Site-to-site VPN: Versjoner, krav og konfigurasjon

Hva er et site-to-site VPN?

Før vi går videre er det lurt å besvare hva står VPN for det henger sammen med S2S VPN-er. Dette er et virtuelt privat nettverk som kryptrer data mellom enheten din og en ekstern server før det går ut på nett. Et site-to-site VPN er en sikker VPN-forbindelse mellom to eller flere separate nettverk. I stedet for å sikre individuelle enheter, beskytter det kommunikasjonen mellom hele lokale nettverk (LAN), som et bedriftshovedkvarter og et avdelingskontor.

Denne typen VPN fungerer som et WAN (Wide Area Network) som lar team på ulike steder få tilgang til delte ressurser som om de var på samme lokale nettverk. I motsetning til andre typer WAN oppretter imidlertid et site-to-site VPN en sikker VPN-tunnel mellom flere LAN. Det brukes ofte til å:

• Koble sammen bedriftskontorer som ligger på ulike steder
• Sikre koblinger mellom lokal infrastruktur og eksterne datasentre
• Muliggjøre sikker kommunikasjon mellom partnerselskaper

Et VPN for ekstern tilgang brukes til å opprette en forbindelse mellom individuelle brukere og et sentralt nettverk (tenk på en ansatt som får tilgang til bedriftsressurser hjemmefra). Site-to-site VPN gir derimot en kryptert forbindelse mellom hele nettverk. Det ene sikrer en enhet-til-nettverk-kobling, det andre sikrer en nettverk-til-nettverk-bro.

Hvordan fungerer en site-to-site VPN?

Et site-to-site VPN kobler nettverk sikkert sammen ved å opprette en sted-til-sted-tunnel ved hjelp av VPN-protokoller som IPsec (Internet Protocol Security). Denne tunnelen krypterer all trafikk mellom nettsteder, noe som gjør den uleselig for utenforstående.

Hvert nettverk har en gateway (vanligvis en VPN-kompatibel ruter eller brannmur) som håndterer kryptering og dekryptering av trafikk. Disse gatewayene ruter data mellom nettsteder ved hjelp av forhåndsdefinerte regler, slik at enheter på ett nettverk kan kommunisere med enheter på det andre som om de var i samme bygning.

IPsec er den vanligste protokollen som brukes til dette. Den håndterer kryptering og autentisering, ofte sammen med L2TP eller GRE for tunnelering. GRE i seg selv krypterer ingenting, den bare oppretter tunnelen, så den brukes vanligvis sammen med IPsec. Noen oppsett kan bruke OpenVPN, spesielt i mer fleksible eller tilpassede konfigurasjoner.

La oss ta et eksempel fra virkeligheten. La oss si at et selskap har kontorer i Berlin og New York. Hvert sted driver sitt eget nettverk av bærbare datamaskiner, servere, printere og andre enheter. Selskapet ønsker at disse nettverkene skal fungere som ett, uten å eksponere noe for offentlig Internett. Slik gjør du det:

1. 1.VPN-gatewayer er satt opp på begge kontorene. De fungerer som sikre oversettere mellom det lokale nettverket og VPN-tunnelen.
2. 2.En tunnel etableres mellom gatewayene ved hjelp av IPsec.
3. 3.All trafikk mellom de to kontorene krypteres når den går inn i tunnelen og dekrypteres når den går ut.

Så hvis Joe i Berlin ønsker å snakke med en database i New York, går forespørselen hans gjennom Berlin-gatewayen, blir kryptert, reiser sikkert gjennom tunnelen, blir dekryptert av New York-gatewayen og sendes til databasen. Svaret tar den samme krypterte banen tilbake. Joe merker aldri noe fordi hele prosessen bare tar noen sekunder.

Krav til site-to-site VPN

For å sette opp et site-to-site VPN trenger du:

• VPN-kompatible rutere eller brannmurer på hvert sted. Maskinvaren din må støtte IPsec eller lignende protokoller.
• Offentlige IP-adresser for hver gateway. Slik finner de hverandre over internett.
• En delt VPN-protokoll. De fleste oppsett bruker IPsec for kryptering og autentisering.
• Planlegging av nettverksadresser. Unngå overlappende delnett mellom nettsteder for å holde ruting enkel.
• Administratortilgang til hvert nettverks ruter og brannmur. Du må konfigurere tunnelinnstillinger på begge sider.
• Pålitelige internettforbindelser på hvert sted. Hele oppsettet avhenger av stabil tilkobling.

Hva slags site-to-site VPN finnes?

Det finnes to hovedtyper site-to-site VPN:

• Intranettbaserte site-to-site VPN kobler sammen flere kontorer eller filialer innenfor samme organisasjon. For eksempel kan en detaljhandels-kjede koble alle butikkene sine til hovedkontoret for å opprette et enhetlig internt nettverk. Alt går over offentlig Internett, men forbindelsen er privat og sikker.
• Ekstranettbaserte site-to-site VPN brukes mellom separate organisasjoner, som leverandører, partnere eller kunder. Et ekstranettbasert VPN gir kontrollert tilgang til bestemte deler av nettverket ditt uten å åpne opp alt.

For større oppsett velger noen bedrifter et MPLS VPN, som er et privat, administrert alternativ som kan håndtere mer kompleks ruting.

Hva er forskjellen mellom et site-to-site VPN og et VPN med ekstern tilgang?

Et site-to-site VPN er forskjellig fra et virtuelt privat nettverk med ekstern tilgang. Et VPN med ekstern tilgang er den vanligste typen virtuelt privat nettverk for forbrukere, den du kan bruke på telefonen eller den bærbare datamaskinen din for personlig personvern i det daglige.

VPN-er for fjerntilgang bruker en klient/server-modell. Klienten er et program som er installert på enheten din og som ruter internettaktiviteten din gjennom en server og krypterer dataene dine når de beveger seg mellom klient og server. Dette er en effektiv måte å beskytte personvernet ditt på nett, skjerme IP-adressene til enhetene dine og begrense trusselen om mellommann-angrep.

Site-to-site VPN bruker ikke en klient/server-modell. Krypteringstunnelen går mellom gatewayene på hvert nettsted, slik at en bruker ikke trenger å ha en klient på enheten sin så lenge de sender og mottar informasjon gjennom VPN-gatewayen sin.

VPN-er for fjerntilgang kan selvfølgelig også brukes av bedrifter og større organisasjoner. Ansatte kan bruke en klient på enheten sin for å få tilgang til en bestemt bedriftsserver, for eksempel der filer og andre nettverksressurser lagres. Mange bedrifter bruker både VPN for fjerntilgang og site-to-site VPN.

Hva er forskjellen mellom site-to-site VPN og et point-to-site VPN?

Site-to-site VPN kobler sammen hele nettverk og er bra for bedrifter med flere kontorer som trenger en konstant, sikker forbindelse mellom lokasjoner. De fungerer som en bro mellom lokasjoner, slik at team kan dele ressurser som om de var på samme lokale nettverk.

Point-to-site VPN, derimot, er laget for individuelle brukere. De lar eksterne ansatte sikkert koble seg til kontornettverket uansett hvor de er: hjemme, på en kafé eller på farten. Det er fleksibelt, brukerfokusert og perfekt for bedrifter med en distribuert arbeidsstyrke.

Slik lager du en site-to-site VPN tunnel

La oss ta en titt på trinnene for å sette opp en site-to-site VPN tunnel:

1. 1.Velg VPN-kompatible rutere eller brannmurer på hvert sted.
2. 2.Konfigurer hver enhet med:

• Statiske offentlige IP-adresser slik at de kan finne hverandre.
• Samsvarende VPN-protokoll (IPsec er vanlig).
• Samsvarende krypteringsinnstillinger.3. Definer lokale og eksterne delnett for å fortelle hver gateway hvilken trafikk som skal gå via tunnelen.4. Konfigurer autentisering (forhåndsdelt nøkkel eller digitalt sertifikat).5. Åpne nødvendige brannmurporter (vanligvis UDP 500 og 4500 for IPsec).6. Test tunnelen for å sikre at trafikken er kryptert og at rutingen er riktig.

Slik konfigurerer du site-to-site VPN

For å konfigurere et site-to-site VPN, trenger du tilgang til en VPN-kompatibel ruter eller brannmur på hvert sted. Følg disse trinnene for å konfigurere det:

1. 1.Logg inn på administrasjonsgrensesnittet til ruteren eller brannmuren din.
2. 2.Gå til VPN-delen og velg «Site-to-site»- eller «IPsec»-VPN.
3. 3.Angi det lokale delnettet (ditt interne nettverk) og den eksterne motpartens offentlige IP-adresse.
4. 4.Angi det eksterne delnettet (det andre stedets interne nettverk).
5. 5.Velg krypterings- og autentiseringsinnstillinger (som AES eller SHA).
6. 6.Skriv inn en forhåndsdelt nøkkel eller last opp digitale sertifikater.
7. 7.Aktiver NAT-traversering om nødvendig (avhenger av nettverksoppsettet ditt).
8. 8.Lagre og bruk innstillingene.
9. 9.Gjenta konfigurasjonen på den eksterne enheten.
10. 10.Test forbindelsen for å bekrefte at tunnelen fungerer.

Hva er de beste fremgangsmåtene for oppsett av et site-to-site-VPN?

Å få tunnelen opp er én ting – å holde den sikker og stabil er noe annet. Noen gode fremgangsmåter vil hjelpe deg med å gjøre det riktig:

• Bruk sterk kryptering som AES-256 med IPsec
• Oppdater firmware regelmessig på alle VPN-enheter
• Begrens tilgang ved hjelp av brannmurregler
• Sjekk loggene regelmessig og sett opp varsler for uvanlig trafikk
• Aktiver failover-konfigurasjoner hvis høy tilgjengelighet er kritisk

Hvilken maskinvare kreves for et site-to-site VPN?

Du trenger ikke fancy bedriftsutstyr for å kjøre et site-to-site VPN, men du trenger de riktige verktøyene:

• En ruter eller brannmur som støtter VPN-protokoller fra sted til sted (som IPsec)
• Doble WAN-rutere hvis du ønsker internettredundans eller lastbalansering
• VPN-konsentratorer for administrasjon av flere tunneler i store nettverk
• Et modem for en stabil internettforbindelse på hvert sted

Det er også verdt å merke seg at maskinvaren bør ha tilstrekkelig prosessorkraft til å håndtere kryptering uten å påvirke nettverksytelsen.

Hva er fordelene med site-to-site VPN?

Fordeler med site-to-site VPN for organisasjoner i alle størrelser inkluderer:

• Forbedret datasikkerhet. Et site-to-site-VPN krypterer data som overføres mellom brukere eller forskjellige steder (det er den krypterte VPN-tunnelen vi refererte til tidligere). Det betyr at hvis ondsinnede aktører fanger opp data når de er på vei mellom nettsteder, vil det bare være synlig for dem som uforståelig kode uten riktig dekrypteringsnøkkel.
• Strømlinjeformet ressursdeling. Selv om dette er en fordel med de fleste WAN-er, er det verdt å nevne her. Et site-to-site VPN lar ansatte på steder rundt om i verden kommunisere, dele ressurser og få sikker tilgang til sensitiv data. Det er en flott måte å opprettholde synergi på tvers av en spredt arbeidsstyrke, forutsatt at alle har tilgang til stedene der gatewayene er satt opp.
• Enkel onboarding. En fordel med å bruke et site-to-site VPN-nettverkssikkerhetsløsning er at den ikke er avhengig av en klient/server-modell. I stedet for å kreve at alle brukere i et bedriftsnettverk installerer spesifikk klientprogramvare på enhetene sine, kan de bare koble til VPN-gatewayen og begynne å dra nytte av den nevnte datasikkerheten. Å bruke en ikke-klientmodell hjelper også i de sjeldne tilfellene der bestemte operativsystemer og enheter ikke er kompatible med VPN-programvare.

Hva er begrensningene med site-to-site-VPN?

Site-to-site-VPN har også noen begrensninger du bør huske på:

• Uegnet for fjernarbeid. Siden 2020 har fjernarbeid blitt mye mer normalisert. Som et resultat jobber mange ansatte hjemmefra eller fra coworking-områder, hvor de ikke har tilgang til en angitt VPN-gateway. Det samme gjelder for alle organisasjoner som er avhengige av frilansere, som sjelden har fysisk tilgang til nettstedene som et VPN kobler til.
• Begrenset sikkerhet og personvern. Uansett hvor sikre VPN-protokollene dine er, beskytter et site-to-site VPN bare data når de beveger seg mellom gatewayer. LAN-ene på hver side av disse gatewayene er ikke nødvendigvis trygge mot nettkriminelle og snokere, så når informasjon er dekryptert og sendt til en bestemt enhet på et nettsted, kan den bli eksponert. Dette er et område der klient/server-VPN har en fordel siden data som beveger seg til og fra individuelle klientinstallerte enheter vanligvis er kryptert.
• Desentralisert distribusjon og administrasjon. Selv om mange selskaper tar i bruk VPN-løsninger for å forbedre nettverkssikkerheten, foretrekker de fleste systemer som kan distribueres og administreres fra et sentralt kontrollpunkt. Sentralisert administrasjon forbedrer teknisk feilsøking og sikkerhet. Å sette opp et site-to-site VPN involverer forskjellige team på forskjellige steder, noe som gjør sentralisert administrasjon vanskeligere.

Hvorfor bruke site-to-site-VPN for B2B-kommunikasjon?

Du bør bruke site-to-site-VPN for B2B-kommunikasjon fordi det har mange fordeler:

• Sikkerhet. All trafikk krypteres mellom nettverk, noe som reduserer eksponeringen for trusler.
• Kontroll. Du bestemmer nøyaktig hvilke deler av nettverket partnerne eller entreprenørene dine har tilgang til.
• Kostnadseffektivitet. Det fjerner behovet for dyre innleide linjer eller dedikerte kretser.
• Komfort Det får ekstern tilgang til å føles som om den skjer i ditt eget nettverk.

Hvordan bruker bedriftsnettverk site-to-site-VPN?

Site-to-site-VPN lar bedrifter operere som én enhet, uansett hvor mange lokasjoner de har. Slik bruker bedrifter dem:

• Sikker datadeling på tvers av globale kontorer
• Sentraliserte sikkerhetskopier fra avdelingskontorer
• Aktivering av interne apper (som CRM eller ERP) på tvers av alle nettsteder
• Tilgang til delte databaser og verktøy
• Opprette en enhetlig sikkerhetspolicy på tvers av lokasjoner
• Hybrid fleksibilitet som kombinerer site-to-site-VPN for kontornettverk med VPN for ekstern tilgang for ansatte som jobber hjemmefra eller i felt.

Er et site-to-site-VPN bedre enn et nettbasert VPN?

Det kommer an på hva du trenger:

• Et site-to-site-VPN er bygget for å koble sammen hele nettverk. Det er best for intern forretningsdrift og partnertilgang.
• Nettbasert VPN (som SSL VPN) er perfekt for personer som trenger rask, nettleserbasert tilgang til bestemte apper eller tjenester. Det er fint for sporadisk fjernbruk, men ikke bygget for full nettverksintegrasjon.

Er et VPN riktig for bedriften din?

Et VPN kan forbedre personvernet og datasikkerheten på nett for de fleste bedrifter. NordLayer er en av de mest effektive B2B VPN-løsningene som er tilgjengelige, tilbyr mange alternativer til bedrifter i alle størrelser. Hvis du velger NordLayer site-to-site VPN-tjenesten, kan du dra nytte av dedikerte gatewayer for alle LAN-ene dine.

Selv om du allerede har en nettverksløsning, for eksempel MPLS, kan NordLayer spille en nøkkelrolle i din overordnede strategi for nettsikkerhet. NordLayer tilbyr også en klient/server-modell, som lar organisasjoner dele data og ressurser sikkert med arbeidere både på og utenfor kontoret.

NordVPN: Alternativ programvareløsning til site-to-site-VPN

NordVPN tilbyr et enklere og rimeligere alternativ til tradisjonelle site-to-site-VPN, spesielt for små bedrifter som trenger sikker fjerntilgang. Selv om det ikke er et site-to-site-VPN, kan bedrifter bruke en dedikert IP-adresse for å gi eksterne ansatte sikker og kontrollert tilgang til nettverket sitt uten kompleksiteten til et tradisjonelt oppsett.

Med funksjoner som AES-256-kryptering, et globalt servernettverk og ekstra sikkerhetsalternativer som Double VPN, sørger NordVPN for at tilkoblinger er raske og sikre. I tillegg gjør det brukervennlige grensesnittet og den døgnåpne kundeservicen det til et godt valg for bedrifter som trenger pålitelig fjerntilgang uten et komplisert oppsett.