Udalenka otra historia de implementación de VPN de autoaislamiento

Otra historia sobre cómo era necesario implementar rápidamente el acceso remoto para una pequeña empresa que se aisló por sí misma, pero que no podía permitirse no trabajar más.

Al igual que muchos otros, la compañía que me pidió que ayudara a organizar el acceso remoto se dio cuenta de que tendrían que irse a aislarse solo unos días antes de que el presidente anunciara estas medidas. Era necesario actuar rápidamente.

Tengo experiencia de repente transfiriendo empleados para trabajar de forma remota en servidores RDP. Esto es un shock, todos los procesos habituales se rompen, la efectividad de la interacción de los empleados disminuye por un tiempo y algunos procesos se detienen por completo. Lleva tiempo que todos los procesos vuelvan a funcionar. En general, la opción de transferir a todos a un servidor RDP en poco tiempo, dado que el entorno de trabajo familiar de los empleados está cambiando, no es adecuada. Por lo tanto, se decidió proporcionar acceso directamente a las computadoras de los empleados. En este caso, el entorno de trabajo habitual permanece con el empleado; prácticamente nada cambia ni se rompe en él.

En la empresa, junto con los perfiles de usuario tradicionales, como comerciantes, vendedores, contabilidad, etc., hay diseñadores. Era necesario asegurarse de que los diseñadores pudieran trabajar a través de RDP en aplicaciones gráficas. También debe recordar permitir el acceso remoto para los empleados en todas las PC y configurar un esquema de ahorro de energía para que las computadoras no se duerman por la noche.

Para verificar que los diseñadores puedan trabajar cómodamente de forma remota, se implementó una prueba OpenVPN, luego varios diseñadores se conectaron a sus PC y comprobaron el funcionamiento de sus aplicaciones. El acceso remoto y un esquema de ahorro de energía están permitidos a través de políticas grupales.

Para no encontrarse con el rendimiento del servidor VPN, para poder ampliar las capacidades de acceso y realizar el mantenimiento del servidor sin detener este acceso, se decidió implementar un clúster de varios nodos OpenVPN, acceso al cual se distribuirá HaProxy.

Esquema:

Autorizaremos a los usuarios en el dominio de Active Directory. Para hacer esto, cree un grupo en el dominio, por conveniencia, lo llamé COVID-19. En este grupo debe agregar usuarios a los que se les otorgará acceso remoto.

Para la autorización a través de AD en OpenVPN, debe conectar el módulo diseñado para esto.
No trabajé con openvpn-auth-ldap, no había tiempo para resolverlo, así que usé el script de este repositorio . Se conecta fácilmente, simplemente colóquelo en el directorio openvpn, agregue una línea a openvpn.conf y especifique los parámetros de búsqueda para el usuario de AD.

Queda por escribir una instrucción mínima para la autoinstalación del cliente OpenVPN y el perfil de conexión y enviarlos a los usuarios.

Como resultado, en unos pocos días, los empleados de la compañía pudieron cambiar rápidamente al modo de autoaislamiento y continuar trabajando.

No daré un análisis detallado de la configuración del servidor. Quien quiera ver e incluso implementar un clúster, publiqué en GitHub un libro de jugadas para ansible, que implementa HaProxy y OpenVPN en tres servidores. ¡Atención! Utilicé FreeBSD, los libros de jugadas están escritos para este sistema operativo.

Para que los administradores puedan ver quién está conectado actualmente y a qué servidor, escribieron un script que sondea el servidor por corona y genera una página html simple. La información sobre los empleados se toma de la wiki de recursos internos, puede eliminar este bloque del script, dejando solo cuentas de AD o reemplazarlo con información sobre los empleados de AD, si dicha información está disponible allí. El script se encuentra en la carpeta miscelánea, en el repositorio, el enlace al que di anteriormente.

Durante la operación, se detectó un error desagradable en Windows 10 1903. Al trabajar de forma remota a través de RDP, 10 se desconectó, después de lo cual fue imposible conectarse a él. El error se curará con el parche KV4522355

Esta es toda la historia. Su propósito, quizás tardíamente, es mostrar un ejemplo de cómo puede implementar rápidamente el acceso remoto a un costo mínimo. La implementación es adecuada para pequeñas y medianas empresas, con la capacidad de aumentar el número de conexiones remotas.

Gracias por la atención.