Как подключать удаленных пользователей через VPN правильно?

Question

[squidw]

Более менее умею делать огород из VPN при помощи микротика + l2tp/pptp, в меньшей степени openVPN.
VPN ставится на домашние ПК коллег для доступа к ресурсам предприятия. В 99% на домашних ПК коллег винда разной степени, от XP до 10. Ресурсы, к которым подключаются индивидуально для каждого разные: RDP, сетевые шары, веб-ресурсы. Не уверен за некоторые моменты, которые настраиваю:
-
В частности понимаю что значит в теории "шлюз удаленного рабочего стола", но не понимаю на практике. То есть насколько я понимаю, если более менее продвинутый юзер, то он может поставить настройку шлюз удаленного рабочего стола у себя на компе и гнать трафик через офисный шлюз(микротик). Этого не должно быть. Как рубить такое?
-
Второй момент. При подключении к VPN на стороне микротика я файроволом разрешаю конкретным юзерам на конкретные ресурсы, которые им нужны, узкие правила. На стороне же удаленного юзера, чтобы доступ к ресурсам был возможен, приходится дописывать маршрут либо в виндовой таблице маршрутизации (route add), если l2tp/pptp. Либо, если это OpenVPN, стоит OpenVPN клиент и в конфиге *.ovpn route add. Не уверен что это должно быть ТАК. В голове мысля что при подключении к VPN пользователь VPN должен автоматом получать доступ к необходимым ресурсам предприятия, без дописывания маршрутов на стороне клиента руками. По идее микротик должен спускать правила маршрутизации на VPN клиента, а я такое ощущение что делаю костыль.

Answer 1

[nApoBo3]

Маршруты на vpn клиенте это головная боль для админов mikrotik. Он так нормально не умеет, поскольку у него нет полноценной настройки dhcp в vpn. На некоторых форумах пишут, что смогли настроить проброс внешнего dhcp до vpn пользователей, но там костыли( и не уверен, что рабочие ).
Маршруты на клиентской стороне( win ) можно задать некоторым кол-во способов.
В win 10 есть специальный параметер в vpn подключении для этой цели, ставиться через power shell( можно создавать подключение сразу с эти параметром скриптом ).

В win 7 и можно или настраивать( но это руками, пользователь такое не осилит ) триггер на подключение к vpn, который будет делать add route.
Ещё есть cmak, это пакет от microsoft, для создания предварительно сконфигурированных подключений в виде инсталлятора. Он тоже так умеет, но штука весьма глючная на выходе получается, плюс нужны права администратора, при каждом подключении.

И ещё один более менее нормальный способ, это классовая маршрутизация, например при vpn тоннеле с адресацией в сети вида 10.x.x.x windows сам пропишет маршрут в это соединение на подсети 10.0.0.0/8.
Последний вариант самый удобный если у вас сеть 10.x.x.x.

Ну или openvpn, с готовым конфигом для клиента.

Но лично я openvpn не люблю. Это дополнительный софт и пинги на нем часто бывают сильно хуже.

Для win клиентов лучше всего sstp, более универсальный l2tp/ipSec.

Comments

[Ziptar]

Ткните пальцем, пожалуйста, в глюки CMAK.

ЗЫ сети вида 172.16.0.0/16 тоже подойдут.

[nApoBo3]

Ziptar, проблемы с пересоздание подключения с тем же именем. Слетает адрес сервера после установки, иногда только на первый запуск, иногда на совсем. Необходимость в правах админа каждый раз при подключении.

[Ziptar]

nApoBo3,

проблемы с пересоздание подключения с тем же именем.

Ну, как бы, это не проблема.

Слетает адрес сервера после установки, иногда только на первый запуск, иногда на совсем.

Вы что-то делаете не так, если сталкиваетесь с такой проблемой.

Необходимость в правах админа каждый раз при подключении.

Только если при подключении выполняется скрипт, требующий повышенных привилегий - например, прописывание маршрутов. Собственно, а как иначе?

Answer 2

[Viktor]

Любит, не любит openvpn.
Плюсы openvpn:
Соединение после отвала востанавливается самостоятельно.
Можно передать маршруты клиентам.
Минусы всего остально:
Соединение после отвала не востанавливается самостоятельно.
Невозможно передать маршруты клиентам.

Comments

[Ziptar]

Можно передать маршруты клиентам

С ovpn сервера на микроте - нельзя.

Соединение после отвала не востанавливается самостоятельно.

А мелкософт то и не в курсе.

К минусам ovpn на базе микрота: не поддерживает udp.

[Viktor]

Ziptar, а минусы windows RDP сказать ?
соединяется по TCP но ... видео терминала гонит по UDP

нет никакого минуса что соединение по TCP, не слушайте никого, там все равно когда нужно UDP гоняется.
и сервера, можно, но только одну сеть, много сетей, через клиента openvpn

[nApoBo3]

Viktor, глупости не говорите, tcp туннель инкапсулирует весь трафик в tcp.
Роуты с сервера в openvpn на mikrotik не передаются( не уверен, что в другой реализации иначе ), они прописываются в настройках клиента.

[nApoBo3]

Ziptar, 7beta поддерживает udp ovpn. Но auth по сертификатам по нет.

[Ziptar]

nApoBo3,

( не уверен, что в другой реализации иначе )

В "натуральном" (без гмо™) ovpn маршруты можно передавать с сервера опцией push, как и многие другие параметры.

Answer 3

[Vladimir]

Мысль 1: с OpenVPN все ок. Я сам сижу на удаленном компе в 1920x1080x16бит, дискомфорта не ощущаю, иногда наглею до 32 бит. Все ок.

Мысль 2:
У меня на удаленке через OpenVPN+RDP сидит всего более 50 человек, одновременно подключены 20-30. На разрешениях от 1366x768 до FullHD (они включают полный экран, поэтому все зависит от того, какой у них ноут или монитор). Дискомфорт только у тех, кто сидит через откровенно отвратный интернет и только на некоторых приложениях (Adobe Reader, например, когда присылают сканированные PDF).
Настраивали все всё сами по розданным инструкциям + файл конфига. Даже разные обычные офисные работники, обычные секретарши и преподы-гуманитарии. Главное инструкцию написать и послать людям все нужные файлы. Файл конфига посылается в почту в зашифрованном архиве. Пароль на архив отправляется на телефон смской.

Мысль 2б:
Если бы у людей не было кучи хлама на дисках D: я бы всех посадил на терминальный сервер. Тем более, что он есть с нужным количеством лицензий. У всех пермещаемые профили и домашние папки на сервере замэплены на X: . Но народ не учится, даже на примере одной несчастной, у которой шифровальщик унес в небытие 10 гигов хлама на D: за 10 лет работы. Да, у меня работает KES с центральным управлением, но это был zero-day и опилки в голове у юзера, несмотря на регулярный инструктаж.

Мысль 3:
Так как юзеры сидят с домашних компов, где они боги и цари (в отличие от офисов, где у них все порезано), то теоретически возможна атака на всю сеть с любого удаленного компа. Поэтому схема VPN+RDP не слишком кузявая. В-общем, сплю я неспокойно.

Мысль 3б:
Чтобы затянуть гайки следующим этапом для каждого vpn-юзера на openvpn-сервере делается файл в папке staticclients (там для каждого и так есть файл, как контроль, кто может подключаться, а кто нет), куда прописывается заданный адрес. А в правилах фаейрволла прописывается, что доступ с определенного vpn адреса разрешен только на определенный IP внутри сети (на комп пользователя).
И дополнительно на всех компьютерах удаленшиков включаем SRP.

Мысль 3в:
(пока думаем и взвешиваем) Следующим этапом раздаем всем удаленщикам пакет для установки на домашний комп KES+агент. Хотя бы некоторый контроль на их компами.