Udalenka. kisah lain penyebaran VPN isolasi diri

Kisah lain tentang perlunya menyebarkan akses jarak jauh dengan cepat untuk perusahaan kecil yang melakukan isolasi sendiri, tetapi tidak mampu untuk tidak bekerja lebih jauh.

Seperti banyak perusahaan lain, perusahaan yang meminta saya untuk membantu mengatur akses jarak jauh menyadari bahwa mereka harus pergi sendiri hanya beberapa hari sebelum presiden mengumumkan langkah-langkah ini. Itu perlu untuk bertindak cepat.

Saya memiliki pengalaman tiba-tiba mentransfer karyawan untuk bekerja dari jarak jauh di server RDP. Ini adalah kejutan, semua proses yang biasa rusak, efektivitas interaksi karyawan menurun untuk sementara waktu, dan beberapa proses benar-benar berhenti. Butuh waktu untuk semua proses untuk bekerja lagi. Secara umum, opsi untuk mentransfer semua orang ke server RDP dalam waktu singkat, mengingat lingkungan kerja karyawan yang akrab berubah, tidak cocok. Oleh karena itu, diputuskan untuk menyediakan akses langsung ke komputer karyawan. Dalam hal ini, lingkungan kerja yang biasa tetap dengan karyawan, praktis tidak ada yang berubah atau rusak dalam dirinya.

Di perusahaan, bersama dengan profil pengguna tradisional, seperti pengusaha, penjual, akuntansi, dll, ada desainer. Itu perlu untuk memastikan bahwa desainer dapat bekerja melalui RDP dalam aplikasi grafis. Anda juga harus ingat untuk memungkinkan akses jarak jauh bagi karyawan di semua PC dan mengatur skema hemat energi sehingga komputer tidak tertidur di malam hari.

Untuk memverifikasi bahwa perancang dapat bekerja dengan nyaman dari jarak jauh, tes OpenVPN dikerahkan, kemudian beberapa perancang terhubung ke PC mereka dan memeriksa pengoperasian aplikasi mereka. Akses jarak jauh dan skema penghematan energi diizinkan melalui kebijakan grup.

Agar tidak mengalami kinerja server VPN, untuk dapat memperluas kapasitas akses dan melakukan pemeliharaan server tanpa menghentikan akses ini, diputuskan untuk menggunakan sekelompok beberapa node OpenVPN, akses yang akan didistribusikan oleh HaProxy.

Skema:

Kami akan mengesahkan pengguna dalam domain Direktori Aktif. Untuk melakukan ini, buat grup di domain, untuk kenyamanan, saya menyebutnya COVID-19. Di grup ini Anda perlu menambahkan pengguna yang akan diberikan akses jarak jauh.

Untuk otorisasi melalui AD di OpenVPN, Anda harus menghubungkan modul yang dirancang untuk ini.
Saya tidak bekerja dengan openvpn-auth-ldap, tidak ada waktu untuk mengetahuinya, jadi saya menggunakan skrip dari repositori ini . Itu terhubung dengan mudah, cukup letakkan di direktori openvpn, tambahkan baris ke openvpn.conf dan tentukan parameter pencarian untuk pengguna AD.

Tetap menulis instruksi minimum untuk instalasi sendiri klien OpenVPN dan profil koneksi dan mengirimkannya kepada pengguna.

Akibatnya, dalam beberapa hari, karyawan perusahaan dapat dengan cepat beralih ke mode isolasi diri dan terus bekerja.

Saya tidak akan memberikan analisis terperinci tentang pengaturan server. Siapa yang ingin melihat dan bahkan menggunakan cluster, saya memposting di GitHub sebuah buku pedoman untuk memungkinkan, yang menyebarkan HaProxy dan OpenVPN pada tiga server. Perhatian! Saya menggunakan FreeBSD, buku pedoman ditulis untuk OS ini.

Agar admin dapat melihat siapa yang saat ini terkoneksi dan ke server mana, mereka menulis skrip yang mem-polling server dengan crown dan menghasilkan halaman html sederhana. Informasi tentang karyawan diambil dari wiki sumber daya internal, Anda dapat menghapus blok ini dari skrip, meninggalkan hanya akun AD atau menggantinya dengan informasi tentang karyawan dari AD, jika informasi tersebut tersedia di sana. Script terletak di folder misc, di repositori tautan yang saya berikan di atas.

Selama operasi, bug yang tidak menyenangkan terdeteksi pada Windows 10 1903. Ketika bekerja dari jarak jauh melalui RDP, 10 memutuskan koneksi dan kemudian tidak mungkin untuk terhubung. Bug akan disembuhkan dengan patch KV4522355

Ini adalah keseluruhan cerita. Tujuannya, mungkin terlambat, adalah untuk memberikan contoh bagaimana Anda dapat dengan cepat menyebarkan akses jarak jauh dengan biaya minimal. Implementasinya cocok untuk usaha kecil dan menengah, dengan kemampuan untuk meningkatkan jumlah koneksi jarak jauh.

Terimakasih atas perhatiannya.