Как организовать удаленный доступ к серверу по RDP в микро-офисе?
Доброе утро.
Подскажите пожалуйста варианты, как лучше реализовать удаленное подключение пользователей к серверу?
Условие:
Сервер (программы для продаж и бухгалтерии), находится в точке А. Бизнес-пользователи в точке Б (менеджеры) и В (бухгалтер).
Необходимо реализовать подключение к серверу, чтобы было безопасно на сколько это возможно, но и в случае допустим с изменением положения сервера не приходилось прибегать к перенастройке. Сис админа позволить рады, но пока не можем, в прочем на какие то разовые работы, можем привлеч и на аутсорс. Но надо определится с вариантом, как лучше и какими инструментам. Открывать данные для всего интернета не хотелось бы.
Подробности: небольшой бизнес по продажам, 3 менеджера в точка Б, 1 бухгалтер в точке В (удаленка), микротик (в точке А), IP в точке А - динамический.
Есть понимание, что одну задачу можно выполнить по разному, с разной сложностью в начале так и при дальнейшей эксплуатации. Но как сделать лучше, чтобы потом не получился геморрой и не пожертвовать безопасностью? Что-то среднее вообще существует или все таки придется идти на компромисс между удобством и безопасностью? Какие вообще есть варианты?
Сапоги должен тачать сапожник, а печь пироги - пирожник. Кроилово ведёт к попадалову. Сейчас понахватаетесь советов из инета и выставите сервер голой жёппой в интернет *facepalm.jpg*
Вам нужны
а) статический белый IP на стороне сервера
в) VPN-сервер, развёрнутый на роутере, к которому подключен сервер. Микротик - это хорошо, он умеет быть VPN-сервером. Настроить сможете? OpenVPN только не нужен, с ним Микротик работает для галочки, используйте общепринятые стандарты. Лучше всего L2TP IPSec.
г) VPN-клиент на стороне удалённого пользователя. Либо стандартный виндозовский L2TP IPSec, либо можно на роутере пользователя туннель поднять, если он это умеет.
В подробности вдаваться не буду, тема несложная, но объёмная, особенно с учётом ваших околонулевых знаний. И лучше наймите админа, который всю связку настроит.
Сапоги должен тачать сапожник, а печь пироги - пирожник. Кроилово ведёт к попадалову.
Увы это многие не осознают даже когда попадалово уже произошло.
Есть понимание, что одну задачу можно выполнить по разному, с разной сложностью в начале так и при дальнейшей эксплуатации. Но как сделать лучше, чтобы потом не получился геморрой и не пожертвовать безопасностью? Что-то среднее вообще существует или все таки придется идти на компромисс между удобством и безопасностью? Какие вообще есть варианты?
Вариант только один, когда "будете готовы", нанять сисадмина вменяемого. Все остальное - от лукавого (с)
Но как сделать лучше, чтобы потом не получился геморрой и не пожертвовать безопасностью?
Чем выше безопасность, тем ниже удобство использования.
Что-то среднее вообще существует или все таки придется идти на компромисс между удобством и безопасностью?
Конечно нужен компромисс - защита должна быть адекватной.
Можно повесить на сарай с лопатами и вилами обычный замок за 100рублей, который вскроек и ребенок- это будет вполне безопасно. А можно поставить две сейфовые двери, и сканер сетчатки глаза. Это будет дорого, и чтобы взять лопату придется полчаса вводить пароли, и открывать замки.
Сис админа позволить рады, но пока не можем.
А ктонастраивать будет? Не можете нанять сисадмина - научитесь сами администрированию. Это не сложно. Два, три года обучения и вы сами с легкостью настроите.
АртемЪ, fdroid, да, вопрос в связке. Какую схемы и инструменты выбрать. Человека нашли, сможет сделать. Сделал бы и сам, но объективно: знаний и практического опыта в нужном объеме нет. Готовы заплатить за данные работы, но вопрос как лучше это сделать открытый.
AV2, да между какими тут схемами выбирать, если задача типовая для вашей микросети?! Пример реализации я описал в своём комментарии, простой и надёжный как топор, больше и выдумывать нечего. Тем более, если человека нашли, то пусть он и реализует.
Да VPN.
VPN сервер может находиться в любой точке как на сервере так и у клиентов (да изврат, но так тоже можно, у меня был пример когда 'сервер' пытался подключиться ко всем клиентам одновременно, на которых при запуске ОС поднимается vpn-сервер, объединяя их всех в бридж, потому что не было никакой адекватной возможности настроить даже проброс портов - особенности его подключения к интернету) так и в отдельно созданном/приобретенном месте.
Так же помимо VPN возможен проброс портов через ssh соединение, с точки зрения настроек иногда это проще в разы (в т.ч. не надо настраивать фаервол например), но считается бад практикс и не так универсально.
RDP уже сто лет как по умолчанию использует зашифрованную передачу. Просто настройте на сервере нормальный сертификат и пароли.
VPN, разумеется, более универсален - но раз у вас нет денег на сисадмина, начинать изыскания не рекомендую, чтобы потом не пришлось аврально кого-то нанимать для починки.
Учитывая, какие периодически находятся дыры в этом вашем rdp да и других стандартных протоколах windows, без оборачивания в vpn использовать их довольно стрёмно
antonwx, я надеюсь на лучшее - что ТС настроит "хоть как-то" и оно заработает, и очень быстро компания, в свою очередь, заработает достаточно денег, чтобы нанять эникея, который приведёт хозяйство в порядок, в том числе "эти наши RDP".
Микроофис не требует сисадмина. Нужен аутсорс - человек который разово настроит и при необходимости к которому можно обратиться за решением технических вопросов. Такие люди есть на рынке, не все сисадмины с утра до ночи в газпромах работают. Настроить на сервере/ роутере RDP займет 3-4 ч. часа. Такие разовые работы любой микроофис потянет.
Вероятно потребуется пара более или менее одинаковых роутера для поднятия тоннеля. Как правило, кроме rdp есть еще и файлопомойки, которые через rdp не всегда удобно юзать.
Зря я написал про сисадмина, ввел в заблуждение. В целом все конечно правы. Спасибо за ответы.
Есть конечно возможность оплатить какие то разовые работы, если это требуется, то так и делаем. Проблема в том среди моих знакомых системных администраторов, те кто действительно разбирается, им это не интересно даже в финансовом плане, у них какие то мега проекты. А у остальной часть безусловно есть знания, но вопрос какой вариант лучше реализовать.
В принципе договорился с человеком, чтобы все настроил. Но вот по какой схеме и каким инструментами, вопрос открытый. Безусловно с ним обсудили несколько вариантов, и он их все их может настроить. То есть человек достаточно компетентный. Но он придерживается мнения, что лучше сделать проще, пусть и с потерей безопасности. Что с более защищенными способами, мы намучаемся. В прочем как один из вариантов он предлагал и белый ip как вариант без геморроя, но я все таки сторонник безопасности, тем более что на стороне сервера есть и другие устройства, безопасностью которых также не хотелось бы жертвовать. Безусловно 100% защиты и быть не может, но и сильный компромисс не приемлем.
Вопрос в том как лучше сделать не забывая про безопасность, но и не получить костыль? Как должна выглядеть схема реализации и с помощью каких инструментов будет оптимальнее реализовать? Проблем в поиске исполнителя нет.
Для микроофисов вариант с белым ip и ограничениями на роутере с разрешением трафика rdp только с нужных ip весьма распространен.
+ на сервере можно не открывать сам rdp порт, настроить шлюз TS. Это значительно более безопасное решение. Настройка и администрирование лишь немного сложнее.
Итак - вводная первая - микроофис.
Вводная вторая - денег нет, даже на минимальные услуги сисадмина.
---
Предположу что и виндос сервер ворованный так как денег нет.
---
Вывод - RDP вам противопоказан.
И не нужен.
Вы до него не доросли ещё.
Будет 200-300 юзеров и сисадмин и ПО купленное вернётесь к этому вопросу.
---
А пока Не используйте его. Оно вам точно на этом этапе принесет только вред и риски попасть за нелегальное ПО
--
Пользуйтесь облачными сервисами. Их много они не дороги и там есть нормальные сисадмина которые возьмут весь гемор на себя
Настроить на микротике SSTP стандартными средствами винды подключаться к нему, прокинуть маршруты внутри SSTP, настроить фаервол на микротике и подключаться по RDP к серверу.
Средний
Средний
Простой
Простой
