乌达伦卡。另一个自我隔离VPN部署的故事

另一个故事讲述了如何为陷入自我隔离的小公司快速部署远程访问，但又承受不起进一步的工作。

像许多其他公司一样，要求我帮助组织远程访问的公司意识到，在总统宣布这些措施前几天，他们将不得不离开自我隔离。必须迅速采取行动。

我有突然转移员工到RDP服务器上远程工作的经验。令人震惊的是，所有常规流程都崩溃了，员工互动的有效性暂时下降了，有些流程完全停止了。所有流程重新工作都需要时间。通常，鉴于员工熟悉的工作环境正在发生变化，因此无法在短时间内将所有人转移到RDP服务器。因此，决定直接提供对员工计算机的访问。在这种情况下，通常的工作环境仍留在员工手中；实际上，员工没有任何变化或中断。

在公司中，除了传统的用户资料（例如商人，卖家，会计等）外，还有设计师。必须确保设计人员可以在图形应用程序中通过RDP进行工作。您还需要记住要允许所有PC上的员工进行远程访问，并设置节能方案，以使计算机不会在晚上入睡。

为了验证设计人员可以舒适地进行远程工作，部署了一个测试OpenVPN，然后将多个设计人员连接到其PC并检查其应用程序的运行情况。通过组策略允许远程访问和节能方案。

为了不影响VPN服务器的性能，以便能够扩展访问容量并在不停止该访问的情况下执行服务器维护，决定部署由多个OpenVPN节点组成的集群，HaProxy将向其分发访问。

方案：

我们将授权Active Directory域中的用户。为此，请在域中创建一个组，为方便起见，我将其称为COVID-19。在此组中，您需要添加将被授予远程访问权限的用户。

要通过OpenVPN中的AD授权，必须连接为此设计的模块。
我没有使用openvpn-auth-ldap，没有时间弄清楚它，所以我使用了该存储库中的脚本。它易于连接，只需将其放置在openvpn目录中，在openvpn.conf中添加一行，并为AD用户指定搜索参数。

剩下的是编写有关自动安装OpenVPN客户端和连接配置文件并将其发送给用户的基本说明。

结果，几天之内，公司员工就能够快速切换到自我隔离模式并继续工作。

我将不对服务器设置进行详细分析。谁想看甚至部署集群，我在GitHub上发布了 ansible 的剧本，它在三台服务器上部署了HaProxy和OpenVPN。注意！我用的是FreeBSD，剧本是为此OS编写的。

为了使管理员可以看到当前连接的服务器和服务器，他编写了一个脚本，按冠状图轮询服务器并生成一个简单的html页面。有关员工的信息来自内部资源Wiki，您可以从脚本中删除此块，仅保留AD帐户，或者使用AD的员工信息替换该信息（如果有）。该脚本位于misc文件夹中，在存储库中，我已在上面给出了链接。

在运行期间，在Windows 10 1903中检测到一个令人不愉快的错误。通过RDP进行远程工作时，10断开了连接，之后无法连接到它。该错误将通过补丁KV4522355解决

这就是整个故事。其目的（也许是迟来的）是提供一个示例，说明如何以最低的成本快速部署远程访问。该实现适用于中小型企业，并具有增加远程连接数量的能力。

谢谢您的关注。