mad_c Jan 5 2011 at 12:13

Вариант удаленного доступа к корпоративной сети предприятия посредством VPN с разграничением доступа к внутренним ресурсам и аутентификацией в AD

3 min

59K

Comments 27

youlose Jan 5 2011 at 12:54

Поднять VPN сервер на RRAS и «На сервере терминалов ОБЯЗАТЕЛЬНО устанавливается TMG\ISA клиент, для того чтобы мы могли привязать правила к пользователям.» пункт не нужен. Да и вообще смысла в циске и отдельной подсети для VPN клиентов не вижу.

Честно говоря ничего нового и необычного не увидел в этой схеме, конфиг от циски поражает своей неинформативностью для неспециалистов в этой области и бесполезностью для специалистов. Про саму схему — то же самое, специалистам она не нужна, а неспециалистам нужно больше подробностей.

mad_c Jan 5 2011 at 13:11

Смысл в циске только один — она есть, я написал, что вполне можно терминировать pptp в другом месте, отдельная подсеть сделана для удобства, я упоминал что оба сервера развернуты на hyper-v, поэтому «сеть сервера терминалов» это просто внутренняя сеть (internal) доступная только этим двум виртуальным машинам посредством hyper-v.

CLaiN Jan 5 2011 at 14:12

А зачем вообще нужен VPN? Его удобно использовать, чтобы с локальной машины например на сетевые шары в офисе ходить.

Имхо вполне достаточно TS Gateway с публикацией приложений на сайте через https. Шифрование остается на том же уровне, только схема существенно упрощается — пользователь заходит на сайт с доменной учеткой, тыкает в «ярлык» подключения к серверу и вуаля — он уже на сервере терминалов.

mad_c Jan 5 2011 at 14:18

Помимо публикуемых приложений нам нужен именно RDP. Почитайте материалы по взлому RDP, я просто перестраховался :)

CLaiN Jan 5 2011 at 14:35

Ну дык там легко публикуется «рабочий стол». И взамывать там нечего, rdp там вообще не участвует. Обычный https сайт, вход по логину и паролю. Далее вся сессия инкапсулируется в ssl туннель.

mad_c Jan 5 2011 at 14:41

Да, тоже подумал об этом, при проектировании решения я, возможно, слишком перестраховался :) pptp over ssl :)

mad_c Jan 5 2011 at 14:43

Но не у всех же 2008 с возможностью публикации.

CLaiN Jan 5 2011 at 22:48

За последние 10 лет можно уже обновиться, я думаю.

dos Jan 5 2011 at 15:00

Но это ведь только на win2k8?

mad_c Jan 5 2011 at 15:01

Именно

CLaiN Jan 5 2011 at 22:48

Ну да, за последние 10 лет можно уже обновиться, я думаю.

mad_c Jan 5 2011 at 23:00

Это вы так думаете, а Microsoft думает, что по лицензии OLV вы можете обновлять ПО в течении 3х лет без продления :)

sidisko Jan 6 2011 at 11:50

извращенная схема коннекта, сначала всех загонять в пптп а потом еще и в рдп. на выходе получим что удаленные клиенты с каналами в 256кбит будут ждать рефреша окон по несколько секунд.
попробуйте себе сами канал зашейпить и открыть какой нибудь пауэрпоинт презенташку с картинками. Об удаленной работе можно забыть.

а с учетом что у вас еще и 2008 сервер можно было не извращаться а публиковать через RemoteApp и получать до 10фпс картинку на выходе на весьма хилых каналах.

mad_c Jan 6 2011 at 12:05

Сначала был 2003 сервер.
Ну и сколько там накладных расходов на pptp инкапсуляцию? 40 байт или около того на 1,5 килобайтный пакет, скорость может падать если оборудование не потянет поток.

sidisko Jan 6 2011 at 12:42

это как вы так 40 байт насчитали? трафик не шифруете? смысл тогда было городить ДМЗ?

mad_c Jan 6 2011 at 12:51

А чем инкапсуляция в pptp шифрованного трафика отличается от инкапсуляции не шифрованного, кроме того, что информация шифруется и требует дополнительной обработки (соответственно накладные расходы на криптование), можно ссылкой.

mad_c Jan 6 2011 at 18:09

Господа/дамы минусующие, прошу аргументировать в комментариях, это по крайней мере не красиво.

mad_c Jan 6 2011 at 12:59

Ну а 40 байт это заголовок GRE и дополнительный IP заголовок, вроде так.

Ar2r Jan 6 2011 at 15:49

Забыть про пароли и использовать eToken!

Inc Jan 6 2011 at 19:01

Попробовали бы развернуть DirectAccess — еще красивее решение получится.
Правда ISA\TMG выполняет функции маршрутизатора, так что девайс от Cisco тут лишний.

mad_c Jan 6 2011 at 19:58

Ну на самом деле он не лишний — он просто есть, и выполняет также еще другие функции. Но вы правы, в принципе можно терминировать pptp на ISA/tmg, просто если есть и одно и другое — есть возможность выбирать :)

roller Jan 6 2011 at 22:45

Кстати, а голый RDP уже сломали или еще нет? Так ли уж надо его в туннель заворачивать?

mad_c Jan 6 2011 at 23:02

Ломается он. Там есть ньюансы — Vpn over rdp отчасти безопасит :) хотя, если есть 2008 можно действительно обойтись без pptp.

PbIPXA Jan 12 2011 at 22:16

А можно подробнее, каким это способом кроме брутфорса ломается RDP? ссылку хотя бы?

mad_c Jan 12 2011 at 22:56

Конечно, погуглите MITM.

mihmig Jan 20 2011 at 16:36

только версии 4 и только через ARP-отравление (vpn туннель спасет)

mihmig Jan 20 2011 at 16:35

pptp использует протокол GRE (l2tp можно настроить без использования GRE — но хаком в реестре, что противоречит условиям задачи).

Теперь скажите, какой процент маршрутизаторов «в командировке» поддерживает NAT GRE?

openvpn, батенька, openvpn — и кросплатформенно, и работает.