Tyoma_XP, для решения вашей задачи существует такая вещь, как "терминальный сервер", который можно поднять на платформе того же "вин2003". Схема очень простая: клиенты соединяются по RDP на терминальный сервер под своей учётной записью и дальше работают с него как полноправные члены локальной сети предприятия. На G804V для этого достаточно настроить проброс порта на терминальный сервер. В этом случае возможны следующие варианты ограничения доступа:
- по внешнему IP клиента (настраивается на G804V). Для этого клиент должен обязательно иметь статический IP. Причём это можно поставить перед руководством как обязательное условие. Хочешь работать из дома - заказывай статический IP. Это избавит вас от таких неприятностей, как "подбор логин-паролей на открытый для всех порт RDP всякими ботами или даже бот-нетами".
- средствами терминального сервера, например, по времени (рабочие дни, с 8:00 до 20:00).
На мой взгляд, шифрование трафика (IPSec/MPPE) здесь не целесообразно, т.к. на сторону клиента передаётся "картинка" (условно).
Вообще, когда поднимается вопрос безопасности, нужно сразу определиться, что и от чего должна защищать такая схема/система, иначе разговор будет беспредметным. Поверьте, подкупить человека внутри компании куда проще и эффективнее, чем устраивать "перехват трафика с вычленением из него каких-то данных по каким-то признакам".
Достоинства этого решения:
- масштабируемость (можно подключить столько клиентов, сколько позволяет для комфортной работы пропускная способность вашего Upstream);
- управляемость (ограничение по IP и по учётной записи на терминальном сервере);
- простота настройки необходимых для клиентов сетевых сервисов (например, драйвер принтера нужно поставить только на терминальный сервер, а не на 10-15 домашних и зачастую глючных компьютеров);
- простота настройки клиентской стороны - только RDP-клиент и всё (вам не придётся администрировать домашние компьютеры, на которых зачастую творится нечто, похожее на состояние после атомной войны).
Недостаток: требуется терминальный сервер и человек, который будет его настраивать и обслуживать.
Возможно, вы скажете: "На вин2003 можно поднять RRAS и по PPTP со стороны клиентов цепляться к нему, а потом по установленному туннелю гонять RDP и прочий трафик". Да, можно, но создавая неограниченную трубу(туннель) "домашний компьютер - сеть предприятия" вам следует подготовиться к возможным последствиям такого решения:
- готовы ли вы встретиться с атакой через этот самый туннель PPTP, если кто-то из клиентов подхватит какую-нибудь заразу? Торрент-клиент ищет локальных "пиров", используя широковещательные пакеты - они тоже уйдут в туннель.
- готовы ли вы объяснять всем клиентам, что после установления PPTP-соединения туда же заворчивается и маршрут по-умолчанию, и до тех пор, пока этот туннель будет поднят, им не видать своего Интернета, как своих ушей?
- да, это можно отключить, но вы готовы объяснять всем желающим (и некоторым нежелающим тоже), где снять эту "птичку", чтобы "и аська работала, и 1С проводилась"?
- готовы ли вы написать кучу понятных инструкций для всех потенциальных ОС, как правильно создать PPTP-подключение, если любопытный ребёнок после вопроса "а это что за фигня?" удалит существующие настройки (они ведь работают на правах администратора на своих домашних компьютерах)?
Решение с PPTP на самом-то деле неплохое, но как и любое решение повышенной сложности, оно требует и повышенного уровня квалификации в настройке и обслуживании как серверной, так и клиентской части.
Теперь по поводу IPSec.
Устройство DSL-G804V имеет аппаратный 3DES-акселератор. Мой практический опыт показывает, что максимум он способен обеспечить около 7-8Mbps шифрованного алгоритмом 3DES трафика. Это его предел. Также в Сети есть результаты тестирования DSL-G804V в плане VPN-производительности:
http://www.ixbt.com/comm/adsl-dlink-dsl-g804v_2.shtmlВероятность того, что все клиенты будут покупать за свои деньги дополнительное оборудование с поддержкой IPSec только ради того, чтобы подключиться к сети предприятия - ничтожно мала. Более того, это оборудование придётся настраивать. Кто это будет делать? Они или вы? Между сетями "клиент-предприятие" должна быть маршрутизация. Это означает, что каждый из клиентов должен быть в своём уникальном диапазоне IP-адресов, а не все в 192.168.1.0/24, как предлагают по-умолчанию большинство домашних маршрутизаторов. Опыта получите просто немеряно
Теперь вариант, когда IPSec терминируется на клиентском компьютере. У WindowsXP (думаю, и на более поздних версиях тоже) есть возможность настроить шифрование, используя IPSec. Но эта задача встроенными средствами Windows не решается так же просто, как настройка PPTP. Вот пример:
http://www.ixbt.com/comm/wrls-ovislink- ... pn_2.shtml. Наверняка для этой цели можно использовать VPN-клиент какого-нибудь из известных вендоров, но опять же те же грабли - инсталляция, настройка, траблшутинг, что для домашних компьютеров пользователей вырождается в достаточно тяжёлую процедуру.
Есть ещё один важный момент - клиентский компьютер не должен находиться за NAT'ом (т.е. за домашним маршрутизатором), т.к. по утверждению российских представителей D-Link, устройство DSL-G804V не поддерживает IPSec NAT-T (работа IPSec через NAT), хотя их австралийские коллеги имеют противоположную точку зрения по данному вопросу. За подробностями и ссылками на ответы/документы - сюда (
viewtopic.php?p=842101#p842101). Лично я не проверял на своём G804V поддержку IPSec NAT-T, хотя в будущем планирую это сделать.
Да, кстати, атаки через шифрованное IPSec'ом соединение тоже возможны как и в случае с PPTP, зато особенностей с маршрутом по-умолчанию и широковещательными пакетами нет.
Вот такие пироги с "подключить 10 домашних ноутбуков к локальной сети организации".
Вход
Регистрация
FAQ
Поиск
