Pull to refresh

Comments 19

Я наверняка чего-то не знаю о том как у вас всё устроено, но почему вместо создания проблем в виде рубильника и героического их решения не пойти чуть более простым путём: начать постепенно отпиливать доступ без впна к ресурсам. Т.е. условно одну неделю 5% пользователей не могут зайти в jira/confl без vpn, они не перегружают поддержку и постепенно всю настраивают. Вторую неделю 10% и т.д. Параллельно накапливается FAQ, а люди более эффективно переходят на vpn, потому что им уже могут помочь коллеги, к примеру.

Насколько я понимаю, чуть ли не все работают в компах не в домене, раскатать политиками GPO ничего не получится. Отключать доступ персонифицированно не получится, либо всем, либо никому. Возможно, я бы начал с отключения jira/confluence по странам через IP-политики. Когда все зарубежные сотрудники будут окучены, то приниматься за местных и пробовать блочить по регионам. Но, опять же, человек не будет понимать, почему не работает система, а саппорт не будет знать, что конкретного человека заблокировали.

Мы и пошли по такому пути, и начали с Jira и Confluence, убрали их за корп VPN первыми. К сожалению, убирать по чуть-чуть пользователей технически не получится, это решило бы много проблем. Так что мы просто по-тихоньку всем выдавали корп VPN и накапливали FAQ. Сейчас у всех есть корп VPN, и мы без проблем можем убрать за него любую систему

Окей, но звучит скорее странно, в общем случае задача решается одним nginx между пользователем и confluence.

Вы, конечно, молодцы, а неосиляторы уже в офис всех загоняют. Само решение покажете?

А потом оказалось, что с третьего квартала 2024 года кина обновлений Atlassian не будет.

Что именно произошло? Перестали продлевать подписки из-за санкций с 12 сентября? У нас поддержка закончилась ещё в 2022, но сегодня получил триалку в ЛК.

Организационные трудности и их преодоление - это, конечно, весьма любопытно тоже, но основная проблема с VPN, сюрприз, это таки их блокировка.

Обычные протоколы (OpenVPN, L2TP, WG etc.) периодически попадают под раздачу, даже если и клиент и сервер оба в РФ. А пользователи бывают по разные стороны границы, и, хуже того, периодически оную пересекают, и динамически раскидывать пользователя на подходящий сервер в зав-ти от геолокации - та ещё задачка.

Стойкие же к блокировкам протоколы плохо приспособлены для корпоративного использования (SSO, централизованное управление/мониторинг и вот это всё) и совершенно ужасны в плане клиентского ПО для массы неквалифицированных пользователей (которым лучше бы раскатить готовый софт+конфиг через MDM автоматически, в крайнем случае настройку в один клик, - а тут вместо этого танцы с бубном).

Так какое решение всё-таки внедрили, как обходили эти проблемы? Очень интересно.

Cisco AnyConnect (OpenConnect) и SSTP пока не блокируют.

А вот отправка "белых списков" в РКН от ИТ-компании не работает и провайдеры не горят желанием открывать аварийные заявки в ГРЧЦ по внереестровым блокировкам.

OpenConnect у меня есть, ситуация с клиентами плачевная. Если ничего не поменялось, клиента под iOS, который не требовал бы ввода пароля при каждом соединении, нет. С настройкой в один клик тоже проблемы.

Чистый SSTP сейчас, может, и не блокируют, но учитывая, насколько легко могут, я особенно не копал в его сторону. Но, вроде бы, за пределами мира Windows тоже не всё так радужно.

Клиента openconnect с возможностью сохранять пароль я даже под винду не нашел :(

А почему не горят? Что им стоит?

Не могу сказать, но до последнего пытаются накостылить решение на своей стороне без обращения в РКН. Хотя @ValdikSS умеет открывать заявки через провайдеров.

Я не админ, не секу в этой теме, но у нас тупо средствами винды VPN с офисом настроен. Полёт нормальный.

Была бы одна винда - проблем не было бы. А весь зоопарк Win/Mac/Android/iOS - хоть под одну из платформ да возникают проблемы.

Компания с 3000 сотрудников и торчащими сервисами в Интернет, обрабатывающими внутреннюю информацию компании - это сильно :) ERP наверное убирали за VPN в последнюю очередь?

Это да, безопасникам приходится интересно, каждый проект как отдельный челлендж:) мы еще в процессе убирания всего и вся за VPN, так что можно только удачи пожелать на этом пути

ммм, а как потом быть с обновлением или установкой еще какого ни будь корп ПО? Без централизации это опять будет титанический ручной труд, напрашивается EMM решение, один раз внедрить и раздавать любое ПО по необходимости

Доброго времени суток. Не знаю куда писать, тему создать не дают. Люди, разбирающиеся в настройках vpn (особенно 3x ui, vless, приложение streisand) нужна ваша помощь!

У меня настроен панель 3x ui - vless/reality. С января всё нормально работало, но около месяца назад как-то блокировали подключение в андроид приложении Hiddify Next. Сам как то методом тыка допёр как восстановить связь. Зашел в параметры конфигурации Hiddify - Реализация TUN выставил gvisor. До него стояла mixed. Всего 3 пункта: mixed, system, gvisor. Видимо mixed использует остальные два пункта и именно system не дает подключиться. Это чтобы разбирающиеся поняли что восстановило мне связь, сам я не знаю почему это помогло)

Так вот. Недавно у знакомого (Айфон, приложение Streisand, оператор Билайн) перестало работать подключение, как будто интернет полностью отключается. Хотя вчера всё работало. Я включил раздачу интернета со своего Мегафона, тогда у него всё работает. У другого знакомого тоже Билайн - но у него всё работает.

Я хочу понять, можно ли это как-то обойти. Как в том же Hiddify. Есть ли в Streisand похожая настройка типа Реализация TUN - gvisor??

Sign up to leave a comment.