أودالينكا. قصة نشر VPN أخرى للعزل الذاتي

قصة أخرى حول كيف كان من الضروري نشر الوصول عن بعد بسرعة لشركة صغيرة دخلت في عزلة ذاتية ، لكنها لم تستطع تحمل عدم العمل أكثر.

مثل العديد من الشركات الأخرى ، أدركت الشركة التي طلبت مني المساعدة في تنظيم الوصول عن بعد أنها ستضطر إلى المغادرة للعزل الذاتي قبل أيام قليلة من إعلان الرئيس عن هذه الإجراءات. كان من الضروري التصرف بسرعة.

لدي خبرة في نقل الموظفين فجأة للعمل عن بعد على خوادم RDP. هذه صدمة ، تنهار جميع العمليات المعتادة ، وتنخفض فعالية تفاعل الموظف لبعض الوقت ، وتتوقف بعض العمليات تمامًا. تستغرق جميع العمليات للعمل مرة أخرى. بشكل عام ، خيار نقل الجميع إلى خادم RDP في وقت قصير ، نظرًا لأن بيئة العمل المألوفة للموظفين تتغير ، غير مناسب. لذلك ، تقرر توفير الوصول مباشرة إلى أجهزة الكمبيوتر للموظفين. في هذه الحالة ، تبقى بيئة العمل المعتادة مع الموظف ؛ عمليا لا شيء يتغير أو يكسر فيه.

في الشركة ، إلى جانب ملفات تعريف المستخدمين التقليدية ، مثل رجال الأعمال والبائعين والمحاسبة ، وما إلى ذلك ، هناك مصممين. كان من الضروري التأكد من أن المصممين يمكنهم العمل من خلال RDP في التطبيقات الرسومية. تحتاج أيضًا إلى تذكر السماح بالوصول عن بُعد للموظفين على جميع أجهزة الكمبيوتر وإعداد مخطط موفر للطاقة حتى لا تنام أجهزة الكمبيوتر ليلاً.

للتحقق من قدرة المصممين على العمل بشكل مريح عن بُعد ، تم نشر اختبار OpenVPN ، ثم تم توصيل العديد من المصممين بأجهزة الكمبيوتر الخاصة بهم وفحص تشغيل تطبيقاتهم. يُسمح بالوصول عن بُعد ومخطط توفير الطاقة من خلال سياسات المجموعة.

لكي لا تصطدم بأداء خادم VPN ، لتتمكن من توسيع قدرات الوصول وإجراء صيانة الخادم دون إيقاف هذا الوصول ، تقرر نشر مجموعة من عدة عقد OpenVPN ، والتي سيتم توزيع HaProxy عليها.

مخطط:

سنفوض المستخدمين في مجال Active Directory. للقيام بذلك ، قم بإنشاء مجموعة في المجال ، للراحة ، أطلق عليها COVID-19. في هذه المجموعة ، تحتاج إلى إضافة المستخدمين الذين سيتم منحهم الوصول عن بعد.

للحصول على تفويض من خلال AD في OpenVPN ، يجب عليك توصيل الوحدة النمطية المصممة لذلك.
لم أعمل مع openvpn-auth-ldap ، لم يكن هناك وقت لأكتشف ذلك ، لذلك استخدمت النص البرمجي من هذا المستودع . يتم توصيله بسهولة ، فقط ضعه في دليل openvpn ، أضف سطرًا إلى openvpn.conf وحدد معلمات البحث لمستخدم AD.

يبقى كتابة تعليمات الحد الأدنى للتثبيت الذاتي للعميل OpenVPN وملف تعريف الاتصال وإرسالها إلى المستخدمين.

ونتيجة لذلك ، تمكن موظفو الشركة في غضون أيام قليلة من التحول بسرعة إلى وضع العزل الذاتي والاستمرار في العمل.

لن أعطي تحليلاً مفصلاً لإعدادات الخادم. من يريد أن يرى بل ونشر مجموعة ، قمت بنشر كتاب تشغيل على GitHub من أجل ansible ، والذي ينشر HaProxy و OpenVPN على ثلاثة خوادم. انتباه! لقد استخدمت FreeBSD ، تمت كتابة كتب التشغيل لنظام التشغيل هذا.

حتى يتمكن المسؤولون من معرفة من المتصل حاليًا وأي خادم ، كتبوا برنامجًا نصيًا يستقصي الخادم عن طريق التاج وينشئ صفحة html بسيطة. يتم أخذ المعلومات حول الموظفين من ويكي الموارد الداخلية ، يمكنك إزالة هذا الحظر من البرنامج النصي ، وترك حسابات AD فقط أو استبدالها بمعلومات عن الموظفين من AD ، إذا كانت هذه المعلومات متوفرة هناك. يوجد النص البرمجي في مجلد متنوع ، في المستودع الرابط الذي أعطيته أعلاه.

أثناء التشغيل ، تم الكشف عن خطأ غير سار في Windows 10 1903. عند العمل عن بعد من خلال RDP ، قطع 10 الاتصال ومن ثم كان من المستحيل الاتصال به. سيتم معالجة الخلل بواسطة التصحيح KV4522355

هذه هي القصة كلها. والغرض منه ، ربما متأخرا ، هو تقديم مثال لكيفية نشر الوصول البعيد بسرعة بأقل تكلفة. التطبيق مناسب للمؤسسات الصغيرة والمتوسطة ، مع القدرة على زيادة عدد الاتصالات عن بعد.

شكرا للانتباه.