KWF и удаленное администрирование

Удаленное администрирование штука удобная. С этим и спорить то глупо. Программ для этого есть огромное количество. Как пропустить их через KWF я уже, кажется, как-то писал. Но вот недавно возникла необходимость админить не одну машину, а сразу несколько машин внутри сети организации посредством управления удаленным рабочим столом windows.

Реализовать это достаточно несложно. Мы помним, что все входящие запросы приходят из интернета на firewall. Конечно, можно было бы открыть соотвествующий порт на серваке и настроить портмаппинг. Это верно, но если мы админим всего одну машину. А чтобы админить десяток машин внутри сети нам в эту сеть следует сперва как то попасть. И вот тут то полезно вспомнить о том, что в KWF имеется сервер VPN. Если он не установлен, его следует поставить. Что это нам дает? Это та самая вкусная штука, которая позволит нам попасть внутрь сети, машинами которой нам хочется управлять. Так вот, ставим vpn. Поставили? Обращаем внимание, что адресное пространство клиентов vpn отличается от адресного пространства внутренней сети. Клиент, подключающийся по vpn получит адрес, выданный сервером vpn. Далее следует разрешить юзеру firewall использовать vpn для подключений. Это делается на вкладке управления пользователями.

Далее следует рассказать KWF что мы хотим принимать входящие подключения по vpn — туннелю. Для этого нужно создать правило:

название

source

destination

service

action

translation

income vpn ваш внешний интерфейс firewall kerio vpn permit  

 

Затем следует объяснить kwf, что нам хочется проходить из адресного пространства vpn в адресное пространство внутренней сети. Для этого следует написать правило:

название

source

destination

service

action

translation

vpn admin vpn client локальная сеть any permit NAT (default outgoing interface)

 

После этого ставим на машину, с которой думается управлять удаленной сетью, клиента vpn для kwf. Ставьте клиента, соотвествующего той же версии, что и сам kwf. Запускаем клиента, указываем внешний ip адрес сервера kwf, имя и пароль пользователя, которому мы разрешили юзать vpn, устанавливаем соединение. Произойдет обмен сертификатами и соединение установится. Убеждаемся, что все правильно работает, например "ping адрес машины внутренней сети". Машина во внутренней сети должна пинговаться, если вы все сделали правильно и она включена. Теперь все готово собственно для управления удаленным рабочим столом любой машины внутри сети, разумеется, что на этих машинах разрешены удаленные подключения. Запускаем "Подключение к удаленному рабочему столу", вводим адрес внутренней машины, имя юзера, жмем "подключиться" и наслаждаемся.

Подобная схема хороша, например, когда требуется работать в 1с удаленным клиентам через интернет. Или просто лежа на диване дома одновременно находиться на работе :))

7 комментариев

  1. Фоур:

    Есть и второвй вариант. Админить одну машину, а из-под нее подключать удаленный рабочий стол других. Как бы терминалка в терминалке.

  2. lapsar.ru:

    Не вижу смысла в подобном извращении. Зачем подключать терминал в терминале, если можно прямиком пройти к любой машине сети?
    Ведь все равно на всех машинах, подлежащих администрированию, нужно разрешение на удаленное управление. В то время как разрешать юзеру удаленное управление рабочим столом самого KWF крайне нежелательно.
    Кроме того терминал в терминале создает двойную и бессмысленную нагрузку на локальную сеть, что приведет к увеличению времени ожидания на удаленном клиенте.
    Приведенная же схема позволяет работать удаленно с приемлемой скоростью даже через мобильный телефон.

  3. lib_fan:

    С кпк немного тяжело читается, но оно того стоит!

  4. Chazov:

    Почему подписка еще бесплатная? :))

  5. Devil:

    Классная статья — спасибо!

  6. alexnasa:

    «Пришлые» из туннеля — они получат адреса из пула того сегмента, в который попали?

  7. lapsar.ru:

    Да.Проход в другие сегменты регламентируется правилами KWF.

Leave a comment