Назад | Перейти на главную страницу

Какой метод я могу использовать для управления сотнями VPN / удаленных подключений к серверам за пределами моей сети?

Проблема

Мы поддерживаем сотни клиентов и имеем доступ ко многим их серверам через VPN / RDP (SSL VPN, Cisco VPN, MS VPN и т. Д.). Другим препятствием к этому является то, что мы должны позволить сотрудникам службы поддержки в других отделах компании использовать эти соединения по мере необходимости для различных проектов, поэтому должен быть какой-то интерфейс для управления всеми соединениями.

Мы делали это за счет использования очень устаревшей версии VMWare Server (больше не доступен и не поддерживается) и отдельной виртуальной машины XP для каждого нашего клиента. Они отправляют нам свой установщик VPN и информацию (или файл .PCF и т. Д.), И мы настраиваем новую виртуальную машину с необходимым программным обеспечением VPN и ярлыками RDP. Каждый пользователь, которому требуется доступ, получает старый клиент консоли сервера VMWare, установленный на его машине, и он просматривает и работает на удаленных серверах через эту консоль.

С этим методом слишком много проблем, чтобы перечислить их, но самым последним из них является прекращение поддержки XP / IE 8 VPN для этих машин XP.

Попытки решить проблему

Мы рассмотрели множество вариантов, которые позволили бы нам управлять множеством удаленных подключений БЕЗ VPN (Team Viewer, Citrix GoToAssist Unattended Access и т. Д.), Но многие клиенты по-прежнему настаивают на своей конкретной марке безопасности / VPN / и т. Д. и мы не пытаемся это диктовать.

Мы рассмотрели попытку просто перейти на более новый гипервизор и использовать виртуальные машины Win7 вместо XP, но стоимость лицензирования была высокой, а накладные расходы на запуск необходимого нам количества отдельных виртуальных машин также слишком высоки (и, следовательно, также стоили- запретительный).

Мы изучили VDI в коробке, которая позволила бы нам поддерживать «главные» образы виртуальных машин настольных компьютеров, на которых установлено множество VPN (очевидно, только те VPN, которые могут хорошо работать, будучи установленными рядом друг с другом). Мы думали, что это потребует меньшего количества лицензий и обслуживания (в IE нет отдельной виртуальной машины для каждого клиента), но это, вероятно, также потребует некоторых инвестиций в оборудование / программное обеспечение, которого у нас нет. Опять же, это может обойтись дорого.

Мы обсуждали разговор с нашим отделом продаж / администрацией об ограничении возможностей подключения наших клиентов в нашем лицензионном соглашении / контракте на программное обеспечение, но они не хотят добавлять ничего, что могло бы стать препятствием для потенциальной продажи ... Я действительно чувствую, что это наша лучший вариант, но этого, вероятно, никогда не будет.

Резюме / TLDR

Нам нужно иметь возможность удаленно подключаться к большому количеству серверов и использовать множество разных VPN одновременно.

Наше текущее решение работало, но никогда не было идеальным. Теперь он быстро выходит из строя, и нам нужно что-то другое на его месте.

Мы рассмотрели множество вещей, но многие из них дороги или мы не уверены, являются ли они лучшими доступными решениями.

Мы хотим выяснить, какие инструменты используют другие для управления этим крысиным скоплением серверных подключений, и мы пытаемся сделать это рентабельным способом или, по крайней мере, таким образом, чтобы обеспечить достаточный срок службы. прибыль на инвестиции.

Заранее спасибо за вашу помощь,

Аарон

Это совершенно уникальная проблема, которую необходимо решить.

Ваше старое решение звучало так, как будто оно работало для вас, поэтому должен быть более дешевый способ продолжить то, что вы делали.

Бесплатно было бы заменить VMWare Server на VMWare ESXi (или Hyper-V, см. Ниже), а затем импортировать ваши старые виртуальные машины VMWare Server, чтобы перейти на поддерживаемую платформу.

Выпуск Windows Server Datacenter имеет то преимущество, что дает неограниченные права на виртуализацию, если вы лицензировали правильное количество сокетов (или в наши дни это ядра?) Для хостов, на которых будут работать виртуальные машины. Если предположить, что вы можете разместить их все в одном хосте с двумя сокетами, ваши затраты на лицензирование Windows могут составить около 6000 долларов (или сколько бы то ни было в вашем регионе мира).

Единственное, что я могу сейчас придумать, - это подключить как можно больше VPN к маршрутизатору. Что-то дешевое, но мощное, как Микротик RB2011UiAS-RM поддерживает соединения L2TP, PPTP, IPSec и OVPN. Вы можете просто подключить их на стороне сервера, а затем задать правила маршрутизации, чтобы направить трафик в нужные места назначения, и ваши пользователи могут просто работать со своих существующих ПК. Вам понадобится NAT в VPN, поскольку я предполагаю, что это VPN сервер-клиент, а не VPN типа "сеть-сеть", которые вам предоставляются. Но это не поможет с VPN на основе SSL, AnyConnect VPN или любыми другими проприетарными форматами VPN.