Time404

Как я админил несколько компаний через VPN.

В какой-то период жизни мне немного надоело работать. Точнее работать конкретно на одном рабочем месте в режиме постоянного торчания в офисе. И решил я отдохнуть от просиживания штанов в кабинетах и попробовать поработать на самого себя. Благо кое-какой опыт и знания были, плюс, сарафанное ради с помощью кучи знакомых делали свое дело, поэтому и клиентов хватало.

 

В нашем деле как? Сперва наведи порядок, настрой и отладь все грамотно. А дальше само все работает, знай поддерживай и обновляй вовремя (ну, так кажется, по-началу). Да и почти все так и есть. Когда-же все отлажено, почищенно, заменено и работает как часы, то и ездить к клиенту особо часто не нужно. Ясное дело, бывают форс-мажоры, плановые мероприятия, увеличение штата - там да, личное присутствие необходимо, но, к счастью, происходит не так часто.

Хотя, был случай, когда на одном из "подшефных" предприятий порезвилась гроза -  пришлось в авральном режиме, практически безвылазно, в течение нескольких дней восстанавливать работоспособность всей инфраструктуры. А просто руководство компании поскупилось на нормальную защиту от гроз, сэкономили, блин, даже на простых громоотводах по территории и заземлениях, хотя предприятие деревообрабатывающее. Итог простой летней грозы - пара серверов (благо были бекапы на отдельной машине и в другом помещени), куча сетевого железа, IP-камеры и несколько компьютеров пользователей ушли на утиль. Некоторые рабочие станции спасли ИБП, правда ценой собственной жизни. А вот с серверами не прокатило, сдохли и бесперебойники и серверы. 

Но вернемся к рутине, которая, обычно, выполняется удаленно.

Самая прелесть, что ты, по-сути, не привязан к рабочему месту географически.

Но есть нюансы - как подключиться к внутренним ресурсам компании, камерам, коммутаторам, регистраторам, к серверам или, что наиболее часто, к рабочему столу бухгалтера, чтоб закрыть очередное "какое-то окошко"? 

- Пробросить на шлюзе доступ к удаленным рабочим столам (RDP, VNC) в внешний мир? 

- Также пробросить управление коммутаторами, подключение SSH? 

- Юзать софт типа AnyDesk или TeamViewer (который, зачем-то ушел из России)?

Да, есть такие варианты и многие админы на удаленке так и делают, просто и без лишнего геморроя. Но, блин, без геморроя - не наш метод))  

- Пробросить управление - выставить голой попой в интернет? Паранойя не подпишет. Тем более пробрасывать каждое устройство, такое себе решение, хотя VNC может с репитером работать. И есть еще один момент - некоторые конторы не имеют белого статического IP-адреса (спасибо Ростелеком). И что прикажете делать? Юзать сервисы  а-ля DynDNS?

- AnyDesk - подобные решения конечно лишены вышеописанных недостатков, но, за удовольствие нужно платить! И, при этом, трафик идет через третьих лиц, что тоже немного не вяжется с безопасностью. 

Я использовал другое решение -  "связал" все фирмы в одну свою VPN, которую поднял на простом роутере Mikrotik RB-951G-2nD в одной компании, у которой был на входе нормальный статический IP, согласовав с руководителем. Плюс, заранее заморочился, но озаботился о подсетях в "подшефных" конторах, чтоб они не пересекались. 

Получилась такая схема:

my VPN network 

Такое решение позволяет, когда есть необходимость, оказать поддержку тому или иному пользователю, или произвести какие-либо программные действия с оборудованием. И сделать это не выходя из дома или отдыхая на куррорте, лишь бы интернет был стабильный. Я, как-то, даже находясь на рыбалке, за тридевять земель помогал пользователю с входом по сертификату на госуслуги). Просто подключаемся к нашему серверу, а дальше заходим на нужное нам устройство, используя адресацию внутренней локальной сети клиента. 

Как это настроить? Ясен пень, этой статьей я не открыл Америку, данное решение практикуется многими, но для начинающих - может и пригодится.

1. Для начала, поднимаем сервер VPN  на Mikrotik- я использовал простую связку L2TP и IPSec. Описал все тут

2. Теперь, на Mikrotik шлюзе клиента, подключимся к VPN-серверу и зададим маршруты.

3. Настроим VPN интерфейс для подключения в компьютере на Windows 10.

4. Настроим подключение по VPN в операционной системе на Linux.

 

P.S. Ковидный кризис 20-го года, в итоге, привел к тому, что пришлось понемногу заканчивать с этим проектом, т.к. некоторые клиенты реишили прекратить свои дела. Другие подумали, а нафига платить деньги человеку, которого нет на рабочем месте (и не важно, что все работает и проблем нет), такая вот логика у некоторых предпринимателей... Но, везде ищем только плюсы - открылись более интересные направления.

1
RusLan
Комментарии:
Социальные сети:

© 2011- 2024 

Блог Тайм404© - Авторский проект.

Все права защищены. При копировании материалов, активная ссылка на сайт https://time404.ru обязательна.

Внимание! Мы используем cookies чтобы сайтом было удобнее пользоваться.