9 tips voor probleemloos werken via VPN

De meeste werkende Nederlanders die afgelopen dagen gehoor gaven aan de oproep tot social distancing, hebben te maken gehad met een of meerdere van deze "opstartproblemen". Op sommige zaken heb je als gebruiker van deze diensten weinig invloed en kun je alleen afwachten tot de bedrijven die ze leveren maatregelen hebben getroffen.

Echter, je kan als IT-verantwoordelijke bij jouw bedrijf sommige problemen wél oplossen of voorkomen door  een aantal praktische tips toe te passen. Onderstaande 9 tips kunnen je helpen om performance-problemen met betrekking tot VPN op te lossen.

Tips voor processen/regels omtrent gebruik en gebruikers:

1. Bepaal welke applicaties benaderd mogen worden via VPN (en welke niet)

Denk na over wie welke toegang nodig heeft via VPN. Het is niet altijd noodzakelijk om bepaalde clouddiensten via VPN te laten benaderen door alle medewerkers. Salesforce, Exact Online, AFAS Software of Office 365 bijvoorbeeld zijn doorgaans gewoon via elke internetverbinding te gebruiken. Dit is de afweging die elk bedrijf moet maken. Communiceer duidelijk naar de medewerkers voor welke applicatie een VPN-verbinding nodig is, en laat ze er alleen bij die applicaties gebruik van maken.

Voor de applicaties die niet via VPN benaderd hoeven te worden, moet er wel een multi-factor-authenticatie of 2-factor-authenticatie worden toegepast.
Let op: Voor openbare netwerken moet je voor ALLES een VPN-verbinding gebruiken. Altijd. Dit omdat je verwacht dat een hacker op datzelfde openbare netwerk zit. Bij een WiFi van een collega die thuiswerkt is dit niet nodig mits er multi-factor-authenticatie of 2-factor-authenticatie wordt gebruikt, omdat het uitgangspunt niet is dat op dat thuisnetwerk een aanvaller aanwezig is.

2. Verbreek de VPN-verbinding bij gebruik van video of audio

Video en audio kosten substantieel meer bandbreedte dan chatberichten of email. Zorg dat medewerkers zo min mogelijk Youtube kijken via VPN, maar ook audio streamen is niet handig. 

3. Inloggen op verschillende tijdstippen

Vaak is het moment van inloggen voor een server heel zwaar. Als mensen eenmaal online zijn, is de belasting lager. Daarom moet niet iedereen tegelijk om 9 uur inloggen. Je kunt je medewerkers in groepjes verdelen en voor ieder groepje een verschillend tijdstip hanteren om in te loggen op VPN.

4. Hanteer een ploegendienst bij gebruik van VPN

Te veel mensen tegelijk aan de slag via VPN is soms simpelweg niet mogelijk. Het is een optie om medewerkers in ploegendiensten te laten werken als blijkt dat de IT-infrastructuur het niet aankan. 

Tips voor technische aanpassingen en configuratie:

5. Laat alleen verkeer voor interne servers via VPN routeren

Wanneer je alleen verkeer voor interne servers via VPN laat routeren (en het overige verkeer niet), dan scheelt dat direct veel bandbreedte.

6. Zet de compressie aan op de VPN-server

Daarmee win je bandbreedte maar het kost je meer CPU. Kom je juist CPU tekort maar geen bandbreedte, dan kan je compressie natuurlijk juist uitzetten.

7. Zorg dat je tijdig kunt opschalen

Meten is weten. Kijk naar de mogelijkheid van het monitoren op CPU-gebruik en bandbreedte en tevens op het aantal gebruikers. Als je problemen ziet, kun je tijdig opschalen.

8. Controleer de instellingen voor het maximaal aantal gebruikers in de serverconfiguratie

Staan de instellingen voor het maximaal aantal gebruikers in de serverconfiguratie te laag? Zet dit dan niet in één keer omhoog, maar doe dat in stapjes. Elke extra gebruiker kost extra CPU/bandbreedte, dus houd die metrics goed in de gaten. Als CPU/bandbreedte over het maximum heengaat, is het voor alle gebruikers traag/onbruikbaar. Het is in dat geval beter dat 70% van je mensen zonder problemen kan werken, dan helemaal niemand.

9. Maak een apart segment, een VLAN in je infrastructuur, voor kritiek verkeer

Je kunt je IT-infrastructuur opdelen in VLANs, om zo groepjes medewerkers met groepjes applicaties te laten verbinden. Dan segmenteer je het verkeer en kan je prioriteiten aanbrengen. In geval van nood kun je er dan voor kiezen om de minst kritieke applicaties minder bandbreedte toe te bedelen of zelfs niet beschikbaar te maken. Zo weet je zeker dat de belangrijkste diensten voor de juiste mensen beschikbaar blijven.