Как лучше организовать работу из удаленного офиса?

Question

[Андрей Ермаченок]

Есть производственная фирма в небольшом городе.
Есть помещение (офис) в столице с Инетем, в котором нужно установить компьютер (ноут) и организовать рабочее место для командированных сотрудников.
То есть, Юрист, Директор, Продажник, Снабженец или другой сотрудник может приехать в этот офис для переговоров с контрагентами или еще для чего, и ему нужно обеспечить доступ к корпоративной файлопомойке, корпоративному чату, 1С бухгалтерии, CRM, принтерам в главном офисе, ... В общем, ко всей информационной инфраструктуре, к которой он имел доступ на своем рабочем месте в главном офисе.
Напрашиваются варианты:
1. Подключение по RDP к серверу, и работа в терминале.
2. Подключение TeamViewer'ом к компу сотрудника на рабочем месте в главном офисе.
3. Установить с компьютера VPN соединение с главным офисом и работа под своей учетной записью AD - скорость Инета до 10Мбит.
4. Поставить оборудование МикроТик в оба офиса и организовать постоянное VPN соединение.
5. Еще варианты?
И естественно мне не хотелось бы постоянно ездить в удаленный офис что-то подстраивать, заводить новых пользователей и т.п. Рядом с нашим офисом в столице "живет" дружественная фирма - можно попросить всегда включить наш комп или перезапустить МикроТик, если он там будет.
Кто что может посоветовать из личного опыта?

Answer 1

[cssman]

Если пофиг как реализовать с точки зрения корпоративной политики и безопасности - то оставьте rdp и teamviewer.
+ инструкцию для тех, кто собирается в командировку не забыть установить tv и(или) включить подключение по rdp на своём рабочем ПК.

Если не пофиг и хотите мониторить, защищать такие подключения - поставьте vpn клиент на ноуте и выпускайте сертификаты для пользователей.

Оба случая будут полезны также тем, кто захочет поработать из дома, но второё безопасное и best practices. Первое - просто и лениво. Делать site-to-site vpn для такой задачи бессмысленно.

Comments

[kmg4e]

Делать site-to-site vpn для такой задачи бессмысленно.

Зато и просто и надежно одновременно

[cssman]

kmg4e: есть такое выражение "по воробьям из пушки"
если скажете чем проще и надёжнее client-to-site vpn - поставлю памятник.

[kmg4e]

cssman:
1. пользователям ничего не нужно делать. включил и работает.
2. админ может спокойно спать - мышь не проскочит.

при условии наличия контроля над физическим доступом, естественно.

[Андрей Ермаченок]

cssman: Пушка уже есть - куплено под другую задачу,но не использовано 2 маленьких роутера МикроТик

[Андрей Ермаченок]

Спасибо! Не, политики никакой нет.
Получается Микро Тики проще, чем без них:
0. Установить на ноуте TV с запомненным паролем, чтобы я мог удаленно подключиться.
1. Завести на ноуте наиболее частых Юзеров AD, чтобы ноут помнил их пароли.
2. Установить OpenVPN клиента и сертификат (один на всех)
3. Юзер в командировке авторизуется на ноуте под собой, подключается к OpenVPN и работает как в офисе.
4. Если нужно, удаленно завожу еще Юзеров.

Или юзер тупо приехал, вошел под собой, и всё: Чат есть, диски подключились, ...
Единственная заморочка - как в этом случае подключиться к сетевому принтеру "дружественной" компании?

[cssman]

kmg4e: С vpn клиентом пользователю минимум (когда один сертификат) не нужно ничего делать, максимум - воткнуть флэшку и ввести пароль. Зато админу и всем остальным столько гемора, потому что это ещё одна точка отказа, которую нужно обслуживать ради одного ПК.
В общем не проще и не надёжнее.

Андрей Ермаченок: Если планируете расширить количество таких компов - то ещё есть смысл. Для одного - лучше не стоит, используйте под другие нужды.

[kmg4e]

cssman: флешку нужно втыкать. сертифкаты нужно выдавать, отзывать.
это сложнее.
хорошо только в том - что можно навешать индивидуальную ответственность.

[Андрей Ермаченок]

kmg4e: Не, тупо сертификат в ноут - один на всех, и с плеч долой.

[kmg4e]

Андрей Ермаченок: от бюджета зависит.
если бюджет тянет Microtik - лучше его.

меньше проблем с администрированием.

например, проще прокидывать дополнительные устройства - к примеру видеокамеры наблюдения можно сделать, для наблюдения за этим рабочим местом. Чтобы они в центр отсылали видео.

Answer 2

[silverjoe]

VPN + RDP

Answer 3

[АртемЪ]

Самое удобное - подключение к серверу терминалов и работа в нем.
Хотя не всегда реализуемо, например из финансовых соображений.

Второй вариант - подключение по RDP к своему рабочему компьютеру.

Вроде больше вариантов удобных нет.
По тимвьюверу работать невозможно.

На счет микротиков и VPN не совсем понятно чем это поможет, и каким боком оно тут?.

VPN полезен когда надо изолировать сеть, или организовать защищенную сеть.
Для подключения к удаленному рабочему столу он совершенно бесполезен.
Вот защитить подключения с помощью VPN вполне реально.

Answer 4

[kmg4e]

я бы выбрал Microtik-Microtik.
можно настроить пару и отдать один, чтобы его просто подключили. самому даже ездить не нужно.
пользователю ничего делать не придется, обучать их не придется, пароли раздавать, доступ контролируемый остается (можно и логировать).

Comments

[Андрей Ермаченок]

Осталось решить проблему, не вписанную в постановку задачи: в "дружественной" компании есть сетевой принтер. Хотелось бы им пользоваться.

[kmg4e]

Андрей Ермаченок: если он сетевой - это проще простого.

[Андрей Ермаченок]

Да. Понял. По ВайФаю - сеть с принтером и Инетом, по проводу - VPN. Или наоборот

Answer 5

[athacker]

Тонкий клиент на месте + RDP-подключение к своему компу. Для транспорта RDP между офисами можно либо VPN настроить, либо в основном офисе RDG (Remote desktop gateway) поднять.