL gekomen. Deze gebruiken de webbrowser als VPN-client, maar vereisen meestal extra componenten (bv. Java-applets).
Meer informatie over DNS forwarding binnen site-to-site VPN’s vindt u onder meer hier.
Goed om te weten: u kunt Site-2-Site VPN’s ook als dienst afnemen en door externe specialisten laten beheren. Deze variant is vooral interessant voor kleine en middelgrote bedrijven die slechts beperkte middelen ter beschikking kunnen stellen in termen van personeel en productkosten of zich gewoonweg niet willen bezighouden met het beheer van een VPN in het algemeen.
In de volgende video worden ook enkele VPN-varianten gepresenteerd: