Beheer

Netwerken
thuiswerk

9 tips voor probleemloos werken via VPN

Zo los je die performanceproblemen op

19 maart 2020

Veel bedrijven hebben in deze uitzonderlijke dagen te kampen met onvoorziene load op hun IT-systemen. Je zou kunnen zeggen dat er de afgelopen dagen veel performancetesten op productieomgevingen zijn uitgevoerd. Werkt bij jouw bedrijf alles naar behoren? Of kun je wel wat hulp gebruiken met performanceproblemen? 

De VPN-verbindingen van bedrijven moeten nu een veel grotere hoeveelheid thuiswerkers verwerken dan ooit. Toepassingen voor online samenwerken haperen op het moment dat we ze het meest nodig hebben. Netwerkaanbieders zien een flinke stijging in hun verkeer. 

De meeste werkende Nederlanders die afgelopen dagen gehoor gaven aan de oproep tot social distancing, hebben te maken gehad met een of meerdere van deze "opstartproblemen". Op sommige zaken heb je als gebruiker van deze diensten weinig invloed en kun je alleen afwachten tot de bedrijven die ze leveren maatregelen hebben getroffen.

Echter, je kan als IT-verantwoordelijke bij jouw bedrijf sommige problemen wél oplossen of voorkomen door  een aantal praktische tips toe te passen. Onderstaande 9 tips kunnen je helpen om performance-problemen met betrekking tot VPN op te lossen.

Tips voor processen/regels omtrent gebruik en gebruikers:

1. Bepaal welke applicaties benaderd mogen worden via VPN (en welke niet)

Denk na over wie welke toegang nodig heeft via VPN. Het is niet altijd noodzakelijk om bepaalde clouddiensten via VPN te laten benaderen door alle medewerkers. Salesforce, Exact Online, AFAS Software of Office 365 bijvoorbeeld zijn doorgaans gewoon via elke internetverbinding te gebruiken. Dit is de afweging die elk bedrijf moet maken. Communiceer duidelijk naar de medewerkers voor welke applicatie een VPN-verbinding nodig is, en laat ze er alleen bij die applicaties gebruik van maken.

Voor de applicaties die niet via VPN benaderd hoeven te worden, moet er wel een multi-factor-authenticatie of 2-factor-authenticatie worden toegepast.
Let op: Voor openbare netwerken moet je voor ALLES een VPN-verbinding gebruiken. Altijd. Dit omdat je verwacht dat een hacker op datzelfde openbare netwerk zit. Bij een WiFi van een collega die thuiswerkt is dit niet nodig mits er multi-factor-authenticatie of 2-factor-authenticatie wordt gebruikt, omdat het uitgangspunt niet is dat op dat thuisnetwerk een aanvaller aanwezig is.

2. Verbreek de VPN-verbinding bij gebruik van video of audio

Video en audio kosten substantieel meer bandbreedte dan chatberichten of email. Zorg dat medewerkers zo min mogelijk Youtube kijken via VPN, maar ook audio streamen is niet handig. 

3. Inloggen op verschillende tijdstippen

Vaak is het moment van inloggen voor een server heel zwaar. Als mensen eenmaal online zijn, is de belasting lager. Daarom moet niet iedereen tegelijk om 9 uur inloggen. Je kunt je medewerkers in groepjes verdelen en voor ieder groepje een verschillend tijdstip hanteren om in te loggen op VPN.

4. Hanteer een ploegendienst bij gebruik van VPN

Te veel mensen tegelijk aan de slag via VPN is soms simpelweg niet mogelijk. Het is een optie om medewerkers in ploegendiensten te laten werken als blijkt dat de IT-infrastructuur het niet aankan. 

Tips voor technische aanpassingen en configuratie:

5. Laat alleen verkeer voor interne servers via VPN routeren

Wanneer je alleen verkeer voor interne servers via VPN laat routeren (en het overige verkeer niet), dan scheelt dat direct veel bandbreedte.

6. Zet de compressie aan op de VPN-server

Daarmee win je bandbreedte maar het kost je meer CPU. Kom je juist CPU tekort maar geen bandbreedte, dan kan je compressie natuurlijk juist uitzetten.

7. Zorg dat je tijdig kunt opschalen

Meten is weten. Kijk naar de mogelijkheid van het monitoren op CPU-gebruik en bandbreedte en tevens op het aantal gebruikers. Als je problemen ziet, kun je tijdig opschalen.

8. Controleer de instellingen voor het maximaal aantal gebruikers in de serverconfiguratie

Staan de instellingen voor het maximaal aantal gebruikers in de serverconfiguratie te laag? Zet dit dan niet in één keer omhoog, maar doe dat in stapjes. Elke extra gebruiker kost extra CPU/bandbreedte, dus houd die metrics goed in de gaten. Als CPU/bandbreedte over het maximum heengaat, is het voor alle gebruikers traag/onbruikbaar. Het is in dat geval beter dat 70% van je mensen zonder problemen kan werken, dan helemaal niemand.

9. Maak een apart segment, een VLAN in je infrastructuur, voor kritiek verkeer

Je kunt je IT-infrastructuur opdelen in VLANs, om zo groepjes medewerkers met groepjes applicaties te laten verbinden. Dan segmenteer je het verkeer en kan je prioriteiten aanbrengen. In geval van nood kun je er dan voor kiezen om de minst kritieke applicaties minder bandbreedte toe te bedelen of zelfs niet beschikbaar te maken. Zo weet je zeker dat de belangrijkste diensten voor de juiste mensen beschikbaar blijven.

Reactie toevoegen
2
Reacties
Marc-David Meijer 20 maart 2020 13:15

Als ik kijk naar onze eigen organisatie dan zijn er groepen medewerkers die eigenlijk geen VPN nodig hebben (ze gebruiken met name cloud-diensten), groepen die altijd via VPN verbinden zoals onze security-specialisten, en groepen die daar tussenin zitten. Dat is de situatie die ik bedoelde onder mijn eerste punt. Je zou het kunnen samenvatten als 'gebruik VPN alleen als het moet'.

In punt 5 maak ik het punt waar jij ook op doelt, je kunt er voor kiezen om alleen verkeer voor interne servers via het VPN te routeren.

Zoals je zelf ook zegt, je moet dit goed inregelen. Dat impliceert dat je er vooraf goed over na moet denken, maar dat is in de hectiek van deze tijd niet altijd mogelijk geweest.

Ap 19 maart 2020 13:03

>> Communiceer duidelijk naar de medewerkers voor welke applicatie een VPN-verbinding nodig is, en laat ze er alleen bij die applicaties gebruik van maken

Sorry hoor, maar wat een onzin. Bij het opzetten van je split-tunnel (!) VPN moet je dit gewoon goed inregelen: Alleen de verkeerstromen die naar binnen moeten routeer je via de VPN, alle overige niet.
Je gaat toch niet echt aan gebruikers vragen om steeds de VPN aan en weer uit te zetten? En wat als gebruikers10 (web-) tools tegelijk gebruiken? VPN aan of uit?
Dit is een echt een vreemd advies. Full tunnel VPN is sowieso (voor toegang tot bedrijfsresources) niet meer van deze tijd. Tenzij je bij defensie werkt of overdreven security-aware bent misschien, maar dan niet klagen over je audio of video verbinding.