Вариант удаленного доступа к корпоративной сети предприятия посредством VPN с разграничением доступа к внутренним ресурсам и аутентификацией в AD

    Часто (если не всегда) перед ИТ отделом рано или поздно встает задача организации удаленного доступа в сеть предприятия, например командированным сотрудниками или попросту заболевшим. Решать эту задачу можно по-разному. Я хочу рассказать об одном из решений реально используемом в нашем холдинге. Отличается это решение от многих других тремя основными вещами:

    1. На стороне удаленного пользователя требуется минимум настройки — используются все стандартные приложения и возможности ОС Windows;
    2. Удаленный пользователь работает на сервере терминалов, что обеспечивает его необходимой средой для выполнения своих должностных обязанностей
    3. Очень гибкое управление доступом к внутренним ресурсам компании (обеспечивается TMG\ISA файрволом согласно доменной аутентификации)


    Если вам это интересно, добро пожаловать под кат

    Итак, сначала расскажу что нам понадобится, собственно это всего две вещи:

    • Сервер с TMG или ISA
    • Сервер терминалов


    У нас оба сервера — обычные виртуальные машины, развернутые на hyper-v.
    Также понадобятся две свободные подсети (уж этого добра, думаю, у всех достаточно) — для чего именно две, расскажу дальше.
    Доступ пользователя к конечным ресурсам можно разделить условно на три этапа:

    1. Доступ посредством pptp в изолированную сеть vpn-клиентов
    2. Доступ по rdp на сервер терминалов
    3. Непосредственный доступ с сервера терминалов к ресурсам ЛВС компании по любой маске доступа


    Ниже — общая схема подключения и описание этапов.



    Доступ посредством pptp в изолированную сеть vpn-клиентов

    Для реализации этого нам нужен любой pptp сервер, мы используем cisco, но ничего не мешает пробросить pptp с граничного роутера\файрвола на туже TMG\ISA, которую мы будем использовать для доступа клиентов к ресурсам и поднять pptp сервер на ней. Вот кусок конфига нашей киски, отвечающий за pptp.

    vpdn enable
    !
    vpdn-group 1
    ! Default PPTP VPDN group
    accept-dialin
    protocol pptp
    virtual-template 1
    ip pmtu
    ip mtu adjust

    username ras_user password 7 010157010906550075581B0C4F044011530F5D2F7A743B62643
    14255
    username ras_guest password 7 120B541640185F3B7E2C713D653075005F025A

    interface GigabitEthernet0/0.3
    description Internet
    encapsulation dot1Q 3
    ip address x.x.x.x 255.255.255.252
    ip nat outside
    ip virtual-reassembly max-fragments 64 max-reassemblies 256
    ip policy route-map Internet-10-144-68
    no cdp enable

    interface Virtual-Template1
    mtu 1400
    ip unnumbered GigabitEthernet0/0.3
    ip access-group 170 in
    ip tcp adjust-mss 1360
    peer default ip address pool vpn_users
    no keepalive
    ppp encrypt mppe auto
    ppp authentication ms-chap-v2
    ppp ipcp dns 172.22.1.201
    !
    ip local pool vpn_users 172.22.4.1 172.22.4.250

    access-list 170 permit udp 172.22.4.0 0.0.0.255 host 172.22.1.201 eq domain
    access-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq 3389
    access-list 170 permit icmp any any
    access-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq www


    Ключевой момент на данном этапе — организация сети vpn-клиентов с возможностью коннекта из нее ТОЛЬКО на сервер терминалов на порт rdp.

    Доступ по rdp на сервер терминалов


    Итак, наш клиент подключился к pptp серверу и имеет доступ на сервер терминалов, далее с помощью удаленного рабочего стола происходит подключение к серверу терминалов, учетные данные при этом подключении — доменная учетная запись пользователя. Тут необходимо немного пояснить:

    В AD создаются группы безопасности согласно маске, грубо говоря у нас есть к примеру четыре группы ресурсов, ну скажем, разбиты по проектам. Проект1, Проект2, Проект3 и общие. Соответтственно в AD мы создадим 4 группы безопасности и сделаем первые три членами группы «общие». Группе «общие» мы разрешим вход на сервер терминалов. Далее для подключения возможности удаленного доступа любому пользователю AD мы просто будем добавлять его в соответствующую группу.

    Непосредственный доступ с сервера терминалов к ресурсам ЛВС компании по любой маске доступа


    Для реализации этого этапа нам потребуется настроить TMG\ISA, при написании этой статьи я не планировал ее как четкую инструкцию к действию, а лишь как описание схемы, поэтому я не буду вдаваться в подробности настройки файервола, отмечу лишь несколько ключевых моментов.
    • В TMG внешней сетью будет являться наша ЛВС
    • Внутренней сетью будет сеть с сервером терминалов
    • На сервере терминалов ОБЯЗАТЕЛЬНО устанавливается TMG\ISA клиент, для того чтобы мы могли привязать правила к пользователям.
    • Соответственно все правила в файрволе привязываются к созданным нами ранее группам безопасности Проект1, Проект2, Проект3 и общие.


    В общем, это все, чем я хотел поделиться, я понимаю что изложено все довольно кратко, но цель статьи — именно показать одно из решений, а не его конкретную реализацию, многое здесь можно сделать по другому.
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 27

      +4
      Поднять VPN сервер на RRAS и «На сервере терминалов ОБЯЗАТЕЛЬНО устанавливается TMG\ISA клиент, для того чтобы мы могли привязать правила к пользователям.» пункт не нужен. Да и вообще смысла в циске и отдельной подсети для VPN клиентов не вижу.

      Честно говоря ничего нового и необычного не увидел в этой схеме, конфиг от циски поражает своей неинформативностью для неспециалистов в этой области и бесполезностью для специалистов. Про саму схему — то же самое, специалистам она не нужна, а неспециалистам нужно больше подробностей.
        0
        Смысл в циске только один — она есть, я написал, что вполне можно терминировать pptp в другом месте, отдельная подсеть сделана для удобства, я упоминал что оба сервера развернуты на hyper-v, поэтому «сеть сервера терминалов» это просто внутренняя сеть (internal) доступная только этим двум виртуальным машинам посредством hyper-v.
          +7
          А зачем вообще нужен VPN? Его удобно использовать, чтобы с локальной машины например на сетевые шары в офисе ходить.

          Имхо вполне достаточно TS Gateway с публикацией приложений на сайте через https. Шифрование остается на том же уровне, только схема существенно упрощается — пользователь заходит на сайт с доменной учеткой, тыкает в «ярлык» подключения к серверу и вуаля — он уже на сервере терминалов.
            0
            Помимо публикуемых приложений нам нужен именно RDP. Почитайте материалы по взлому RDP, я просто перестраховался :)
              +2
              Ну дык там легко публикуется «рабочий стол». И взамывать там нечего, rdp там вообще не участвует. Обычный https сайт, вход по логину и паролю. Далее вся сессия инкапсулируется в ssl туннель.
                0
                Да, тоже подумал об этом, при проектировании решения я, возможно, слишком перестраховался :) pptp over ssl :)
                  –1
                  Но не у всех же 2008 с возможностью публикации.
                    –1
                    За последние 10 лет можно уже обновиться, я думаю.
                0
                Но это ведь только на win2k8?
                  0
                  Именно
                    0
                    Ну да, за последние 10 лет можно уже обновиться, я думаю.
                      0
                      Это вы так думаете, а Microsoft думает, что по лицензии OLV вы можете обновлять ПО в течении 3х лет без продления :)
                  +3
                  извращенная схема коннекта, сначала всех загонять в пптп а потом еще и в рдп. на выходе получим что удаленные клиенты с каналами в 256кбит будут ждать рефреша окон по несколько секунд.
                  попробуйте себе сами канал зашейпить и открыть какой нибудь пауэрпоинт презенташку с картинками. Об удаленной работе можно забыть.

                  а с учетом что у вас еще и 2008 сервер можно было не извращаться а публиковать через RemoteApp и получать до 10фпс картинку на выходе на весьма хилых каналах.
                    0
                    Сначала был 2003 сервер.
                    Ну и сколько там накладных расходов на pptp инкапсуляцию? 40 байт или около того на 1,5 килобайтный пакет, скорость может падать если оборудование не потянет поток.
                      0
                      это как вы так 40 байт насчитали? трафик не шифруете? смысл тогда было городить ДМЗ?
                        –2
                        А чем инкапсуляция в pptp шифрованного трафика отличается от инкапсуляции не шифрованного, кроме того, что информация шифруется и требует дополнительной обработки (соответственно накладные расходы на криптование), можно ссылкой.
                          0
                          Господа/дамы минусующие, прошу аргументировать в комментариях, это по крайней мере не красиво.
                          0
                          Ну а 40 байт это заголовок GRE и дополнительный IP заголовок, вроде так.
                      0
                      Забыть про пароли и использовать eToken!
                        +1
                        Попробовали бы развернуть DirectAccess — еще красивее решение получится.
                        Правда ISA\TMG выполняет функции маршрутизатора, так что девайс от Cisco тут лишний.
                          –1
                          Ну на самом деле он не лишний — он просто есть, и выполняет также еще другие функции. Но вы правы, в принципе можно терминировать pptp на ISA/tmg, просто если есть и одно и другое — есть возможность выбирать :)
                          0
                          Кстати, а голый RDP уже сломали или еще нет? Так ли уж надо его в туннель заворачивать?
                            0
                            Ломается он. Там есть ньюансы — Vpn over rdp отчасти безопасит :) хотя, если есть 2008 можно действительно обойтись без pptp.
                              0
                              А можно подробнее, каким это способом кроме брутфорса ломается RDP? ссылку хотя бы?
                                0
                                Конечно, погуглите MITM.
                                  0
                                  только версии 4 и только через ARP-отравление (vpn туннель спасет)
                              0
                              pptp использует протокол GRE (l2tp можно настроить без использования GRE — но хаком в реестре, что противоречит условиям задачи).

                              Теперь скажите, какой процент маршрутизаторов «в командировке» поддерживает NAT GRE?

                              openvpn, батенька, openvpn — и кросплатформенно, и работает.

                              Only users with full accounts can post comments. Log in, please.