Udalenka. outra história de implantação de VPN de auto-isolamento

Outra história sobre como era necessário implantar rapidamente o acesso remoto para uma pequena empresa que se isolava, mas não podia se dar ao luxo de não trabalhar mais.

Como muitas outras, a empresa que me pediu para ajudar a organizar o acesso remoto percebeu que precisaria sair para se isolar apenas alguns dias antes de o presidente anunciar essas medidas. Era necessário agir rapidamente.

De repente, tenho experiência em transferir funcionários para trabalhar remotamente em servidores RDP. Isso é um choque, todos os processos usuais quebram, a eficácia da interação dos funcionários diminui por um tempo e alguns processos param completamente. Leva tempo para todos os processos funcionarem novamente. Em geral, a opção de transferir todos para um servidor RDP em pouco tempo, considerando que o ambiente de trabalho familiar dos funcionários está mudando, não é adequada. Portanto, decidiu-se fornecer acesso diretamente aos computadores dos funcionários. Nesse caso, o ambiente de trabalho habitual permanece com o empregado; praticamente nada muda ou quebra nele.

Na empresa, juntamente com os perfis de usuários tradicionais, como empresários, vendedores, contabilidade etc., existem designers. Era necessário garantir que os designers pudessem trabalhar com o RDP em aplicativos gráficos. Você também precisa se lembrar de permitir o acesso remoto aos funcionários em todos os PCs e configurar um esquema de economia de energia para que os computadores não durmam à noite.

Para verificar se os designers podem trabalhar confortavelmente remotamente, um OpenVPN de teste foi implantado; vários designers se conectaram aos seus PCs e verificaram a operação de seus aplicativos. O acesso remoto e um esquema de economia de energia são permitidos por meio de políticas de grupo.

Para não ter desempenho no servidor VPN, poder expandir as capacidades de acesso e realizar a manutenção do servidor sem interromper esse acesso, foi decidido implantar um cluster de vários nós OpenVPN, acesso ao qual o HaProxy distribuirá.

Esquema:

Autorizaremos usuários no domínio do Active Directory. Para fazer isso, crie um grupo no domínio, por conveniência, chamei de COVID-19. Nesse grupo, você precisa adicionar usuários aos quais será concedido acesso remoto.

Para autorização através do AD no OpenVPN, você deve conectar o módulo projetado para isso.
Eu não trabalhei com o openvpn-auth-ldap, não havia tempo para descobrir isso, então usei o script deste repositório . Ele se conecta facilmente, basta colocá-lo no diretório openvpn, adicionar uma linha ao openvpn.conf e especificar os parâmetros de pesquisa para o usuário do AD.

Resta escrever uma instrução mínima para a auto-instalação do cliente OpenVPN e o perfil de conexão e enviá-los aos usuários.

Como resultado, em alguns dias, os funcionários da empresa puderam mudar rapidamente para o modo de auto-isolamento e continuar trabalhando.

Não darei uma análise detalhada das configurações do servidor. Quem quer ver e até implantar um cluster, publiquei no GitHub um manual para ansible, que implanta o HaProxy e o OpenVPN em três servidores. Atenção! Eu usei o FreeBSD, playbooks são escritos para este sistema operacional.

Para que os administradores possam ver quem está conectado no momento e a qual servidor, eles escreveram um script que consulta o servidor por coroa e gera uma página html simples. As informações sobre funcionários são obtidas do wiki de recursos internos. Você pode remover esse bloco do script, deixando apenas contas do AD ou substituí-lo por informações sobre funcionários do AD, se essas informações estiverem disponíveis lá. O script está localizado na pasta misc, no repositório, o link ao qual forneci acima.

Durante a operação, um erro desagradável foi detectado no Windows 10 1903. Ao trabalhar remotamente através do RDP, 10 interrompeu a conexão e foi impossível conectar-se a ela. O bug será curado pelo patch KV4522355

Esta é a história toda. Seu objetivo, talvez tardiamente, é fornecer um exemplo de como você pode implantar rapidamente o acesso remoto a um custo mínimo. A implementação é adequada para pequenas e médias empresas, com a capacidade de aumentar o número de conexões remotas.

Obrigado pela atenção.