Site-to-site VPN’er: Typer, krav og konfigurering

Hvad er en site-to-site VPN?

Et site-to-site virtuelt privat netværk (VPN) er en sikker VPN-forbindelse mellem to eller flere separate netværk. I stedet for at sikre individuelle enheder beskytter det kommunikationen mellem hele lokale netværk (LAN'er), f.eks. et hovedkontor og en filial.

Denne type VPN fungerer som et wide area network (WAN) og giver teams på forskellige lokationer adgang til delte ressourcer, som om de befandt sig på det samme lokale netværk. I modsætning til andre typer WAN opretter et site-to-site VPN imidlertid en sikker VPN-tunnel mellem flere LAN'er. Det bruges ofte til at:

• forbinde geografisk fjerntliggende virksomhedskontorer.
• sikre forbindelser mellem lokal infrastruktur og eksterne datacentre.
• muliggøre sikker kommunikation mellem partnervirksomheder.

En VPN med fjernadgang bruges til at oprette en forbindelse mellem individuelle brugere og et centralt netværk (tænk på en medarbejder, der får adgang til virksomhedens ressourcer fra hjemmet). Imidlertid giver site-to-site VPN'er en krypteret forbindelse mellem hele netværk. Den ene sikrer en forbindelse mellem en enhed og et netværk, den anden sikrer en bro mellem netværk.

Hvordan fungerer en site-to-site VPN-forbindelse?

En site-to-site VPN forbinder netværk sikkert ved at oprette en site-to-site-tunnel ved hjælp af VPN-protokoller som IPsec (Internet Protocol Security). Denne tunnel krypterer al trafik mellem websteder, så den er ulæselig for uvedkommende.

Hvert netværk har en gateway (normalt en VPN-kompatibel router eller firewall), der håndterer kryptering og dekryptering af trafik. Disse gateways dirigerer data mellem steder ved hjælp af foruddefinerede regler, så enheder på det ene netværk kan kommunikere med enheder på det andet, som om de befandt sig i samme bygning.

IPsec er den mest almindelige protokol, der bruges til dette. Den håndterer kryptering og autentificering, ofte sammen med L2TP eller GRE til tunneling. GRE krypterer ikke noget – den opretter blot tunnelen, så den bruges typisk sammen med IPsec. Nogle opsætninger kan bruge OpenVPN, især i mere fleksible eller tilpassede konfigurationer.

Lad os tage et eksempel fra virkeligheden. Lad os sige, at en virksomhed har kontorer i København og New York. Hver lokation kører sit eget netværk af bærbare computere, servere, printere og andre enheder. Virksomheden ønsker, at disse netværk skal fungere som ét, uden at noget bliver eksponeret for det offentlige internet. For at gøre det skal:

1. VPN-gateways være sat op i begge kontorer. De fungerer som sikre oversættere mellem det lokale netværk og VPN-tunnellen.

2. En tunnel være etableret mellem de gateways, der bruger IPsec.

3. Al trafik mellem de kontorer være krypteret når det føres ind i tunnellen og dekrypteres, når det kommer ud af tunnellen.

Så hvis Joakim i København vil søge i en database i New York, går hans anmodning gennem gatewayen i København, krypteres, sendes sikkert gennem tunnelen, dekrypteres af gatewayen i New York og videresendes til databasen. Svaret følger den samme krypterede vej tilbage. Joakim bemærker intet – hele processen tager kun få sekunder.

Site-to-site VPN-krav

For at kunne sætte en site-to-site VPN op har du brug for:

• VPN-kompatible routere eller firewalls på hver lokation. Din hardware skal understøtte IPsec eller lignende protokoller.
• Offentlige IP-adresser for hver gateway. Sådan finder de hinanden på internettet.
• En delt VPN-protokol. De fleste opsætninger bruger IPsec til kryptering og godkendelse.
• Planlægning af netværksadresser. Undgå overlappende undernetværk mellem lokaliteter for at holde routingen enkel.
• Administratoradgang til hvert netværks router og firewall. Du skal konfigurere tunnelindstillingerne på begge sider.
• Pålidelig internetforbindelse på hvert site. Hele opsætningen afhænger af en stabil internetforbindelse.

Hvilke typer site-to-site VPN'er findes der?

Der eksisterer to overordnede site-to-site VPN’er:

• Intranetbaserede site-to-site VPN'er forbinder flere kontorer eller filialer inden for samme organisation. For eksempel kan en detailkæde forbinde alle sine butikker til hovedkontoret for at skabe et samlet internt netværk. Alt kører via det offentlige internet, men forbindelsen er privat og sikker.
• Extranet-baserede site-to-site VPN'er bruges mellem separate organisationer, såsom leverandører, partnere eller kunder. Et extranet-baseret VPN giver kontrolleret adgang til bestemte dele af dit netværk uden at åbne det hele.

Til større opsætninger vælger nogle virksomheder en MPLS VPN, et privat, administreret alternativ, der kan håndtere mere kompleks routing.

Hvad er forskellen mellem en site-to-site VPN og en fjernadgangs-VPN?

En site-to-site VPN adskiller sig fra et virtuelt privat netværk med fjernadgang. En VPN med fjernadgang er den mest almindelige type virtuelt privat netværk til forbrugere, som du måske bruger på din telefon eller bærbare computer til personlig privatlivsbeskyttelse i hverdagen.

VPN'er med fjernadgang bruger en klient/server-model. Klienten er et program, der er installeret på din enhed, og som dirigerer din internetaktivitet gennem en server og krypterer dine data, når de sendes mellem klienten og serveren. Dette er en effektiv måde at beskytte dit privatliv online, skjule IP-adresserne på dine enheder og begrænse truslen fra man-in-the-middle-angreb.

Site-to-site VPN'er bruger ikke en klient/server-model. Krypteringstunnelen kører mellem gateways på hvert sted, så en bruger ikke behøver at have en klient på sin enhed, så længe vedkommende sender og modtager oplysninger via sin VPN-gateway.

VPN'er til fjernadgang kan naturligvis også bruges til virksomheder og større organisationer. Medarbejdere kan f.eks. bruge en klient på deres enhed til at få adgang til en bestemt virksomhedsserver, hvor filer og andre netværksressourcer er gemt. Mange virksomheder bruger både VPN'er til fjernadgang og site-to-site VPN'er.

Hvad er forskellen mellem en site-to-site VPN og en point-to-site VPN?

Site-til-site VPN'er forbinder hele netværk og er ideelle til virksomheder med flere kontorer, der har brug for en konstant, sikker forbindelse mellem lokationer. De fungerer som en bro mellem lokationer, så teams kan dele ressourcer, som om de befinder sig på det samme lokale netværk.

Point-to-site VPN'er er derimod lavet til individuelle brugere. De giver fjernmedarbejdere mulighed for at oprette en sikker forbindelse til kontornetværket, uanset hvor de befinder sig: hjemme, på en café eller på farten. Det er fleksibelt, brugerfokuseret og perfekt til virksomheder med en spredt arbejdsstyrke.

Sådan opretter du en site-to-site VPN-tunnel

Lad os se på trinene til opsætning af en site-to-site VPN-tunnel:

1. 1.Vælg VPN-kapable routere eller firewalls på hvert site.
2. 2.Konfigurer hver enhed med:
   • Statiske offentlige IP-adresser så de kan finde hinanden.
   • Matchende VPN-protokoller (IPsec bruges ofte).
   • Matchende krypteringsindstillinger.
3. 3.Definér lokale og eksterne undernetværk for at fortælle hver gateway, hvilken trafik der skal igennem tunnellen.
4. 4.Konfigurer godkendelse (foruddefineret nøgle eller digitalt certifikat).
5. 5.Åbn de nødvendige firewallporte (normalt UDP 500 og 4500 for IPsec).
6. 6.Test tunnelen for at sikre, at trafikken er krypteret, og at routingen er korrekt.

Sådan foretager du site-to-site VPN-konfigureringen

For at konfigurere en site-til-site VPN skal du have adgang til en VPN-kompatibel router eller firewall på hvert sted. Følg disse trin for at konfigurere det:

1. 1.Log ind på din routers eller firewalls administrationsgrænseflade.
2. 2.Gå til VPN-sektionen og vælg ‘Site-to-site’ eller ‘IPsec’ VPN.
3. 3.Indstil det lokale undernet (dit interne netværk) og den eksterne peers offentlige IP.
4. 4.Indtast det eksterne undernet (det andet sites interne netværk).
5. 5.Vælg dine krypterings- og godkendelsesindstillinger (f.eks. AES eller SHA).
6. 6.Indtast en foruddefineret nøgle, eller upload digitale certifikater.
7. 7.Aktivér NAT-traversal, hvis det er nødvendigt (afhængigt af din netværksopsætning).
8. 8.Gem og anvend indstillingerne.
9. 9.Gentag konfigurationen på den eksterne enhed.
10. 10.Test forbindelsen for at bekræfte, at tunnelen fungerer.

Hvad er de bedste fremgangsmåder for opsætning af VPN mellem to lokationer?

At få tunnelen op at køre er én ting – at holde den sikker og stabil er noget andet. Her er et par gode råd, der hjælper dig med at gøre det rigtigt:

• Brug stærk kryptering som AES-256 med IPsec.
• Opdater firmware regelmæssigt på alle VPN-enheder.
• Begræns adgangen ved hjælp af firewall-regler.
• Kontroller logfiler regelmæssigt, og opsæt alarmer for usædvanlig trafik.
• Aktivér failover-konfigurationer, hvis høj tilgængelighed er afgørende.

Hvilken hardware er påkrævet for en site-to-site VPN?

Du behøver ikke avanceret udstyr til virksomheder for at køre en site-to-site VPN, men du skal have de rigtige værktøjer:

• En router eller firewall, der understøtter site-to-site VPN-protokoller (som IPsec).
• Dual-WAN-routere, hvis du ønsker internetredundans eller belastningsfordeling.
• VPN-koncentratorer til administration af flere tunneler i store netværk.
• Et modem til en stabil internetforbindelse på hver lokation.

Det er også værd at bemærke, at hardwaren skal have tilstrækkelig processorkraft til at håndtere kryptering uden at påvirke netværkets ydeevne.

Hvad er fordelene ved en site-to-site VPN?

Site-to-site VPN-fordelene for virksomheder og organisationer af alle størrelser omfatter: 

• Øget datasikkerhed. En site-to-site VPN krypterer data, der overføres mellem brugere eller forskellige lokationer (det er den krypterede VPN-tunnel, vi nævnte tidligere). Det betyder, at hvis ondsindede aktører opfanger data, mens de overføres mellem lokationer, vil de kun kunne se dem som uforståelig kode uden den rette dekrypteringsnøgle.
• Strømlinet ressourcedeling. Selvom dette er en fordel ved de fleste WAN'er, er det værd at nævne her. En site-to-site VPN giver medarbejdere på lokationer over hele verden mulighed for at kommunikere, dele ressourcer og få sikker adgang til følsomme data. Det er en fantastisk måde at opretholde synergi på tværs af en spredt arbejdsstyrke, forudsat at alle har adgang til de lokationer, hvor gateways er opsat.
• Nem onboarding. En fordel ved at bruge en site-to-site VPN-netværkssikkerhedsløsning er, at den ikke er afhængig af en klient/server-model. I stedet for at kræve, at alle brugere på et virksomhedsnetværk installerer specifik klientsoftware på deres enheder, kan de bare oprette forbindelse til VPN-gatewayen og begynde at drage fordel af den ovennævnte datasikkerhed. Brug af en ikke-klientmodel hjælper også i de sjældne tilfælde, hvor bestemte operativsystemer og enheder ikke er kompatible med VPN-software.

Hvad er begrænsningerne ved site-to-site VPN’er?

Site-til-site VPN'er har også nogle begrænsninger, som du bør være opmærksom på:

• Uegnet til fjernarbejde. Siden 2020 er fjernarbejde blevet meget mere normalt. Som følge heraf arbejder mange medarbejdere hjemmefra eller fra kontorfællesskaber, hvor de ikke har adgang til en dedikeret VPN-gateway. Det samme gælder for alle organisationer, der er afhængige af freelancere, som sjældent har fysisk adgang til de steder, som VPN'en forbinder.
• Begrænset sikkerhed og privatliv. Uanset hvor sikre dine VPN-protokoller er, beskytter en site-to-site VPN kun data, mens de overføres mellem gateways. LAN'erne på begge sider af disse gateways er ikke nødvendigvis beskyttet mod cyberkriminelle og snushaner, så når informationen er dekrypteret og sendt til en bestemt enhed på et websted, kan den blive eksponeret. Dette er et område, hvor klient/server-VPN'er har en fordel, da data, der sendes til og fra individuelle klientinstallerede enheder, normalt er krypteret.
• Decentraliseret implementering og administration. Mens mange virksomheder implementerer VPN-løsninger for at forbedre netværkssikkerheden, foretrækker de fleste systemer, der kan implementeres og administreres fra et centralt kontrolpunkt. Centraliseret administration forbedrer teknisk fejlfinding og sikkerhed. Opsætning af en site-to-site VPN involverer forskellige teams på forskellige steder, hvilket gør centraliseret administration vanskeligere.

Hvorfor bør man bruge site-to-site VPN’er til B2B-kommunikation?

Du bør bruge en site-to-site VPN til B2B-kommunikation, da den har mange fordele: 

• Sikkerhed. Al trafik mellem netværk er krypteret, hvilket reducerer risikoen for trusler.
• Kontrol. Du bestemmer nøjagtigt, hvilke dele af dit netværk dine partnere eller underleverandører har adgang til.
• Omkostningseffektivitet. Det fjerner behovet for dyre lejede linjer eller dedikerede kredsløb.
• Bekvemmelighed. Det føles, som om ekstern adgang foregår inden for dit eget netværk.

Hvordan udnytter virksomhedsnetværk site-to-site VPN'er?

Site-to-site VPN'er giver virksomheder mulighed for at fungere som en enkelt enhed, uanset hvor mange lokationer de har. Sådan bruger virksomheder dem:

• Sikker datadeling på tværs af globale kontorer.
• Centraliserede sikkerhedskopier fra filialer.
• Aktivering af interne apps (f.eks. CRM eller ERP) på alle lokationer.
• Adgang til delte databaser og værktøjer.
• Oprettelse af en samlet sikkerhedspolitik på tværs af lokationer.
• Hybrid fleksibilitet, der kombinerer site-to-site VPN'er til kontornetværk med fjernadgangs-VPN til medarbejdere, der arbejder hjemmefra eller i marken.

Er en site-to-site VPN bedre end en web-baseret VPN?

Det kommer helt an på hvad du har brug for:

• En site-to-site VPN er udviklet til at forbinde hele netværk. Den er bedst til interne forretningsaktiviteter og partneradgang.
• Webbaseret VPN (som SSL VPN) er perfekt til personer, der har brug for hurtig, browserbaseret adgang til bestemte apps eller tjenester. Den er god til lejlighedsvis fjernbrug, men er ikke udviklet til fuld netværksintegration.

Er en VPN den rette løsning for din virksomhed?

En VPN kan øge dit online privatliv og datasikkerheden for de fleste virksomheder. NordLayer, en af de mest effektive B2B VPN-løsninger på markedet, tilbyder en række forskellige muligheder til virksomheder af alle størrelser. Hvis du vælger NordLayer site-to-site VPN-tjeneste, kan du drage fordel af dedikerede gateways til alle dine LAN-netværk.

Selvom du allerede har en netværksløsning – f.eks. MPLS – kan NordLayer spille en vigtig rolle i din overordnede cybersikkerhedsstrategi. NordLayer tilbyder også en klient/server-model, der giver organisationer mulighed for sikkert at dele data og ressourcer med medarbejdere både på og uden for kontoret.

NordVPN: Alternativ softwareløsning til site-to-site VPN'er

NordVPN tilbyder et enklere og mere overkommeligt alternativ til traditionelle site-to-site VPN'er, især til små virksomheder, der har brug for sikker fjernadgang. Selvom det ikke er en site-to-site VPN, kan virksomheder bruge en dedikeret IP til at give fjernmedarbejdere sikker og kontrolleret adgang til deres netværk uden kompleksiteten ved en traditionel opsætning.

Med funktioner som AES-256-kryptering, et globalt servernetværk og ekstra sikkerhedsindstillinger som Double VPN sikrer NordVPN, at forbindelserne er hurtige og sikre. Derudover gør den brugervenlige grænseflade og 24/7 kundesupport det til et godt valg for virksomheder, der har brug for pålidelig fjernadgang uden en kompliceret opsætning.