Beheer

9 tips voor probleemloos werken via VPN
Zo los je die performanceproblemen op
Veel bedrijven hebben in deze uitzonderlijke dagen te kampen met onvoorziene load op hun IT-systemen. Je zou kunnen zeggen dat er de afgelopen dagen veel performancetesten op productieomgevingen zijn uitgevoerd. Werkt bij jouw bedrijf alles naar behoren? Of kun je wel wat hulp gebruiken met performanceproblemen?
De VPN-verbindingen van bedrijven moeten nu een veel grotere hoeveelheid thuiswerkers verwerken dan ooit. Toepassingen voor online samenwerken haperen op het moment dat we ze het meest nodig hebben. Netwerkaanbieders zien een flinke stijging in hun verkeer.
De meeste werkende Nederlanders die afgelopen dagen gehoor gaven aan de oproep tot social distancing, hebben te maken gehad met een of meerdere van deze "opstartproblemen". Op sommige zaken heb je als gebruiker van deze diensten weinig invloed en kun je alleen afwachten tot de bedrijven die ze leveren maatregelen hebben getroffen.
Echter, je kan als IT-verantwoordelijke bij jouw bedrijf sommige problemen wél oplossen of voorkomen door een aantal praktische tips toe te passen. Onderstaande 9 tips kunnen je helpen om performance-problemen met betrekking tot VPN op te lossen.
Tips voor processen/regels omtrent gebruik en gebruikers:
1. Bepaal welke applicaties benaderd mogen worden via VPN (en welke niet)
Denk na over wie welke toegang nodig heeft via VPN. Het is niet altijd noodzakelijk om bepaalde clouddiensten via VPN te laten benaderen door alle medewerkers. Salesforce, Exact Online, AFAS Software of Office 365 bijvoorbeeld zijn doorgaans gewoon via elke internetverbinding te gebruiken. Dit is de afweging die elk bedrijf moet maken. Communiceer duidelijk naar de medewerkers voor welke applicatie een VPN-verbinding nodig is, en laat ze er alleen bij die applicaties gebruik van maken.
Voor de applicaties die niet via VPN benaderd hoeven te worden, moet er wel een multi-factor-authenticatie of 2-factor-authenticatie worden toegepast.
Let op: Voor openbare netwerken moet je voor ALLES een VPN-verbinding gebruiken. Altijd. Dit omdat je verwacht dat een hacker op datzelfde openbare netwerk zit. Bij een WiFi van een collega die thuiswerkt is dit niet nodig mits er multi-factor-authenticatie of 2-factor-authenticatie wordt gebruikt, omdat het uitgangspunt niet is dat op dat thuisnetwerk een aanvaller aanwezig is.
2. Verbreek de VPN-verbinding bij gebruik van video of audio
Video en audio kosten substantieel meer bandbreedte dan chatberichten of email. Zorg dat medewerkers zo min mogelijk Youtube kijken via VPN, maar ook audio streamen is niet handig.
3. Inloggen op verschillende tijdstippen
Vaak is het moment van inloggen voor een server heel zwaar. Als mensen eenmaal online zijn, is de belasting lager. Daarom moet niet iedereen tegelijk om 9 uur inloggen. Je kunt je medewerkers in groepjes verdelen en voor ieder groepje een verschillend tijdstip hanteren om in te loggen op VPN.
4. Hanteer een ploegendienst bij gebruik van VPN
Te veel mensen tegelijk aan de slag via VPN is soms simpelweg niet mogelijk. Het is een optie om medewerkers in ploegendiensten te laten werken als blijkt dat de IT-infrastructuur het niet aankan.
Tips voor technische aanpassingen en configuratie:
5. Laat alleen verkeer voor interne servers via VPN routeren
Wanneer je alleen verkeer voor interne servers via VPN laat routeren (en het overige verkeer niet), dan scheelt dat direct veel bandbreedte.
6. Zet de compressie aan op de VPN-server
Daarmee win je bandbreedte maar het kost je meer CPU. Kom je juist CPU tekort maar geen bandbreedte, dan kan je compressie natuurlijk juist uitzetten.
7. Zorg dat je tijdig kunt opschalen
Meten is weten. Kijk naar de mogelijkheid van het monitoren op CPU-gebruik en bandbreedte en tevens op het aantal gebruikers. Als je problemen ziet, kun je tijdig opschalen.
8. Controleer de instellingen voor het maximaal aantal gebruikers in de serverconfiguratie
Staan de instellingen voor het maximaal aantal gebruikers in de serverconfiguratie te laag? Zet dit dan niet in één keer omhoog, maar doe dat in stapjes. Elke extra gebruiker kost extra CPU/bandbreedte, dus houd die metrics goed in de gaten. Als CPU/bandbreedte over het maximum heengaat, is het voor alle gebruikers traag/onbruikbaar. Het is in dat geval beter dat 70% van je mensen zonder problemen kan werken, dan helemaal niemand.
9. Maak een apart segment, een VLAN in je infrastructuur, voor kritiek verkeer
Je kunt je IT-infrastructuur opdelen in VLANs, om zo groepjes medewerkers met groepjes applicaties te laten verbinden. Dan segmenteer je het verkeer en kan je prioriteiten aanbrengen. In geval van nood kun je er dan voor kiezen om de minst kritieke applicaties minder bandbreedte toe te bedelen of zelfs niet beschikbaar te maken. Zo weet je zeker dat de belangrijkste diensten voor de juiste mensen beschikbaar blijven.
Als ik kijk naar onze eigen organisatie dan zijn er groepen medewerkers die eigenlijk geen VPN nodig hebben (ze gebruiken met name cloud-diensten), groepen die altijd via VPN verbinden zoals onze security-specialisten, en groepen die daar tussenin zitten. Dat is de situatie die ik bedoelde onder mijn eerste punt. Je zou het kunnen samenvatten als 'gebruik VPN alleen als het moet'.
In punt 5 maak ik het punt waar jij ook op doelt, je kunt er voor kiezen om alleen verkeer voor interne servers via het VPN te routeren.
Zoals je zelf ook zegt, je moet dit goed inregelen. Dat impliceert dat je er vooraf goed over na moet denken, maar dat is in de hectiek van deze tijd niet altijd mogelijk geweest.
>> Communiceer duidelijk naar de medewerkers voor welke applicatie een VPN-verbinding nodig is, en laat ze er alleen bij die applicaties gebruik van maken
Sorry hoor, maar wat een onzin. Bij het opzetten van je split-tunnel (!) VPN moet je dit gewoon goed inregelen: Alleen de verkeerstromen die naar binnen moeten routeer je via de VPN, alle overige niet.
Je gaat toch niet echt aan gebruikers vragen om steeds de VPN aan en weer uit te zetten? En wat als gebruikers10 (web-) tools tegelijk gebruiken? VPN aan of uit?
Dit is een echt een vreemd advies. Full tunnel VPN is sowieso (voor toegang tot bedrijfsresources) niet meer van deze tijd. Tenzij je bij defensie werkt of overdreven security-aware bent misschien, maar dan niet klagen over je audio of video verbinding.