VPN и удаленная работа

Question

[mejedi]

Приветствую!

Сейчас я работаю удаленно, и получаю доступ в сеть компании через VPN. Проблема заключается в том, что у меня больше одного компьютера (в основном виртуалки), и с каждого из них нужен доступ в офисную сетку. Сейчас я вручную настраиваю VPN на каждом из компьютеров. Но это неудобно, поэтому я думаю над оптимизацией своей инфраструктуры.

Как лучше решить мою проблему?

Я вижу два возможных решения. Первый вариант — поднять VPN клиента на роутере, и пускать мою подсеть в офисную сетку через NAT. В этом решении я вижу один существенный минус — нельзя будет установить соединение из офисной сетки с моей машиной (иногда бывает нужно).

Второй вариант требует установки дополнительного девайса в офисе. Можно к примеру использовать EoIP. Минусы — надо договариваться с админами.

Еще надо каким-то образом не пускать «бытовые» устройства (ex: ноутбук жены) в рабочую сеть. При этом связь в направлении я—другие бытовые устройства и обратно иногда нужна. Разводить на отдельные подсети/VLAN-ы?

Чувствую, уговорить админов будет очень сложно.

В довершение всех бед, я полный ламер в настройке сетей.

Answer 1

[Максим Клюшков]

При наличии порядка 10 виртуалок, проще вручную на каждой настроить VPN. Можно написать bash-скрипт, который упростит вам жизнь, если конечно одинаковые операционные системы.

Когда будет порядка 50-100 виртуалок, тогда стоит задуматься об автоматизации, а что такое 10 систем настроить, делов на 10-30 минут.

Comments

[mejedi]

Склоняюсь к тому же мнению.

[Alexander Yankovskiy]

По-моему, проще всего поднять виртуалку-роутер с впн-ом и через неё пускать необходимые компы в корп.сеть. И жена изолирована и гемора меньше. На реальных компах просто роутер другой указать и всё.

Answer 2

[Максим Клюшков]

Поднять VPN-клиента на роутере и пробросить необходимые(или все, настроив DMZ) порты на ваш компьютер разве не вариант?

Comments

[mejedi]

Да, вариант. Одно но — виртуалки не будут доступны из офиса (на виртуалках сеть в bridged-режиме). Софт деплоится и тестируется в виртуалках. Иногда (очень редко) бывает нужно пригласить коллегу с удаленным отладчиком.

[Максим Клюшков]

Портов много, пробрасывайте… ну или поднимите необходимое кол-во VPN-клиентов на роутере и делайте DNZ на каждую виртуалку.

[mejedi]

Интересно, это как-то автоматизировать можно? Просто если руками, это ничем не лучше, чем настроить один раз VPN на каждой виртуалке.

[Максим Клюшков]

Сколько же у вас виртуалок?

[mejedi]

Порядка 10.

[yurnov]

Для коллег, которым нужен доступ — найтройте portforwarding на nat, что-б разные порты форвардились на ssh разных виртуалок, при необходимости коллега конектится по ssh в нужную виртуалку, внутри ssh-тунеля можно ганять почти все что надо

Answer 3

[Влад Животнев]

VPNом можно не только адреса раздавать, но и подсети.

Answer 4

[Виталий Перетятько]

если роутер достаточно интеллектуален, то можно поднять VPN соединение с него и настроить маршрутизацию, чтоб все машины в локалке были доступны через VPN

Comments

[mejedi]

А можно подробнее? Допустим роутер установил ppp-соединение с офисом с помощью VPN-клиента. На это соединение выделен 1 айпишник в офисной сети. Как теперь из офисной сети попасть на «все машины в (домашней) локалке»?

[Виталий Перетятько]

надо настроить чтоб роутер не натил соединения через инет, а на роутере рабочей сети прописать маршрут что к вашей домашней сети надо ходить через шлюз — IP роутера.

[Виталий Перетятько]

FIX: не натил соединения через инет -> не натил соединения через VPN

[mejedi]

Врядли мне дадут менять роутинг в офисной сети.

[Виталий Перетятько]

тогда пропишите маршрут только на своем компьютере, с которого вам надо будет коннектится домой. Надеюсь хоть на нем у вас права админа есть?

[mejedi]

«пропишите маршрут только на своем компьютере, с которого вам надо будет коннектится домой»
Мне не надо коннектиться домой. Я удаленно работаю, то есть дома. Иногда (редко) коннектиться надо коллегам в офисе.

Answer 5

[digreen]

А проброс портов на роутере с vpn-клиентом не устроит?
И модель роутера указали бы.

Comments

[mejedi]

Проброс портов руками ведь придется делать?
Роутера пока нет. Как вариант — Mikrotik 750G.

Answer 6

[kuzemchik]

Мы используем OpenVPN. Руками ничего на конкретной машине настраивать не нужно, все включая сети маршрутизацию, логины/пароли прилетает с конфигом.

Answer 7

[postgree]

У себя (дома или где там) используете подсеть отличную от офисной, понимаете соединение на роутере и настраиваете маршрутизацию в офисе на вашу подсеть через впн сервер. Никаких пробросов не нужно.