Работа при карантине: быстрое и хорошее решение VPN-доступа

Прямо сейчас многие компании, переводящие сотрудников на удалённую работу, столкнулись с неготовностью инфраструктуры к такому режиму. Особенно остро проявилась нехватка сервисов для общей работы в сети компании, общения и взаимодействия сотрудников.

В большинстве случаев удалённый доступ есть только у администраторов для решения рутинных задач – настройки оборудования и обновления ПО на серверах. Сотрудники же приучены работать только со своего основного рабочего места.

Быстрое решение для многих компаний стало невозможным. Главные причины проблем:

• Низкая скорость интернет-соединения;
• Отсутствие VPN-сервера для всех работников;
• Высокая стоимость корпоративного VPN доступа от вендоров «железных» решений;
• Низкое быстродействие имеющихся аппаратных шлюзов.

Особенно тяжело пришлось владельцам не новых аппаратных решений. Невозможно быстро оплатить и получить лицензии сервисов + подключений либо вообще новое устройство.

Сегодня мы предложим успешный опыт внедрения корпоративного VPN на свободном ПО. При этом наш VPN будет соответствовать всем основным требованиям быстродействия и безопасности:

• Бесплатное владение;
• Двухфакторная аутентификация по сертификату и учётке Active Directory;
• Для особенно мнительных есть возможность добавить третью аутентификацию — фильтр по домашним IP адресам пользователей;
• Масштабируемое решение в виртуальной машине;
• Основной шлюз будет у домашнего провайдера – т.е. сеть компании будут нагружать только рабочие сервисы;
• Полное логирование подключений и сеансов работы;
• DNS будет корпоративный – все сервисы компании будут доступны по именам, а не только по IP – как будто работник не покидал офисную сеть;
• Возможность шейпинга скорости канала на каждого сотрудника.
• Возможность отказоустойчивости при наличии 2-х интернет-каналов.

Такое решение было реализовано через OpenVPN на базе проекта pfSense от Netgate. Полный список возможностей тут, и он действительно впечатляет!

Для простого варианта внедрения будет нужно:

• Выделенный белый IP для VPN. Такой вариант самый быстрый и простой в настройке. Разумеется, можно было сделать проброс портов или повозиться с DMZ.
• Виртуальная машина с минимальными ресурсами: 8Gb диск, 2 ядра CPU, 1Gb RAM, 2 сетевые карты – для внешней и внутренней сети с фиксированными IP.
• Контроллер домена или LDAP-сервер для ограничений аутентификации. Хотя можно и без него, но тогда нужно контролировать выдачу сертификатов.

Развернуть такое решение продвинутый администратор может за несколько часов (ну или в течения дня).

Материалов по настройке pfSense хватает. Вот список статей, по которым можно все сделать:

1. Установка pfSense на виртуализацию Proxmox (наш вариант):
https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-pfsense-with-proxmox.html

2. Полная документация настройки OpenVPN от разработчика:
https://docs.netgate.com/pfsense/en/latest/book/openvpn/index.html

3. Пример интеграции OpenVPN pfSense с Active Directory:
https://www.informaticar.net/connect-pfsense-with-ad/

Ну и несколько статей по теме для общего понимания:

https://1cloud.ru/help/network/nastrojka-point-to-site-vpn-s-pomoshchyu-openvpn-remote-access-server-na-pfsense
https://habr.com/ru/post/312528/
http://piotr.ru/313
https://chrislazari.com/pfsense-setting-up-openvpn-on-pfsense-2-4/
https://www.xelent.ru/blog/nastroyka-vpn-pfsense/
https://medium.com/@azsecured/setup-openvpn-on-pfsense-68cf24aadd3c
https://digitalave.github.io/spring/2019/03/15/Setup-Remote-VPN-Access-Using-PfSense-and-OpenVPN.html
https://turbofuture.com/computers/How-to-Setup-a-Remote-Access-VPN-Using-pfSense-and-OpenVPN

Ну а чтобы убедится в отсутствии уязвимостей такого решения, можно использовать наш сканер защищенности Сканер-ВС!