Удаленная работа через vpn

В условиях карантина

В связи со сложившейся ситуацией в мире на фоне распространения коронавирусной инфекции и введения ограничительных мер по перемещению людей в нашей стране, перед руководителями предприятий России встаёт незамедлительная задача организации удалённой работы

офисных сотрудников в условиях карантина.

Главные задачи

  • оперативно перевести часть сотрудников, работа которых будет вестись из дома, т.е. достигается частичная изоляция и безопасность сотрудников.
  • сохранить привычную среду работы, как если бы сотрудник работал в офисе, без серьезных материальных затрат.

Условия для удаленной работы из дома

  • интернет,
  • Компьютер, ноутбук или планшет,
  • встроенные микрофон и динамик или гарнитуру, подключаемые к устройству с которого будет доступ,
  • телефон (домашний или мобильный).

Требования к офису для обеспечения удаленной работы сотрудников

computer.png
worker.png
group.png

Требования к оборудованию

удаленный компьютер.jpg

Телефония

Использование офисной АТС возможно при наличии IP телефонии, с помощью которой проще делать переадресацию звонков и использовать офисную АТС для совершения звонков с домашнего ПК. Если у вас АТС без IP, то возможна только переадресация входящих звонков на домашний телефон.

Проведение совещаний

Для проведения совещаний лучше использовать платные приложения, типа Webex или Microsoft Teams (оба вендора, в рамках борьбы с эпидемией, пошли навстречу всем клиентам и предлагают бесплатные варианты лицензирования от 3 до 6 месяцев).

cisco-webex.png
teams.png

Доступ к офисному компьютеру через удаленный рабочий стол

Для безопасного доступа по протоколу RDP к включенному рабочему ПК в офисе, можно в зависимости от используемого в офисе оборудования возможны два варианта:

  1. Если у клиента стоит простой фаервол, то присваиваем фиксированные IP адреса и порты для ПК в офисе, через которые будет осуществляться доступ.
  2. Если стоит оборудование типа NGFW, то делаем VPN туннель, и подключаемся по RDP.

Организация работы в офисе

удаленный доступ компьютер.jpg

Документооборот

  • В офисе, должны быть сотрудники, включая секретаря, которые должны осуществлять и поддерживать необходимый бумажный документооборот.
  • Удаленные сотрудники могут печатать документы на сетевых или локальных принтерах в офисе, эти документы являются частью документооборота. Каждый распечатанный документ удаленный сотрудник должен сопровождать подробной инструкцией, что с ним необходимо делать.
  • Секретарь должен получать документы, сканировать пересылать электронные копии документов тому, кому это предназначено, отвечать на звонки, переадресовывать звонки, делать все как обычно.

Офисная телефония

  • Если есть офисная АТС, не IP, то нужно настроить переадресацию звонков на телефоны сотрудников работающих дома.
  • Звонки клиентам из дома в этом случае будут производиться со стационарных домашних или мобильных телефонов. Если офисная АТС IP, то используя приложение можно осуществлять звонки с офисной АТС с использованием микрофона и динамика домашнего ПК или гарнитуры.

Подключаем удаленных сотрудников

Вопросы, которые важны для удаленного подключения сотрудников:

  • технические особенности топологии локальных сетей офисов, используемых протоколов, портов и межсетевых экранов;
  • применяемые методы обеспечения безопасности IT-инфраструктуры.

Вариант № 1. С использованием статического NAT.

На межсетевом экране компании закрепляем TCP/IP порт за каждым сотрудником.

Пример.

  • Соловьев 5000 (TCP/IP)
  • Воробьев 5001
  • Галкин 5002 …
Статический NAT.jpg

После чего настраиваем офисный и домашний компьютер сотрудника.

Вариант № 2. С использование мобильного VPN (NGFW).

На межсетевом экране компании «поднимаем» VPN сервер, привязываем его к Active Directory или локально создаём пользователей с их правами доступа. Настраиваем маршрутизацию из VPN сетей удаленных сотрудников в основные сети компании.

Настало время разобраться с самым безопасным вариантом работы в удаленном режиме, это работа через VPN подключение. Тут уже не будет никаких пробросов портов, мы будем подключаться непосредственно к изолированной сети так, как будто наш компьютер подключен к этой сети физически. В результате чего, мы можем либо использовать нужные ресурсы локальной сети компании, либо подключаться к нашему рабочему месту через Удаленное подключение к рабочему столу.

Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку

Технические требования

Все тоже самое, как в первом видео про аппаратный проброс портов, только тут добавляется сервер с установленной операционной системой Windows Server. Конечно, создать VPN сервер можно и другими средствами, но в данном видео речь пойдет именно про поднятие роли VPN сервера в Windows Server.

Что такое VPN?

Аббревиатура VPN (Virtual Private Network) — расшифровывается как виртуальная частная сеть, которая используются для обеспечения защищенного подключения к сети. И подключаться к нашей сети мы будем через VPN подключение.

Как это выглядит на практике?

Рассмотрим схему сети, которую будем использовать в качестве примера для демонстрации работы VPN.

Есть офисная сеть, в которой есть один физический сервер Windows Server 2016, на котором поднят контроллер домена, DNS, DHCP, файловый сервер, а также там крутится виртуальный сервер, поднятый через Hyper-V. Плюс две рабочие станции на Windows 7 и Windows 10.

Собственно, такую сеть мы создавали в процессе прохождения комплексного обучения, несмотря на то, что она виртуальная, она ничем не отличается от функционирования реальной физической сети.

Так вот задача заключается в том, чтобы подключаться к данной сети через интернет и использовать все доступные ресурсы сети безопасно.

Что для этого мы сделаем? Мы поднимем и настроим роль VPN на контроллере домена, создадим VPN подключение на удаленной машине, через которое сможем подключаться к нашей сети удаленно. А далее либо использовать нужные файловые ресурсы, либо подключаться к нужной машине через удаленный рабочий стол.

Т.е. с точки зрения работы, все выглядит так, как будто к вашему компьютеру подключили сетевой кабель из сети компании, так как вам становятся доступны все ресурсы компании, как если бы вы были физически к ней подключены. Если не наложены определенные ограничения настройками системы.

Используя данный способ соединения, вы можете подключаться к вашему рабочему месту безопасно, даже из общедоступных сетей (Wi-Fi сеть торгового центра, кафе и другие) и ваши данные не будут перехвачены, так как они будут зашифрованы.

Устанавливаем роль VPN

Перейдем к практике и для начала нам нужно поднять роль VPN на сервере (Пуск \ Диспетчер серверов \ Управление \ Добавить роли и компоненты \ Далее \ Далее \ Далее \ Удаленный доступ \ Далее \ Далее \ DirectAccesss и VPN \ Добавить компоненты \ Далее \ Далее \ Установить)

Так как у меня роль Маршрутизации уже установлена, я её добавлял при подключении офисной сети к Интернет, то мне добавлять этот компонент не нужно.

Настройка VPN сервера

Выполним настройку службы удаленного доступа (Средства \ Маршрутизация и удаленный доступ \ Выбираем наш сервер \ ПКМ \ Свойства \ Общие \ Галочку: IPv4-сервер удаленного доступа \ IPv4 \ Протокол DHCP если у вас в сети его нет, то \ Статический полу адресов: 192.168.0.10-192.168.0.20 \ Если есть то, Протокол DHCP \ Адаптер, выбираем сеть, в которой крутится DHCP сервер \ Безопасность \ Разрешить пользовательские политики IPSec для L2TP и IKEVv2-подключения \ Вводим ключ безопасности \ Применить \ Перезапускаем службу Маршрутизации и удаленного доступа \ Диспетчер задач \ Службы \ Маршрутизация и удаленный доступ \ Перезапустить)

Проверить правила в файерволе

Настройка доступа для пользователей

Предоставляем доступ пользователям для подключения (Диспетчер серверов \ Пользователи и компьютеры Active Directory \ Users \ Главный бухгалтер \ Входящие звонки \ Права доступа к сети: Разрешить доступ)

Настройка VPN подключения

Выясняем какой у нас IP адрес на сервере, он опять же должен быть «белый» 192.168.1.167

Проверим, что этот IP-адрес вообще пингуется (cmd \ ping 192.168.1.167)

Настраиваем VPN подключение на клиентском компьютере (Центр управления сетями и общим доступом \ Создание и настройка нового подключения \ Подключение к рабочему месту \ Использовать мое подключение к интернету (VPN) \ IP адрес \ Свойства подключения \ Безопасность \ Протокол L2TP \ Дополнительные параметры \ Для проверки подлинности использовать общей ключ \ вводим ключ \ Шифрование данных \ Обязательное, отключить если нет шифрования)

Чтобы на клиенте не пропадал интернет при подключении к VPN, переходим в (Свойства сетевого VPN подключения \ Сеть \ IPv4 \ Свойства \ Дополнительно \ Использовать основной шлюз в удаленной сети \ Убираем галочку \ ОК)

Подключаемся к виртуальной сети

У меня выдается сообщение «Клиент удаленного доступа попытался подключится через порт, зарезервированный только для маршрутизаторов», так как я сначала настроил роль маршрутизации, так что нужно кое-что подправить на сервера (Диспетчер сервера \ Маршрутизация и удаленный доступ \ Порты \ ПКМ \ L2TP \ Настроить \ Подключение удаленного доступа (только входящие) \ ОК)

Выбираем VPN подключение (Подключиться \ Вводим имя пользователи и пароль)

Проверка работоспособности

Для проверки можем подключиться к нашему виртуальному серверу через IP адрес, открыть общий доступ к какой-нибудь папке и проверить работу локальной сети.

Для подключения к удаленному рабочему столу, нужно указать его IP адрес и ввести учетные данные пользователя, под которым работает сотрудник.

Поделиться:

Похожие статьи

Как предложить человеку удаленную работу
Песни про удаленную работу
Как найти хорошую удаленную работу
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

×
Рекомендуем посмотреть
Как предложить человеку удаленную работу
Песни про удаленную работу
Как найти хорошую удаленную работу