Hidayat - IDJKT IT PROGRAMMER said the following on 02/11/11 17:27 +07:00: > Pada awalnya plan ini muncul setelah ada plan sentralisasi internet > di pusat, cabang semua terkoneksi via VPN, di karenakan VPN provider > yang terlalu tinggi memberikan SLA 99.5% yang mengakibatkan linenya > sendiri sering "tus-bung" (terbebani SLA) :( terpaksa kami belum > berani menerapkan sentralisasi internet dan email.
Sepengamatan saya umumnya problem VPN bukan di koneksi melainkan salah implementasi disisi pemakai/user, dalam hal ini yang bertanggung jawab adalah bagian IT infrastructure. Umumnya user beranggapan bahwa dengan koneksi VPN maka 2 LAN yang berbeda lokasi (secara geographis berjauhan) bisa digabung menjadi satu LAN, sehingga tidak dilakukan pembatasan-2x (filtering) layaknya koneksi di LAN. Padahal koneksi VPN kan kapasitas bandwidthnya beda, tidak 1 GBps atau 100 MBps seperti di LAN. Mestinya jika kapasitas bandwidth yang dimiliki tidak sebesar kapasitas/kecepatan di LAN maka wajib dilakukan filtering/restriction. Kesalahan yang paling umum terjadi adalah semua node di LAN A bisa/diperbolehkan connect ke node di LAN B, padahal hal itu tidak perlu. Mestinya cukupkan di allow connection dari client dan server di LAN A ke server only di LAN B dan sebaliknya. Kalau aplikasi di server memungkinkan dilakukannya data sync, maka gunakan distributed processing dengan cara install aplikasi sejenis di semua server LAN dan lakukan periodic data sync (SQL server misalkan punya fasilitas ini built in). Terakhir adalah masalah setting di desktop client, karena kalau semua node terhubung secara WAN maka ada problem di salah satu node (bisa) berpengaruh terhadap keseluruhan jaringan. Kesalahan yang umum terjadi adalah server-2x nya di proteksi dengan firewall dan antivirus, bahkan lebih buruk lagi server diletakkan di DMZ :-( Mestinya di semua client diaktifkan personal firewall (apapun O/S nya ada fasilitas ini built in), semua incoming traffic diblock dan outgoing traffic hanya allow tcp/udp port yang memang diperlukan untuk koneksi ke Server saja misalkan tcp port 110 (POP3), tcp port 143 (IMAP), tcp port 587 (MSA), tcp port 80/443 (http/https), tcp port 21 (ftp), tcp/udp port 53 (DNS), tcp port 445 (netbios over tcp/ip, untuk connect ke file server). Dengan cara ini maka router/firewall tidak kerja keras, kalau node/client mengalam problem (misalkan terinfeksi virus) tidak mengganggu node neighborhood (tetangganya) maupun jaringan. -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, running MDaemon 12.5.1 beta A Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. --[MDaemon-L]------------------------------------------------ Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: <http://www.netmeister.org/news/learn2quote> Arsip: <http://mdaemon-l.dutaint.com> Dokumentasi : <http://mdaemon.dutaint.co.id> Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 12.5, SP 4.1.3, OC 2.2.8, SG 2.0.6, PP 2.0.0
