BostonGeorge
@BostonGeorge
Айтишник и юрист

Как настроить VPN доступ к серверу с Win Server 2012 в локальной сети?

Здравствуй, дорогой читатель!

Предыстория:
Имеется сеть предприятия на ~20 компьютеров и два сервера. На входе стоит маршрутизатор TP-LINK TL-R480T+, затем - коммутатор D-Link DES-1210-28P/C1A, на котором, собственно, и организована сеть. В эту сеть настроен VPN доступ, VPN-сервером служит обычный ПК на Linux. Настроенным VPN-доступом пользуются начальник и бухгалтер, функционал для них одинаковый. VPN-сервер настраивал "кто-то когда-то", как он работает, никто не знает, и трогать его пока не хотелось бы.

В сети есть сервер на windows server 2012, на котором удалённо работает 1С-программист. Так сложилось, что этот сервер оказался ненужным, поэтому ничего другого на нём не происходит. Исходя из этого, для обеспечения минимальной безопасности, на коммутаторе этот сервер был отделён от остальной сети при помощи VLAN, а затем посредством проброса к серверу порта 3389 на маршрутизаторе, мы настроили RDP к этому серверу для программиста.

Проблема:
Нам хотелось бы сделать удалённый доступ программиста к нашему серверу более безопасным, чем защита только паролем пользователя в Windows. Для этих целей мы хотим организовать ещё один VPN-туннель. Как понятно из сути моего вопроса, мы в этом совсем не профессионалы, поэтому нам нужно наиболее простое в настройке решение. Также решение должно предполагать минимальные настройки на стороне клиента: всё должно настраиваться встроенными средствами Windows.

Задача минимум:
Сделать удалённый доступ программиста к нашему серверу более безопасным, чем защита только паролем пользователя в Windows.

Задача максимум:
Перестать использовать ПК с Linux в качестве VPN-сервера и заменить его или наш маршрутизатор TP-LINK TL-R480T+ другим устройством, на котором организовать два VPN-туннеля с разными правами: один для начальства с полным доступом ко всей сети, а второй - для 1С-программиста с доступом только к одному компьютеру (в данном случае - серверу, на котором он работает). При этом мы могли бы отказаться от отделения этого сервера от нашей сети при помощи VLAN и получить к нему простой доступ внутри сети.

Наши варианты:
1. Поднять VPN-сервер на самом сервере с Win Server 2012, к которому и подключается программист, только для доступа к самому себе. Из статей в интернете по этому вопросу мы поняли, что поднять VPN-сервер на Win Server 2012 можно, но непонятно, можно ли его поднять для доступа к самому себе. Мы предполагаем, что это можно реализовать при помощи указания только IP-адреса самого сервера в пуле выдаваемых адресов клиентам.
Вопросы:
- Можно ли поднять VPN-сервер на Win Server 2012 для доступа к самому себе?
- Можно ли при таком варианте реализации настроить разные пулы выдаваемых адресов клиентам для разных пользователей? То есть, возможно ли предоставить доступ только к самому серверу для пользователя "Программист" и доступ ко всей сети для пользователей "Начальник" и "Бухгалтер"?
- Какие порты на маршрутизаторе нужно пробросить для реализации этого метода? Подключение к серверу предполагается посредством RDP.

2. Поставить в сеть между коммутатором и сервером для программиста роутер. К роутеру мы могли бы пробросить порты на маршрутизаторе, а на самом роутере поднять VPN. Таким образом мы бы обеспечили VPN-доступ к конечному серверу, видимо, с двойным пробросом портов. При этом настройки самого сервера мы бы не трогали, и при необходимости, могли бы просто убрать роутер из этой схемы.
Вопросы:
- В данном случае мы поняли только, как настроить VPN на роутере, но как реализовать нашу схему, какие порты пробросить - непонятно.
- Насколько мы понимаем, таким образом можно настроить только VPN туннель до сервера для 1С-программиста, то есть только решить задачу-минимум?

3. Заменить используемый нами в качестве VPN-сервера ПК с Linux на какое-то специализированное устройство, на котором мы смогли бы организовать два VPN-туннеля с разными правами: доступ только к одному компьютеру для программиста и доступ ко всей сети для начальника и бухгалтера.
Вопросы:
- Вероятно, мы неправильно ищем, но специализированных устройств для этих целей мы не нашли. Возможно, Вы такое устройство знаете?
- Конечно же, совершенно непонятно, как это устройство настроить.

4. Заменить наш маршрутизатор TP-LINK TL-R480T+ другим маршрутизатором, который умеет принимать два WAN (у нас два интернет-провайдера) и умеет поднимать два VPN-сервера или VPN-сервер с разными правами доступа. Так как нам нужно простое в настройке устройство, то присмотрели TP-LINK TL-ER6020, но совершенно непонятно, умеет ли он настроить VPN-сервер с разными правами доступа.
Вопросы:
- Посоветуйте, пожалуйста, простой в настройке маршрутизатор, который умеет принимать два WAN и умеет поднимать два VPN-сервера или VPN-сервер с разными правами доступа.
- Подскажите, как его настроить. Возможно, к нему есть эмулятор интерфейса, как у вышеописанного TP-LINK TL-ER6020?

Возможно, есть другой, более простой или правильный вариант решения нашей задачи?
Будем благодарны за любую подсказку или наводку :)

В любом случае спасибо за прочтение этого длиннющего эссе!
  • Вопрос задан
  • 644 просмотра
Пригласить эксперта
Ответы на вопрос 5
@Drno
наймите сисадмина

ТПлинк можете заменить на микротик, если осилите настройку

а вообще - сделайте 1 впн сервер, и далее маршрутами разграничьте кому куда можно... это не задача впн сервера разграничивать доступ
задача ВПН сервера допустить вас "внутрь" локальной сети
далее можете загнать програмиста и сервер в 1 vlan, в отдельный, к примеру...
Ответ написан
fara_ib
@fara_ib
Можно вставить pfsense вместо тплинка вашего, он много чего умеет и два провайдера и несколько впн и межсетевой экран там есть и вланы умеет, хватит с головой. По вланам настроить по схеме "router on a stick" это pfsense тоже может, разделить вланы ассиметричным способом или acl. А машину с линуксом оставить и на ней поднять guacamole сервер прокидыванием rdp соединения с pfsense (это будет просто страничка в браузере с логином и паролем которая будет пропускать на сервер 1С) а впн оставить на том же pfsense для начальства.
Ответ написан
@y2k
Пробросить программисту Wireguard и больше ничего не трогать. А вообще, какой смысл держать у себя полностью изолированный сервер? Пусть программирует на домашнем...
Ответ написан
hugeous
@hugeous
Системный администратор
Одним из простых вариантов может быть:
- Установка OpenVPN сервера на машине с WS2012, и подключение к нему пользователя, потребуется проброс порта для OpenVPN сервера аналогично 3389, но в последствии, после настройки OpenVPN, порт 3389 можно закрыть.
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Наймите профессионалов.
По любым советам отсюда - вы не сможете гарантировать, что настроено так, как указано в ваших технических условиях.
Самый простых варианта два:
1. Поднять любой VPN на сервере "windows server 2012, на котором удалённо работает 1С-программист", пробросить на TPLink порт, на котором слушает VPN сервер.
2. Ограничить проброс порта RDP внутрь только для ip адреса/подсети провайдера программиста 1С.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы