Vždy zapnuté VPN

Sir_Frates · June 14, 2025, 4:49pm

Nikdo zde nekonfiguroval vždy zapnuté VPN, můžeš shrnout, jak to funguje v nejjednodušší podobě?

pizza0666 · June 14, 2025, 4:49pm

Můžeš mít buď uživatelské nebo strojové založené vždy zapnuté. Jaký máš s tím cíl?

hunt_gather · June 14, 2025, 4:49pm

Vytvořil jsem vždy zapnuté několikráte, ne konkrétně s Palo Alto, ale momentálně řeším totéž s Palo Alto Prisma Access.

Začněte tím, proč chcete mít zapnuté vždy? Pokud máte velkou přítomnost na místě, dává to smysl, ale ne vždy pro cloudové organizace.

Máte dvě možnosti pro vždy zapnuto, pre-login VPN (založené na stroji) a post-login VPN (založené na uživateli).

Pre-login obvykle musíte vydat certifikáty pro stroj, aby bylo možné spojení důvěryhodně nebo začít ihned po zjištění sítě. To přináší všechny výzvy spojené s vydáváním a správou certifikátů na velkém množství strojů.

Pre-login je užitečné, pokud musíte se připojit k vaší místní síti před přihlášením, například pro spuštění skriptů apod. Ale nepodceňujte úsilí na správu.

Post-login - VPN založené na uživateli je flexibilnější a opět se pokusí připojit jakmile je síť zjištěna. Můžete použít certifikáty (certifikáty vydané uživatelem), nebo můžete použít přihlašovací údaje AD, spolu s HIP kontrolami a podmíněnými politikami přístupu.

Dejte si pozor na nevýhody vždy zapnutého režimu, a pamatujte - více VPN ne vždy znamená větší bezpečnost v moderním podnikání

RoseRoja · June 14, 2025, 4:49pm

to je rizikové z hlediska bezpečnosti, promyslete si to, neomezený nepověřený přístup do firemní sítě

Je lepší toto zvažovat pouze pro uživatele, kteří nepotřebují přístup k interní síti, a jejich přístup blokovat prostřednictvím bezpečnostní politiky

Pro ostatní uživatele, kteří potřebují přístup k firemní síti, je nejlepší, aby se pouze přihlásili, jinak nebudou moci vykonávat své činnosti.

IDyeti · June 14, 2025, 4:49pm

Těším se na odpovědi sám

artekau · June 14, 2025, 4:49pm

co přesně myslíš?

Povolil jsem split tunel pro místní síťový přístup, zbytek směřuje na bránu GP. Na bráně traffic buď jde na internet s veškerým vaším AV/malware/URL filtrem atd., nebo se business traffic snižuje do kancelářského tunelu.

Povolil jsem split tunel pro místní síťový přístup, zbytek jde na bránu GP. Na bráně traffic buď směřuje na internet s veškerým AV/malware/URL filtrem, nebo se obchodní traffic snižuje do kancelářského tunelu.

Toto je, co jste hledali?

Více informací zde: Set Up Prisma Access