Site-to-site VPN’s: soorten, vereisten en configuratie

Wat is een site-to-site VPN?

Een site-to-site virtual private network (VPN) is een beveiligde verbinding tussen twee of meer gescheiden netwerken. In plaats van alleen losse apparaten te beveiligen, beschermt het de communicatie tussen volledige lokale netwerken (LAN’s) – bijvoorbeeld tussen het hoofdkantoor van een bedrijf en een vestiging.

Dit type VPN werkt als een wide area network (WAN), waardoor teams op verschillende locaties toegang hebben tot gedeelde resources alsof ze zich in hetzelfde lokale netwerk bevinden. Maar in tegenstelling tot andere soorten WAN’s creëert een site-to-site VPN een beveiligde VPN-tunnel die meerdere afzonderlijke LAN’s met elkaar verbindt. Het wordt vaak gebruikt om:

• Bedrijfslocaties op grote afstand met elkaar te verbinden.
• Veilige koppelingen te maken tussen lokale infrastructuur en externe datacenters.
• Veilige communicatie tussen partnerbedrijven mogelijk te maken.

Een remote access VPN verbindt individuele gebruikers met een centraal netwerk, bijvoorbeeld wanneer een medewerker vanuit huis bedrijfsbestanden opent. Een site-to-site VPN daarentegen versleutelt de verbinding tussen volledige netwerken. Het eerste beveiligt dus een link van apparaat naar netwerk, het tweede een brug van netwerk naar netwerk.

Hoe werkt een site-to-site VPN-verbinding?

Een site-to-site VPN verbindt netwerken veilig met elkaar via een beveiligde tunnel die gebruikmaakt van VPN-protocollen zoals IPsec (Internet Protocol Security). Deze tunnel versleutelt al het verkeer tussen de locaties, waardoor het voor buitenstaanders onleesbaar is.

IPsec is het meest gebruikte protocol hiervoor. Het zorgt voor encryptie en authenticatie en wordt vaak gecombineerd met L2TP of GRE voor het tunnelen. GRE versleutelt zelf niets, maar maakt alleen de tunnel, en wordt daarom meestal samen met IPsec gebruikt. In sommige configuraties wordt OpenVPN ingezet, vooral bij flexibele of op maat gemaakte oplossingen.

Laten we een praktisch voorbeeld nemen. Stel dat een bedrijf kantoren heeft in Berlijn en New York. Elke locatie heeft een eigen netwerk met laptops, servers, printers en andere apparaten. Het bedrijf wil dat deze netwerken naadloos samenwerken als één geheel, zonder dat er informatie toegankelijk is via het openbare internet. Om dat te realiseren:

1. 1.In beide kantoren worden VPN-gateways ingesteld. Deze werken als beveiligde “vertalers” tussen het lokale netwerk en de VPN-tunnel.
2. 2.Tussen de gateways wordt een tunnel opgezet met behulp van IPsec.
3. 3.Al het verkeer tussen de twee kantoren wordt versleuteld zodra het de tunnel ingaat en weer ontsleuteld wanneer het de tunnel verlaat.

Dus als Bram in Berlijn een database in New York wil raadplegen, gaat zijn verzoek via de gateway in Berlijn, waar het wordt versleuteld. Vervolgens reist het verzoek veilig door de tunnel, waarna het in New York door de gateway wordt ontsleuteld en doorgestuurd naar de database. Het antwoord volgt dezelfde versleutelde route terug. Bram merkt hier niets van – dit hele proces duurt slechts enkele seconden.

Wat heb je nodig voor een site-to-site VPN

Om een site-to-site VPN op te zetten, heb je het volgende nodig:

• Routers of firewalls met VPN-ondersteuning op elke locatie. De hardware moet IPsec of vergelijkbare protocollen ondersteunen.
• Openbare IP-adressen voor elke gateway, zodat deze elkaar via het internet kunnen vinden.
• Een gedeeld VPN-protocol. In de meeste gevallen wordt IPsec gebruikt voor encryptie en authenticatie.
• Adresindeling voor het netwerk, zodat de subnetten op de verschillende locaties niet overlappen om het routeren eenvoudig te houden. Dit houdt ook in dat je de subnetmaskers correct moet configureren om te zorgen dat het verkeer goed tussen de netwerken kan worden gerouteerd.
• Beheerdersrechten voor de router en firewall van elk netwerk, zodat je de tunnelinstellingen aan beide kanten kunt configureren. Een VPN op de router instellen is belangrijk om de beveiligde verbinding goed te laten functioneren.
• Betrouwbare internetverbindingen op alle locaties, want het hele systeem valt of staat met stabiele connectiviteit.

Soorten site-to-site VPN’s

Er zijn twee soorten site-to-site VPN’s:

• Intranet-gebaseerde site-to-site VPN’s verbinden meerdere kantoren of filialen binnen dezelfde organisatie. Zo kan een winkelketen al haar vestigingen koppelen aan het hoofdkantoor om één gezamenlijk intern netwerk te creëren. Alles loopt via het openbare internet, maar de verbinding is privé en beveiligd.

• Extranet-gebaseerde site-to-site-VPN’s worden gebruikt tussen verschillende organisaties, zoals leveranciers, partners of klanten. Hiermee kun je gecontroleerd toegang geven tot specifieke delen van je netwerk, zonder dat je het hele netwerk openstelt.

Voor grotere omgevingen kiezen sommige bedrijven voor een MPLS-VPN: een privé, beheerd alternatief dat geschikt is voor complexere routering.

Wat is het verschil tussen een site-to-site VPN en een remote access VPN?

Een site-to-site VPN werkt anders dan een remote access VPN. Een remote access VPN is het meestgebruikte type VPN voor consumenten – het soort dat je op je telefoon of laptop installeert om je dagelijkse online activiteiten privé te houden.

Zo’n VPN gebruikt een client-servermodel: de client is een app op je apparaat die je internetverkeer via een server leidt en alle gegevens versleutelt terwijl ze tussen client en server worden verzonden. Dit biedt een sterke bescherming van je privacy, verandert het IP-adres van je apparaat en verkleint de kans op man-in-the-middle-aanvallen.

Site-to-site VPN’s werken niet met een client-servermodel. De versleutelde tunnel loopt rechtstreeks tussen de gateways op beide locaties. Daardoor heeft een gebruiker geen speciale VPN-app nodig, zolang al het verkeer maar via de lokale VPN-gateway gaat.

Remote access VPN’s worden natuurlijk ook door bedrijven en grote organisaties gebruikt. Medewerkers kunnen bijvoorbeeld via een client-app op hun apparaat verbinding maken met een specifieke bedrijfsserver waar bestanden en andere netwerkbronnen staan. Veel organisaties gebruiken remote access VPN’s en site-to-site VPN’s naast elkaar.

Wat is het verschil tussen een site-to-site VPN en een point-to-site VPN?

Site-to-site VPN’s verbinden complete netwerken en zijn ideaal voor bedrijven met meerdere kantoren die een constante, veilige verbinding tussen locaties nodig hebben. Ze fungeren als een brug tussen locaties, zodat teams bestanden en andere resources kunnen delen alsof ze in hetzelfde lokale netwerk werken.

Point-to-site VPN’s zijn daarentegen bedoeld voor individuele gebruikers. Hiermee kunnen medewerkers op afstand veilig verbinding maken met het bedrijfsnetwerk, waar ze ook zijn – thuis, in een café of in de trein. Deze oplossing is flexibel, gebruiksvriendelijk en perfect voor bedrijven met medewerkers die op verschillende locaties werken.

Een site-to-site VPN-tunnel opzetten

Laten we de stappen bekijken om een site-to-site VPN-tunnel op te zetten:

1. 1.Kies routers of firewalls met VPN-ondersteuning voor elke locatie.
2. 2.Stel elk apparaat in met:

• Openbare, statische IP-adressen zodat de locaties elkaar kunnen vinden.
• Hetzelfde VPN-protocol (meestal IPsec).
• Dezelfde encryptie-instellingen.

1. 1.Bepaal de lokale en externe subnetten, zodat elke gateway weet welk verkeer door de tunnel moet.
2. 2.Stel authenticatie in (een vooraf gedeelde sleutel of een digitaal certificaat).
3. 3.Open de benodigde firewallpoorten (meestal UDP 500 en 4500 voor IPsec).
4. 4.Test de tunnel om te controleren of het verkeer versleuteld wordt en de routering correct werkt.

Hoe configureer je een site-to-site VPN?

Om een site-to-site VPN te configureren, heb je op elke locatie toegang nodig tot een router of firewall met VPN-ondersteuning. Volg daarna deze stappen om de verbinding op te zetten:

1. 1.Log in op de beheerinterface van je router of firewall.
2. 2.Ga naar het VPN-gedeelte en kies ‘site-to-site’ of ‘IPsec’.
3. 3.Stel het lokale subnet in (je interne netwerk) en het openbare IP-adres van de externe locatie.
4. 4.Voer het externe subnet in (het interne netwerk van de andere locatie).
5. 5.Kies je instellingen voor encryptie en authenticatie (bijvoorbeeld AES of SHA).
6. 6.Voer een vooraf gedeelde sleutel in of upload digitale certificaten.
7. 7.Schakel NAT-traversal in als dat nodig is (afhankelijk van je netwerkconfiguratie).
8. 8.Sla de instellingen op en pas ze toe.
9. 9.Herhaal de configuratie op het apparaat van de externe locatie.
10. 10.Test de verbinding om te bevestigen dat de tunnel werkt.

Site-to-site VPN opzetten: best practices

Het opzetten van de tunnel is één ding, maar zorgen dat deze veilig en stabiel blijft is iets anders. Met een paar best practices kun je dat goed regelen:

• Gebruik sterke encryptie, zoals AES-256 met IPsec.
• Werk de firmware op alle VPN-apparaten regelmatig bij.
• Beperk de toegang met firewallregels.
• Controleer regelmatig de logbestanden en stel waarschuwingen in voor ongewoon verkeer.
• Schakel failover-configuraties in als hoge beschikbaarheid belangrijk is.

Welke hardware heb je nodig voor een site-to-site VPN?

Je hebt geen dure enterprise-apparatuur nodig om een site-to-site VPN te gebruiken, maar wél de juiste tools:

• Een router of firewall die site-to-site VPN-protocollen ondersteunt (zoals IPsec).
• Dual-WAN-routers als je internetredundantie of loadbalancing wilt.
• VPN-concentrators om meerdere tunnels te beheren in grootschalige netwerken.
• Een modem voor een stabiele internetverbinding op elke locatie.

Het is ook belangrijk dat de hardware genoeg rekenkracht heeft om de encryptie uit te voeren zonder dat dit de netwerkprestaties nadelig beïnvloedt.

Wat zijn de voordelen van site-to-site VPN’s?

Site-to-site VPN-voordelen voor organisaties van elke omvang zijn onder andere:

• Verbeterde gegevensbeveiliging. Een site-to-site VPN versleutelt de gegevens die tussen gebruikers op verschillende locaties worden overgedragen (dit gaat via de versleutelde VPN-tunnel waar we het eerder over hadden). Dit betekent dat, als kwaadwillenden de gegevens onderscheppen terwijl deze tussen de locaties worden verzonden, ze alleen onleesbare code te zien krijgen.
• Makkelijker delen van resources. Hoewel dit een voordeel is van de meeste WAN's, is het toch belangrijk om te noemen. Een site-to-site VPN stelt werknemers op verschillende locaties over de wereld in staat om met elkaar te communiceren, middelen te delen en veilig toegang te krijgen tot gevoelige gegevens. Het is een uitstekende manier om synergie te behouden binnen een verspreid team, mits iedereen toegang heeft tot de sites waar de gateways zijn ingesteld.
• Eenvoudige implementatie. Een voordeel van het gebruik van een site-to-site VPN is dat het niet afhankelijk is van een client/server-model. In plaats van dat alle gebruikers op een bedrijfsnetwerk specifieke client-software op hun apparaten moeten installeren, kunnen ze zich gewoon verbinden met de VPN-gateway en direct profiteren van de gegevensbeveiliging. Dit alternatief biedt ook een oplossing in gevallen waarin bepaalde besturingssystemen en apparaten niet compatibel zijn met VPN-software.

Wat zijn de nadelen van site-to-site VPNs?

Site-to-site VPN’s hebben ook een aantal beperkingen:

• Niet geschikt voor thuiswerken. Sinds 2020 is thuiswerken veel normaler geworden. Als gevolg hiervan werken veel medewerkers vanuit huis of gedeelde werkplekken, waar ze geen toegang hebben tot een specifieke VPN-gateway. Dit geldt ook voor organisaties die afhankelijk zijn van freelancers, die zelden fysiek toegang hebben tot de locaties waarmee de VPN verbinding maakt.
• Beperkte beveiliging en privacy. Hoe veilig je VPN-protocollen ook zijn, een site-to-site VPN beschermt alleen de gegevens die tussen de gateways reizen. De LAN’s aan beide zijden van die gateways zijn niet per se veilig voor cybercriminelen en nieuwsgierige ogen, dus zodra informatie is ontsleuteld en naar een specifiek apparaat op een locatie wordt gestuurd, is deze kwetsbaar. Dit is een gebied waar client/server-VPN's een voordeel hebben, omdat gegevens die naar en van individuele apparaten reizen meestal versleuteld zijn.
• Gedecentraliseerde implementatie en beheer. Hoewel veel bedrijven VPN-oplossingen implementeren om netwerkbeveiliging te verbeteren, geven de meeste voorkeur aan systemen die centraal kunnen worden beheerd. Centrale beheersystemen maken technische probleemoplossing en beveiliging eenvoudiger. Het opzetten van een site-to-site VPN vereist samenwerking tussen verschillende teams op verschillende locaties, waardoor centraal beheer moeilijker wordt.

Is een site-to-site VPN geschikt voor B2B-communicatie?

Jazeker, je zou een site-to-site VPN moeten gebruiken voor B2B-communicatie, omdat het veel voordelen biedt:

• Beveiliging. Al het verkeer tussen netwerken wordt versleuteld, waardoor de blootstelling aan bedreigingen wordt verminderd.
• Controle. Je hebt volledige controle over welke delen van je netwerk partners of aannemers kunnen bereiken.
• Kostenbesparing. Het vervangt de noodzaak voor dure huurlijnen (dedicated communicatielijnen) of speciale verbindingen.
• Gemak. Het maakt externe toegang zo naadloos dat het voelt alsof je je in hetzelfde netwerk bevindt.

Hoe profiteren bedrijfsnetwerken van site-to-site VPN's?

Site-to-site VPN's stellen bedrijven in staat om te functioneren als één geheel, ongeacht het aantal locaties dat ze hebben. Dit biedt veel voordelen:

• Veilig delen van gegevens tussen kantoren wereldwijd.
• Gecentraliseerde back-ups van filialen.
• Toegang tot interne apps (zoals CRM of ERP) op alle locaties.
• Toegang tot gedeelde databases en tools.
• Een uniforme beveiligingspolicy voor alle locaties.
• Hybride flexibiliteit, waarbij site-to-site VPN's voor kantoornetwerken worden gecombineerd met remote access VPN’s voor medewerkers die thuis of in het buitenland werken

Is een site-to-site VPN beter dan een webgebaseerde VPN?

Dat hangt af van wat je nodig hebt:

• Een site-to-site VPN is ontworpen om volledige netwerken met elkaar te verbinden. Het is ideaal voor interne bedrijfsactiviteiten en om partners toegang tot netwerken te geven.
• Een webgebaseerde VPN (zoals SSL VPN) is perfect voor individuen die snel via een browser toegang nodig hebben tot specifieke apps of diensten. Het is af en toe handig voor remote access, maar niet geschikt voor volledige netwerkintegratie.

Is een VPN geschikt voor jouw bedrijf?

Een VPN kan de online privacy en gegevensbeveiliging van de meeste bedrijven verbeteren. NordLayer, een van de meest effectieve B2B VPN-oplossingen, biedt verschillende opties voor bedrijven van elk formaat. Als je kiest voor de NordLayer site-to-site VPN-dienst, profiteer je van dedicated gateways voor al je LAN's.

Zelfs als je al een netwerkoplossing hebt, zoals MPLS, kan NordLayer een belangrijke rol spelen in je algehele cybersecuritystrategie. NordLayer biedt ook een client/server-model, waarmee organisaties veilig gegevens en middelen kunnen delen met werknemers, zowel op kantoor als op afstand.

NordVPN: een alternatieve software-oplossing voor site-to-site VPN's.

NordVPN biedt een eenvoudigere en goedkopere oplossing voor remote access dan traditionele site-to-site VPN's, vooral voor kleine bedrijven die veilige toegang op afstand nodig hebben. Hoewel het geen site-to-site VPN is, kunnen bedrijven een dedicated IP gebruiken om remote werknemers veilig en gecontroleerd toegang te geven tot hun netwerk, zonder de complexiteit van een traditionele setup.

Met functies zoals AES-256-encryptie, een wereldwijd servernetwerk en extra beveiligingsopties zoals dubbele encryptie, garandeert NordVPN snelle en veilige verbindingen. Bovendien maakt de gebruiksvriendelijke interface en 24/7 klantenservice het een uitstekende keuze voor bedrijven die betrouwbare toegang op afstand nodig hebben, maar geen zin hebben in een ingewikkelde installatie.