Udalenka. Eine weitere Geschichte zur Selbstisolierung der VPN-Bereitstellung

Eine andere Geschichte darüber, wie es notwendig war, den Fernzugriff für ein kleines Unternehmen schnell bereitzustellen, das sich selbst isolierte, es sich aber nicht leisten konnte, nicht weiter zu arbeiten.

Wie viele andere erkannte auch das Unternehmen, das mich um die Organisation des Fernzugriffs gebeten hatte, dass es nur wenige Tage vor der Ankündigung dieser Maßnahmen durch den Präsidenten zur Selbstisolierung aufbrechen musste. Es war notwendig, schnell zu handeln.

Ich habe die Erfahrung gemacht, dass Mitarbeiter plötzlich auf RDP-Server remote arbeiten. Dies ist ein Schock, alle üblichen Prozesse brechen zusammen, die Effektivität der Mitarbeiterinteraktion nimmt für eine Weile ab und einige Prozesse werden vollständig gestoppt. Es dauert einige Zeit, bis alle Prozesse wieder funktionieren. Im Allgemeinen ist die Option, alle in kurzer Zeit auf einen RDP-Server zu übertragen, nicht geeignet, da sich das übliche Arbeitsumfeld der Mitarbeiter ändert. Daher wurde beschlossen, den Zugriff direkt auf die Computer der Mitarbeiter zu ermöglichen. In diesem Fall bleibt das übliche Arbeitsumfeld beim Mitarbeiter, praktisch nichts ändert sich oder bricht in ihm.

Im Unternehmen gibt es neben herkömmlichen Benutzerprofilen wie Geschäftsleuten, Verkäufern, Buchhaltern usw. Designer. Es musste sichergestellt werden, dass Designer RDP in Grafikanwendungen verarbeiten können. Sie müssen auch daran denken, den Mitarbeitern auf allen PCs den Fernzugriff zu ermöglichen und ein Energiesparschema einzurichten, damit Computer nachts nicht einschlafen.

Um zu überprüfen, ob Designer bequem remote arbeiten können, wurde ein Test OpenVPN bereitgestellt, dann wurden mehrere Designer mit ihren PCs verbunden und der Betrieb ihrer Anwendungen überprüft. Fernzugriff und ein Energiesparschema sind über Gruppenrichtlinien zulässig.

Um die Leistung des VPN-Servers nicht zu beeinträchtigen, um die Zugriffskapazitäten zu erweitern und die Serverwartung durchzuführen, ohne diesen Zugriff zu stoppen, wurde beschlossen, einen Cluster aus mehreren OpenVPN-Knoten bereitzustellen, auf die HaProxy den Zugriff verteilt.

Planen:

Wir werden Benutzer in der Active Directory-Domäne autorisieren. Erstellen Sie dazu eine Gruppe in der Domäne. Ich habe sie der Einfachheit halber COVID-19 genannt. In dieser Gruppe müssen Sie Benutzer hinzufügen, denen Remotezugriff gewährt wird.

Für die Autorisierung über AD in OpenVPN müssen Sie das dafür vorgesehene Modul anschließen.
Ich habe nicht mit openvpn-auth-ldap gearbeitet, es war keine Zeit, es herauszufinden, also habe ich das Skript aus diesem Repository verwendet . Die Verbindung ist einfach, legen Sie sie einfach im Verzeichnis openvpn ab, fügen Sie eine Zeile zur Datei openvpn.conf hinzu und geben Sie die Suchparameter für den AD-Benutzer an.

Es bleibt eine Mindestanweisung für die Selbstinstallation des OpenVPN-Clients und des Verbindungsprofils zu schreiben und diese an Benutzer zu senden.

So konnten die Mitarbeiter des Unternehmens innerhalb weniger Tage schnell in den Selbstisolationsmodus wechseln und weiterarbeiten.

Ich werde keine detaillierte Analyse der Servereinstellungen geben. Wer einen Cluster sehen und sogar bereitstellen möchte, habe auf GitHub ein Playbook für Ansible veröffentlicht, das HaProxy und OpenVPN auf drei Servern bereitstellt. Beachtung! Ich habe FreeBSD verwendet, Playbooks sind für dieses Betriebssystem geschrieben.

Damit Administratoren sehen können, wer aktuell mit welchem ​​Server verbunden ist, hat er ein Skript geschrieben, das den Server nach Krone abfragt und eine einfache HTML-Seite generiert. Informationen zu Mitarbeitern werden aus dem internen Ressourcen-Wiki übernommen. Sie können diesen Block aus dem Skript entfernen und nur AD-Konten belassen oder ihn durch Informationen zu Mitarbeitern aus AD ersetzen, sofern diese Informationen dort verfügbar sind. Das Skript befindet sich im Ordner misc, im Repository unter dem Link, zu dem ich oben angegeben habe.

Während des Betriebs wurde in Windows 10 1903 ein unangenehmer Fehler festgestellt. Bei der Remote-Arbeit über RDP 10 wurde die Verbindung getrennt. Danach konnte keine Verbindung mehr hergestellt werden. Der Fehler wird durch den Patch KV4522355 behoben

Das ist die ganze Geschichte. Der Zweck ist möglicherweise verspätet, ein Beispiel dafür zu liefern, wie Sie den Remotezugriff schnell und zu minimalen Kosten bereitstellen können. Die Implementierung eignet sich sowohl für kleine als auch für mittlere Unternehmen und kann die Anzahl der Remoteverbindungen erhöhen.

Vielen Dank für Ihre Aufmerksamkeit.