В моей компании пользователь покидает офис и часто будет работать из дома. Мне нужно настроить для него VPN-соединение. Вот такая ситуация.
Наша сетевая настройка выглядит следующим образом:
а. Интернет приходит с кабельного модема и имеет известный статический IP-адрес.
б. Модем подключен к межсетевому экрану / маршрутизатору Linksys / Cisco RVS4000 VPN. Это устройство имеет статический IP-адрес во внутренней сети и не предоставляет сети DHCP-сервисы. Версия его прошивки - 1.3.2.
c. Затем RVS4000 подключается к нашей внутренней сети. Все во внутренней сети находится в одной подсети, и их IP-адреса назначаются контроллером домена Windows Server 2003.
Пользователь прежде всего должен иметь доступ к сетевым ресурсам. В идеале он также должен иметь возможность аутентифицироваться в домене, но это вторично. Аутентификация в домене упростит доступ к интрасети.
Что я смотрел и пробовал:
Linksys / Cisco quickvpn client. Эта штука никогда не работала при всех обновлениях прошивки. Может я что-то не так делаю. Используя это, я настроил учетные записи пользователей на RVS4000, экспортировал сертификат и поместил его в каталог quickvpn на удаленном компьютере. Не получается при попытке подключиться. Это не установит соединение.
Клиент ShrewVPN: я не совсем уверен, как это настроить.
OpenVPN: из-за ограниченного количества linux-fu я не продвинулся далеко.
На данный момент я готов, чтобы со мной обращались как с идиотом. Видимо, я чего-то упускаю и не знаю, с чего начать.
Мы используем OpenVPN для наших «домашних» и «полевых» сотрудников. Существуют клиенты для Windows, Linux и Mac OS X (так называемые tunnelblik). Мы запускаем наш сервер доступа из коробки Fedora, но в соответствии с openvpn интернет сайт, есть также серверы доступа, доступные как виртуальные устройства или для VHD. Однако для этого потребуется либо сервер, подключенный напрямую к Интернету, либо переадресация портов с вашего брандмауэра на сервер доступа. Судя по вашему описанию выше, переадресация портов - лучший вариант.
Мы используем это с самозаверяющими сертификатами (то есть сертификатами, которые мы создаем сами для каждого пользователя), и это работает как шарм. Наш сервер доступа настроен для работы на порте 443, что облегчает "полевым" работникам подключение из отелей (которые часто имеют строгие ограничения на то, какие порты разрешены).
С клиентами Windows клиент OpenVPN может быть настроен для запуска до появления запроса на вход в Windows, что означает, что в момент входа в систему у вас уже есть подключение к локальной сети, а аутентификация в AD проста: пользователь получает выбор домена, в который он хочет войти (локальный домен или домен AD). В качестве альтернативы, если клиент НЕ настроен на автоматический запуск, пользователи все равно могут войти в систему со своими учетными данными домена, если компьютер зарегистрирован, потому что Windows будет кэшировать их учетные данные в течение определенного времени. Однако, если соединение не будет установлено до истечения срока действия кеша, надомник может немного застрять, особенно если у него нет учетных данных для каких-либо локальных учетных записей на машине.