Задать вопрос

Как подключать удаленных пользователей через VPN правильно?

Более менее умею делать огород из VPN при помощи микротика + l2tp/pptp, в меньшей степени openVPN.
VPN ставится на домашние ПК коллег для доступа к ресурсам предприятия. В 99% на домашних ПК коллег винда разной степени, от XP до 10. Ресурсы, к которым подключаются индивидуально для каждого разные: RDP, сетевые шары, веб-ресурсы. Не уверен за некоторые моменты, которые настраиваю:
-
В частности понимаю что значит в теории "шлюз удаленного рабочего стола", но не понимаю на практике. То есть насколько я понимаю, если более менее продвинутый юзер, то он может поставить настройку шлюз удаленного рабочего стола у себя на компе и гнать трафик через офисный шлюз(микротик). Этого не должно быть. Как рубить такое?
-
Второй момент. При подключении к VPN на стороне микротика я файроволом разрешаю конкретным юзерам на конкретные ресурсы, которые им нужны, узкие правила. На стороне же удаленного юзера, чтобы доступ к ресурсам был возможен, приходится дописывать маршрут либо в виндовой таблице маршрутизации (route add), если l2tp/pptp. Либо, если это OpenVPN, стоит OpenVPN клиент и в конфиге *.ovpn route add. Не уверен что это должно быть ТАК. В голове мысля что при подключении к VPN пользователь VPN должен автоматом получать доступ к необходимым ресурсам предприятия, без дописывания маршрутов на стороне клиента руками. По идее микротик должен спускать правила маршрутизации на VPN клиента, а я такое ощущение что делаю костыль.
  • Вопрос задан
  • 1426 просмотров
Подписаться 4 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 3
@nApoBo3
Маршруты на vpn клиенте это головная боль для админов mikrotik. Он так нормально не умеет, поскольку у него нет полноценной настройки dhcp в vpn. На некоторых форумах пишут, что смогли настроить проброс внешнего dhcp до vpn пользователей, но там костыли( и не уверен, что рабочие ).
Маршруты на клиентской стороне( win ) можно задать некоторым кол-во способов.
В win 10 есть специальный параметер в vpn подключении для этой цели, ставиться через power shell( можно создавать подключение сразу с эти параметром скриптом ).

В win 7 и можно или настраивать( но это руками, пользователь такое не осилит ) триггер на подключение к vpn, который будет делать add route.
Ещё есть cmak, это пакет от microsoft, для создания предварительно сконфигурированных подключений в виде инсталлятора. Он тоже так умеет, но штука весьма глючная на выходе получается, плюс нужны права администратора, при каждом подключении.

И ещё один более менее нормальный способ, это классовая маршрутизация, например при vpn тоннеле с адресацией в сети вида 10.x.x.x windows сам пропишет маршрут в это соединение на подсети 10.0.0.0/8.
Последний вариант самый удобный если у вас сеть 10.x.x.x.

Ну или openvpn, с готовым конфигом для клиента.

Но лично я openvpn не люблю. Это дополнительный софт и пинги на нем часто бывают сильно хуже.

Для win клиентов лучше всего sstp, более универсальный l2tp/ipSec.
Ответ написан
@awsswa59
Любит, не любит openvpn.
Плюсы openvpn:
Соединение после отвала востанавливается самостоятельно.
Можно передать маршруты клиентам.
Минусы всего остально:
Соединение после отвала не востанавливается самостоятельно.
Невозможно передать маршруты клиентам.
Ответ написан
@Yumashka
Динозавр
Мысль 1: с OpenVPN все ок. Я сам сижу на удаленном компе в 1920x1080x16бит, дискомфорта не ощущаю, иногда наглею до 32 бит. Все ок.

Мысль 2:
У меня на удаленке через OpenVPN+RDP сидит всего более 50 человек, одновременно подключены 20-30. На разрешениях от 1366x768 до FullHD (они включают полный экран, поэтому все зависит от того, какой у них ноут или монитор). Дискомфорт только у тех, кто сидит через откровенно отвратный интернет и только на некоторых приложениях (Adobe Reader, например, когда присылают сканированные PDF).
Настраивали все всё сами по розданным инструкциям + файл конфига. Даже разные обычные офисные работники, обычные секретарши и преподы-гуманитарии. Главное инструкцию написать и послать людям все нужные файлы. Файл конфига посылается в почту в зашифрованном архиве. Пароль на архив отправляется на телефон смской.

Мысль 2б:
Если бы у людей не было кучи хлама на дисках D: я бы всех посадил на терминальный сервер. Тем более, что он есть с нужным количеством лицензий. У всех пермещаемые профили и домашние папки на сервере замэплены на X: . Но народ не учится, даже на примере одной несчастной, у которой шифровальщик унес в небытие 10 гигов хлама на D: за 10 лет работы. Да, у меня работает KES с центральным управлением, но это был zero-day и опилки в голове у юзера, несмотря на регулярный инструктаж.

Мысль 3:
Так как юзеры сидят с домашних компов, где они боги и цари (в отличие от офисов, где у них все порезано), то теоретически возможна атака на всю сеть с любого удаленного компа. Поэтому схема VPN+RDP не слишком кузявая. В-общем, сплю я неспокойно.

Мысль 3б:
Чтобы затянуть гайки следующим этапом для каждого vpn-юзера на openvpn-сервере делается файл в папке staticclients (там для каждого и так есть файл, как контроль, кто может подключаться, а кто нет), куда прописывается заданный адрес. А в правилах фаейрволла прописывается, что доступ с определенного vpn адреса разрешен только на определенный IP внутри сети (на комп пользователя).
И дополнительно на всех компьютерах удаленшиков включаем SRP.

Мысль 3в:
(пока думаем и взвешиваем) Следующим этапом раздаем всем удаленщикам пакет для установки на домашний комп KES+агент. Хотя бы некоторый контроль на их компами.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы