Комментарии 4
*Выбранный в примере диапазон адресов позволит подключиться одновременно до 127 клиентам, т.к. выбрана сеть /23, а OpenVPN создает на каждого клиента подсеть по маске /30.А смысл? Можно же включить изоляцию, и клиенты друг друга не увидят без нарезки кусками по /30
Может я не заметил, но выдавая каждому индивидуальный сертификат при этом не задаётся к каким ресурсам имеет право доступа сотрудник. По Вашей статье получается, что подцепившись к сети, пользователь имеет доступ куда угодно по любым протоколам. Т.е. начало в общем правильное, но концовка так себе ибо тонны малвари на домашних компах спят и видят новые возможности. Это сразу станет видно в логах контроллера AD, когда имя рабочей станции в логах будет пустое при попытке авторизации. И ловля таких занятие не тривиальное.
Password b1ndP@SS — пароль пользователя для привязкиНо зачем? Существует прекрасный давно работающий RADIUS. Прекрасно и легко мониторится, все впнщки не зависят от одной учетки, которая может быть случайно или намеренно заблочена.
На этом настройка закончена!В теории практика и теория не отличаются, но на практике совершенно другое дело.
Осталось на стороне клиента установить клиентское ПО, импортировать профиль и подключиться. Для ОС типа Windows дистрибутив размещен на сайте разработчика.
Я вот могу сказать, что внедрение за неделю OpenVPN на 600+ человек совершенно разной подготовки с таким подходом как в статье будет жутким геммороем для ИТ специалиста.
Потому что по каждому сотруднику нужно будет:
1. Определиться будет у него впн или нет.
2. Со своей железяки он будет работать или нет.
3. Определиться с перечнем ресурсов к которому он будет цепляться.
4. Сгенерить сертификат и аксесс лист. Собрать индивидуальный дистрибутив. Записать правила в фаерволле (тут привет всем кто не использует радиус с привязкой к настройкам nap сервера)
5. Выдать ему индивидуальный дистрибутив который «Далее/Далее/Далее/Готово». Привет тем у кого мак/иос/андройд, поскольку там не «далее/далее/далее/готово», а несколько больше движений.
6. К дистрибутиву приложить инструкцию что «Никаких паролей с русскими символами! И если ТАР-адаптер занят перезагрузите систему и запустить OpenVPN ДО запуска тимвьювера или других впн сервисов. Если не помогло — удалить другие впн сервисы и средства удаленки и переустановить клиент OpenVPN»
7. Внезапно выяснить, что у юзвера ХР/Win7sp0 и понять что тебя ждет немного боли.
8. Внезапно выяснить, что в винде не все апдейты и на серваки с включенным NLA по рдп не пускает, поскольку в корп сети всеобновлено, а на личном ПК сотрудника нет. Там же винду ставил антипрививочник и отрубил нахрен все апдейты.
Общее на всех:
— Настроить выгрузку логов в SIEM, ELF или на худой конец в syslog север, потому что руководство 100% спросит кто и когда цеплялся за весь период. Возможно стоит начать до того как людям дадуд впн.
— Начать писать скрипт, который выгружает с компов лог событий id=4801,4800,4778,4779, поскольку выяснится, что подключится к впн это не значит начать работать. Ну или отдать эту проблему СБшникам, если у тех есть средства контроля по сети.
— Сделать вебстраничку, что бы топы могли оценить общий график подключений к впн. Типа впн выдали тыще человек, а подключилось только 150. Итак, кто оставшиеся 850 подлецов?!
— Внезапно выяснить, что в лесу доменов повершельный Get-ADGroupMember не отдает все то ты хочешь видеть. А именно список людей не входящих в домен корня леса. Покурить интернеты, где у всех точно такая же проблема и в итоге понять что проще написать самому.
— Видеть кучу подключений к vpn посреди ночи. И почему у этих нескольких человек из корп сети в сторону их личных ПК гигабайты трафика, когда остальные за рабочий день укладываются в 30 мегабайт?
— Обязательно делать снапшоты перед очередным
$ sudo yum update -y && reboot
— Понять что заворачивать весь трафик через свой шлюз было идиотской идеей.
Но за статью спасибо!
Сергей, спасибо за комментарий!
Практически со всем соглашусь, но, во избежание разрастания статьи умышленно старался сократить ее, нещадно отсекая многие важные вещи, а аудиторию в заголовке обозначил как SMB. Боролся даже с желанием хотя бы простецкий график типа darkstat прикрутить! А вообще статья — проба пера, OpenVPN просто первый под руку попался. )
600+ — уже не самый типовой SMB. Как правило, специалисты в такой организации знают и понимают как строить подобные системы и для них статья мелковата, хотя может подойти как quick start.
По пунктам.
Если у коллег возникнет предложение, можно написать статью типа «продвинутые настройки OpenVPN» или «OpenVPN для 1000 пользователей».
Практически со всем соглашусь, но, во избежание разрастания статьи умышленно старался сократить ее, нещадно отсекая многие важные вещи, а аудиторию в заголовке обозначил как SMB. Боролся даже с желанием хотя бы простецкий график типа darkstat прикрутить! А вообще статья — проба пера, OpenVPN просто первый под руку попался. )
600+ — уже не самый типовой SMB. Как правило, специалисты в такой организации знают и понимают как строить подобные системы и для них статья мелковата, хотя может подойти как quick start.
По пунктам.
- Настройка межсетевого экрана помещена в секции настройка сети. Дабы не затрагивать инфрастуктуру, архитектуру которой предугадать в статье невозможно, предложил фильтровать встроенным iptables. Да, персонализация ACL не затронута. Анонсировать стоит только нужные маршруты, а маршрут по умолчанию на клиенте не меняется.
- RADIUS используется не в каждом SMB.
- На разных клиентах импорт профиля проходит довольно гладко, с этим проблем замечено не было. Если бы выдавался набор файлов в виде конфига, сертификатов, ключей… Это пользователю объяснить было бы сложно. Но с профилем и инструкцией с картинками большинство пользователей с этой задачей справляются самостоятельно.
- Клиентская сторона за пределами статьи, ибо кратко описать эту боль невозможно. Трудно предсказать, что и в какой конфигурации нас будет ожидать по ту сторону туннеля.
- Статистика — обширная тема, и не в каждой организации есть СБшники. Но да, она не менее важна, чем мониторинг и архивация.
Если у коллег возникнет предложение, можно написать статью типа «продвинутые настройки OpenVPN» или «OpenVPN для 1000 пользователей».
Добрый.
Немного не в тему, но pfsense\opnsense умеет ВПН и не только. Присутствует возможность отсылки логов на удаленный syslog-сервер. И все это через удобный веб-гуи. Для SMB самое-то.
Немного не в тему, но pfsense\opnsense умеет ВПН и не только. Присутствует возможность отсылки логов на удаленный syslog-сервер. И все это через удобный веб-гуи. Для SMB самое-то.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Организация удаленной работы SMB организации на OpenVPN