Share via


Direct Access introduksjon (win7 løsning) #1

Ikke hørt om Direct Access ennå? Enten svaret er ja eller nei kan nok denne posten gi deg nødvendig introduksjon til emnet. Neste post vil inneholde mer detaljer om design og protokoller.

 

I all enkelhet

Direct Access kan forklares enkelt som sømløs VPN forbindelse. Fra brukerens ståsted vil det oppleves som å alltid være tilkoblet bedriftens nettverk og dermed ha tilgang på interne ressurser, så sant maskinen er på nett selvsagt.

For IT-Avdelingen vil det også oppleves som om maskinene til brukeren alltid er tilkoblet bedriftens nettverk, maskinene er adresserbare fra interne servere når de er på nett og kan dermed vedlikeholdes etter behov.

Den største forskjellen kontra vanlig VPN løsning er at man virkelig alltid er tilkoblet og at brukeren selv ikke gjør noe mer enn å logge seg på maskinen sin.

 

Oversikt over løsningen

Direct Access krever følgende komponenter:

  • Windows 7 Enterprise på klient maskinene. Maskinene må være med i bedriftens domene
  • Windows Server 2008 R2 på minimum en server, gatewayen inn mot bedriftens nettverk fra internett. Som regel vil en løsning i praksis bestå av mer enn en server, mtp tilgjengelighet og last balansering, samt fordeling av roller.
  • Fungerende PKI
  • IPv6 støtte ( se detaljer senere for alle unntak fra regelen)

 

Hvordan det fungerer

image

Direct Access kan autentisere maskinen først, når denne har nett tilgjengelig og deretter brukeren når denne logger på. Bruker autentisering kan gjøres med to-faktor og løsningen kan også integreres med Network Access Protection, slik at man sikrer at alle maskiner som får tilgang til interne ressurser har gyldig helse profil. Trafikken som blir sendt fra klientene til gatewayen er sikret med kryptering som i enhver gammeldags vpn løsning.

 

Selve tilkoblingen foregår over IPv6 beskyttet med IPSec. Løsningen er også såkalt split-tunnel som standard, noe som gjør at tilkoblinger til servere på Internett ikke går via “vpn” tunnelene til firmanettet, men direkte via lokal gateway og ut.

 

Dessverre er ikke IPv6 støttet som standard på størsteparten av Internett, derfor har løsningen også integrert støtte for bruk av de ulike IPv6 over IPv4 tunneleringsmetodene som er i klienten vår. (mer om disse i neste post) I praksis betyr dette at Direct Access vil tunnelere IPv6 trafikken over den IPv4 metoden som fungerer best.

 

For å sikre at man faktisk “alltid” får koblet til med Direct Access har vi også laget en egen metode for denne tunneleringen, i tillegg til standarden vi støtter. Denne tunnelerer IPv6 trafikken over HTTPS inn til gatewayen i firmanettet, noe som funker på så godt som et hvert nett, selv de nettene der de har forsøkt å låse ned alt annet enn Http(s).