Про защиту RDP много сказано и много написано как избежать взлома, как защитить сервер, как хранить копии, где хранить и т.д., все это не когда не будет лишнем. Но одним из самых надежных все же является VPN сервер со своими протоколами, сертификатами, шифрованиями и т.д.
Данная статься не является эталоном настройки или учебным пособием, тут просто была решена поставленная задача, просто и быстро в короткие сроки. Без углубленных знаний протоколов шифрования, методов и т.д. кто хочет изучить это более глубоко и детально, то в данном программном обеспечении там не паханое поле возможностей для любых задач.
SoftEther VPN — это мощный продвинутый мультипротокольный VPN-сервер под лицензией CPLv2 (т.е. совершенно свободный к распространению и использованию). Способен поднимать L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP-серверы, а также имеет свой собственный протокол «SSL-VPN», который неотличим от обычного HTTPS-трафика. Работает что называется «из коробки».
Офф. сайт для скачивания, так же там имеется вся документация по настройке (на англ.): www.softether.org
Русской локализации данная программа не имеет, что может вызвать трудности при тонкой настройке самого сервера, прав доступа и т. д.
1. Скачиваем и устанавливаем программное обеспечение, серверная часть:
2. После установки, преступаем к настройке сервера VPN. Имя хоста, порт VPN севера, учетные данные для администрирования.
При первом входе запросит задать пароль администратора
3 . После переходим к настройке самой серверной части для дальнейшей его работы:
Описание настроек что и для чего необходимо более детально, можно найти в документации.
Данная настройка позволяет получать доступ к сети любому клиенту подключенному к VPN серверу, как будто они находятся в одной физической сети.
Указываем имя VPN сервера
- Включить функцию сервера L2TP через IPsec (включено)
- Включить функцию сервера L2TP без шифрования (выключено в нашем случае)
После настройки, создаем пользователей для VPN сервера.
1. Имя пользователя
2. различные типы аутентификации (самые предпочтительные просто парольная защита и пароль + сертификат)
3. При аутентификации по сертификату создаем сертификат на пользователя.
4. При создание указываются данные пользователя сертификата, срок действия, тип и т.д.
После создание сохраняем сертификат и ключ сертификата.
4. Настройка и управление VPN сервера и хаба:
Настройки виртуальной сети, настройка DHCP сервера (рекомендую отключить DHCP и прописать адреса вручную на виртуальном адаптере), интервал IP адресов, маски и т. д.
5. Настройка Security Policy для пользователя (в моем случае оставил все по умолчанию):
6. Настройка сетевого моста для объединения нескольких сетей в том числе и разных VPN сетей (в нашем случае она не нужна этот пункт можно пропустить). И перейти к настройке клиентской части программы.
Для настройки моста необходима дополнительная библиотека, WinPcap — низкоуровневая библиотека 32-битных систем Windows, для взаимодействия с драйверами сетевых интерфейсов. Она позволяет захватывать и передавать сетевые пакеты в обход стека протоколов. Скачать ее можно тут: www.winpcap.org
7. Настройка и установка клиентской части VPN-клиента (для этого нам понадобится дистрибутив для клиентской части):
Добавление клиента к VPN подключению:
- Имя подключения
- Адрес сервера (белый, внешний IP адрес), порт сервера указанный при настройке (по умолчанию 5555), имя VPN сервера (по умолчанию VPN)
- Выбираем способ аутентификации по которому был настроен доступ к серверу (в нашем случае по сертификату и паролю)
- после чего создается подключение по которому можно цепляться к VPN серверу (не забудьте настроить проброс порта на сервер в примере 5555 иначе может не подключаться) и потом уже заходить по RDP как по локальной сети (так же можно настроить доступ к ресурсам сети, принтерам, компьютерам сети и т.д.)
Для минимизации для пользователей можно настроить простой вид:
8. Так же необходимо создать правило маршрутизации для сервера VPN (интернет будет использоваться вашей машины, а не VPN сервера):
route add 192.168.1.10 192.168.30.1 -p
Вот и все настройка VPN сервера и клиента завершена можно работать, все работает стабильно без разрывов и тормозов и прочих проблем, для администрирования и настройки под себя и свою специфику всю информацию можно найти на офф. сайте. Для нашей задаче этого вполне достаточно. Во вложении все необходимые программы для настройки.
