Как стать автором
Обновить

Комментарии 43

НЛО прилетело и опубликовало эту надпись здесь
По-моему, как-то неконструктивно. Пока речь шла фактически об IPv4 и IPv6, а это все RFC.
НЛО прилетело и опубликовало эту надпись здесь
Простите, а причем здесь то что вы сейчас написали и DirectAccess?
дело в том, что главная фича директ ацесс во всех рекламных статьях (включая эту): «Первая очень важная особенность – от пользователя не требуются никакие дополнительные действия» — т.е. автоматическое поднятие туннеля при наличии интернета
В чем смысл вообще заморачиваться с опенвпн если в винде есть искаропки впн? Вот это действительно костыль. А DirectAccess по-моему очень удобная технология хотя бы уже тем, что не надо пациентам рассказывать вот, мол, щелкните сначала вот этот значочек чтоб подключиться к интернету, потом вот этот чтоб подключиться к сети компании, потом введите логин и пароль, причем не свои, а от впн…
НЛО прилетело и опубликовало эту надпись здесь
Конечно можно. только вот сравни трудозатраты на подключение клиента с впн штатными средствами винды и с помощью опенвпн.
для опенвпн — запустить инсталл, а потом распаковать три файлика.
Найти, скачать, установить, потом где-то найти эти 3 файлика, додуматься куда их копировать… А кстати разве опенвпн кроме автозагрузки умеет еще и автоподключение? Конфиги наверно ковырять надо?
Умеет. Если подойти, установить, настроить. Так, чтобы через Group Policy — никогда не сможет.
Админ найдёт скачает и настроит сервер. И скажет куда скопировать.
Для DirectAccess:
1 Раз настроить сервер. Всё.
дык это… для опенвпна — то же самое, не? только сертификат на клиента положи и все
Не. Ибо на клиента надо бы самого OpenVPN клиента поставить ;)
Да, это решаемо политиками (а уж GPP так и вообще сказка), но всё равно, по сравнению с DA количество телодвижений гораздо больше.
> да этого нет в коробке винды.

Да ладно? Аутентификацию по сертификатам не проходили еще? Групповыми политиками подключения не создавали? Никогда не настраивали клиентские компьютеры централизованно?

Юзер вообще может не знать, что он подключается к какому-то там VPN. А добиться такой прозрачности с применением DA бесконечно проще — вообще никак не надо настраивать клиентский компьютер. VPN становится не нужен.
имеется ввиду автоподнятие туннеля при появлении связи, наверное
майкрософт переименовала IPSec. это для них типично.
но почему vpn и маршрутизацию принципиально невозможно настроить?
Майкрософт не переименовывала IPSec, в документации прямо указано что эта технология используется как часть решения DirectAccess. Если для MS типично переименовывать общепринятые протоколы — потрудитесь предоставить примеры, пожалуйста.
Принципиально можно настроить и vpn, и маршрутизацию, и на любой платформе, о чем спор?
Другое дело что тут это делается в несколько кликов, все это тесно интегрируется с уже настроенными NAP. Видно все что открыто и кому из одного места (UAG). За пару минут добавляется мониторинг для новой технологии через OpsMgr.
Никто не спорит что все можно сделать на не-MS. Но насколько удобно это получится и сколько будет затрачено времени?
НЛО прилетело и опубликовало эту надпись здесь
в случае поднятия простейшего интернет-шлюза — windows-server тупо дольше устанавливается (по крайней мере 2003, более поздние версии не ставил). конечно, если вам нужен контроллер домена, то в линуксе вам нужно точно знать, что вы делаете. Не гроворю, что в виндовс не нужно знать ничего, но средневзвешенный админ на винде поднимет контроллер домена, наверное, быстрее.
в случае поднятия простейшего интернет-шлюза — ставится коробка от Cisco и настраивается за 5 минут.
тогда уж вообще длинк дир-300
На 3х человек — может быть, или для Вас шлюзы-роутеры различаются только интерфейсом конфигурирования?
Да если бы только контроллер домена, он ведь ставится для чего-то. Простейший случай — централизованное управление аккаунтами пользователей, администрирование пользовательских рабочих мест, запрет/разрешение пользования разными информационными ресурсами, автоматизация рутины. Я думаю нет сомнения в том, на какой платформе это быстрее реализуется. И дело тут не в квалификации админа, а в том что майкрософт достаточно много внимания уделяет взаимодействию собственных продуктов и их работе «из коробки».
Спор ни о чём. Я просто спросил автора первого коментария, да видать промахнулся кнопкой, коментарий получился верхнего уровня.

Разумеется майкрософт ничего не переименовывала прямо. Майкрософт часто берёт какую-то технологию, заворачивает в новую обёртку и даёт громкое название. Из примеров сейчас вспомнил «Web folders».
дело в том что когда инфраструктура уже работает долгие годы — что-то менять иногда себе дороже. а автоподнятия VPN при появлении связи — например на шлюзе филиала с центральным офисом — у майкрософта не было до этого момента, нужно было писать скрипты или ставить специально обученного человека.
> а автоподнятия VPN при появлении связи у майкрософта не было

Было, есть и будет есть. Обычнейшее on-demand подключение на сервере RRAS. В настройках запрещаем отключаться при простое, пусть остается подключенным вечно. Связь оборвалась — подключение упало. Связь появилась — курим до тех пор, пока подключение не требуется. Как только стало нужно — поднялось. Всё делается в три щелчка, какие еще специально обученные скрипты?
тогда я вообще не понимаю, почему майкрософт как киллер-фичу это свое автоподнятие туннеля позиционирует
Внимательно почитайте ВСЕ возможности DA.
Заодно не забудьте прочитать сколькими и какими способами он это может делать.
я не говорю про ВСЕ возможности, я говорю про то, что в рекламе
Ещё раз прочитал ветку и всё стало на свои места.
Вы знаете что такое RRAS, о котором пишет chupkb?
Как сисадмину мне интересно, как администратор локальной сети может запретить directaccess (как клиентов) с машин своей сети. Достаточно ли для этого запретить Teredo и IPV6 на firewall-e?
DA умеет через HTTPS ходить. Так что…
А зачем вам это делать?
Если вы хотите держать свою сеть под контролем: устанавливайте настройки машин с помощью групповых политик, проверяйте соответствие с помощью NAP.

Если вы хотите обезопаситься от слива информации — отключите интернет, или разрешите обращения лишь к особо определнным сайтам и проверяйте трафик. Туннели есть и такие что в icmp-пингах прячуться.

И вообще, в наше время наивно делать различия в плане безопасности между внутренней и внешней сетью. Большинство угроз сейчас приходит как раз из внутренней сети. Снаружи то что — DMZ, Firewall уровня приложений и пробиваться к вам извне станет уже нецелесообразно. А изнутри: флешки, подкупленные сотрудники (занесшие трояна/слившие инфу), некомпетентные/не соблюдающие политики сотрудники (wi-fi роутер в корп сети, пароль типа 12Октября, клиент для удаленного управления из дома, и т.д.)
Могу просто обьяснить: мне не нравится автоматичность этого действия. Излишняя автоматичность небезопасна — пример тому автостарт с флешек. Я ожидаю следующий сценарий: компьютер несведующего в компьютерах специалиста
(например эстрадного певца) устанавливает такое (вообще говоря не нужное ему) соединение с домашней сетью, полной вредносного ПО. ПО получает сетевой канал внутрь управляемой мной сетки.
Вижу такое решение:
— ipv6 запретить
— Teredo запретить
— https требует ручной авторизации на прокси.
Может вы тогда хотите отключить еще и групповые политики и утилиты командной строки? :)
То что DA можно настроить без ведома пользователя, не значит что он может настроится без ведома администратора. Хотя конечно если в сети каждый пользователь обладает правами администратора, а каждый третий имеет свой домен… но в таком случае у вас уже не в DA проблема :)

Соединение с домашней сетью через DA пользователь не установит — для DA требуется инфраструктура, поднимать которую админам домашних сетей не надо/не хватит квалификации. В частности — AD.

Если у вас пользователи могут устанавливать всё что захотят, вам стоит опасаться не технологий помогающих администратору, а вредоносного ПО. Пользователь скорее установит троян использующий любой доступный порт/прокси для открытия канала к хозяину, чем «ВНЕЗАПНО подхватит DA» :)
А как быть с пользователями-гостями? Им бывает нужен доступ к ресурсам внутренней сети, но политики на их компьютерах не выставишь и в домен не введешь.
DA можно отключить политикой — я так понял.
Эх…
Вы придумываете совершенно от балды примеры, на которые еесстественно нормального ответа нет.
Теперь по порядку:
а) если вы развертываете DA, значит вам это нужно и вы понимаете КТО и КУДА будет иметь доступ. Можно, конечно, развернуть DA на все машины в домене, но тогда нефиг сомневаться.
б) если вы решили что у человека должен быть доступ к домену через DA, то почему его машина должна быть как решето, что оказавшись в абстрактной «домашней» сети она сразу заразится сто-тыщ мильёнами зловредов? Между прочим DA как поможет с этим бороться, оставляя связь с WSUS и т.п. даже за пределами сети организации.
в) как вам xaegr правильно говорит — NAP.
г) DA можно настроить что стартовать будет только со вставленной смарт-картой, т.е. человек захотел порно посмотреть дома — пожалуйста, захотел поработать — воткнул СК — пожалуйста.

А вообще вы хернёй страдаете, вам предлагают ДА чтобы не надо было устанавливать соединение, так вы хотите наоборот, что бы надо было руками устанавливать соединение.

И да, сервер DA любой юзверь может поднять, ага.
>Можно легко столкнуться с программами, которые не работают или криво работают через NAT

а уж сколько программ, которые не работают или криво работают через IPv6, и вообще не говорить не стоит
*вообще говорить не стоит
Если у меня ноут с виндой, не введённой в домен, смогу я на нём настроить доступ через DA? Если да — то каким образом происходит аутентификация? Если ноут украдут и снимут пароль какой-нить тулзой, и включат, то подключится ли он автоматически к корпоративной сети?
Что делает в корпоративной сети компьютер не введенный в домен?
DA разумеется не будет работать без AD, это как вы заметели было бы совершенно небезопасно. technet.microsoft.com/ru-ru/library/ee382305(WS.10).aspx
Зарегистрируйтесь на Хабре, чтобы оставить комментарий