молодой человек весьма дельные вещи озвучил. Кто хочет, может делать по феншую через ovpn и.т.д., но сегодня, исходя из ситуации удалёнки, чем проще, тем эффективнее для бизнеса. Есть свои риски, но тут каждый решает сам.
Все это костыли. Надо сделать так: На стороне сервера терминальный сервер + Kerio control На стороне клиента - никаких домашних компов, - каждому ноут или маленький комп или терминальную станцию - на нем Linux + remmina + vino + Kerio VPN
Смотрю.. Плачу.. Плачу и смотрю... Парни как с языка сняли!! Красавцы... Всем кто звонит с таким вопросом (коллеги по цеху с других контор) просто буду ссылку давать!! Спасибо парни.
да хорош, про удаленку было понятно за 2 недели минимум. Сначала Антон говорил что бабка не сможет запустить то что скачала, а потом вдруг она спокойно у него запускает батник и еще пароль от доменова компа вводит. Тут у него вопрос про смак и опять вопрос про разрядность, да похер оба файла скачать может и один из них запустит. Еще как вариант можно просто тем же батником копировать адресную книгу в ее профиль (в общий) и авторизация в впн по керберосу (один хер от компа вводить логин пароль). По мне Антон не сильно заморочился решением проблемы, а решил по простому и просто забросил это дело.
@@Pr0lka так тук даже не про тех 40..50 топов которые свалили домой (они и так по стране постоянно туда сюда-у них все ок) тут о Зинаиде... Реально много коллег с малого так сказать рынка (по 5 пользователей) даже не представляли что делать.. А когда их 70...и сразу в 1 день.. А завьра они трубку подняли и Хелп))..
@@mach17a тогда тут вопрос в их скиле, а не в проблемах удаленки. Это как полицейский который только пьяных мужиков ловил, а тут вместо мужика - баба, а вместо пьяного - качок. И получается он начинает ныть, баба-качок это не пьяный мужик и он так не играет. Все херня, тут же даже сами люди не понимали как работать, даже при наличии удаленки.
@@Pr0lka скил есть тут без вариантов - если речь об оратор ком искусстве докладчика -=право сударь, все когда-то начинают)) сделайте парню скидку.... Видел когда астерикс с лету команды через строку пушкой парень строчил... Но разговаривать с клиентами ему незя... Тут все ок. 2..3..эфира и все ок.. ЕСТЬ 2 вида айти директоров.. 1 тот что из бизнеса но шарит в айти ... 2рой тот что из айтишников и стал шарить в бизнесе.. Названия даже у них разные.
@@Pr0lka конечно, тут много разных вопросов. Но в дикой природе как раз правильнее использовать доступные решения. Иначе как должен был поступить админ, внезапно оказавшись перед такой задачей со своими неразвитыми скилами? Записаться на обучение? Взять самоотвод?.. Вывесить вакансию "Сетевой инженер для настройки удалёнки" на HH? Я такие вакансии видел, кстати... Никому это не пошло бы на пользу, прежде всего - бизнесу. Start where you are. Keep it simple and practice.
Допустим у них одноранговая сеть и единственный windows server в качестве терминального. Но всё-равно, кто-то ssh -c на микротик в цикле по всем юзернеймам запретил?
Мое пандемическое решение когда все пользователи брали под мышку компы, ноуты и свалилвали по домам: 1) анидеск заранее установить на все машины те что уедут домой из офиса во время пандемии.(желательно дать им заранее права лок админа). 2) Удаленно подключатсяь к каждому удаленому пэвм и дать доступ юзерам доступ через заренанее поднятый OpenVPN Access server на виртуалбоксе за микротиком . 3) На микротике поправить Tree QoS ибо теперь юзеры ходят "наоборот". Все работало замечательно(интернет канала начинало нехватать когда 25-30 тунеелей ), иногда когда канал у юзера с дачи через 3G то доступ к 1С серверу давал по RDP. Канал 100 мегабит, число единовременных подключений до 30 было. (всего пользователей порядка 60) На самом микротике openvpn server так и не смог настроить, l2tp и pptp легко +AD RADIUS
Не понял части проблем автора. Были и зинаиды и петровны, все нормально ходили по VPN+RDP. Да, настраивали мы все сами. На счет прохождения трафика, с начала был PPTP + L2TP для 90 % это работало. Но потом пришлось поднять SSTP и на день позже OVPN. Последний помог сильно, так как кому нужны маршруты, они все в конфиге. По инструкции поставили 70% Огромный + работает с другими VPN которые используют IPSec. RDP без туннеля - хрен вам! Сломанные компы не интересно восстанавливать! Сложности с паролями ? Вы о чем ? Авторизация через домен! В домене политики паролей. Какие сложности ?! В общем отработали без проблем. Самое тяжелое первые 2 дня настроек домашних компов, так как много людей. Объяснить как скачать тим у меня и всех наших админов получилось без проблем. дураков у нас много и есть дегенераты, но даже они смогли.. Удивительно но факт! В общем послушал половину. Не интересно вообще! Для меня лично ни о чем и местами вредно.
Хз, где вы работаете, но там, где я работаю, лично знаю 2-3 персонажей, которые даже по названию написанному им перед лицом не могут найти и скачать тимвьювер, не говоря уже о том, чтобы его установить 😀
@@sergeyegorov1574 странно, а зачем тв? Пару лет назад сделал клиента для удалённого подключения, разослал пользователям. Их дело сейчас только "ткнуть красную иконку на мониторе" и продиктовать мне цифры id. Не надо ни чего искать, скачивать, устанавливать. Зачем так напрягать гуманитариев?)
Для меня самым сложным было и остаётся дыра по имени "социальная инженерия". По сути мы даём доступ внутрь корпоративной сети домашним компьютерам пользователей. При этом, ни сам компьютер, ни члены семьи этого пользователя не проходили проверку на безопасность. Поверь на слово, малолетний отпрыск этого сотрудника, возомнивший себя хацкером, или подвыпивший супруг(а), могут натворить намного больше "чудес", чем все существующие уязвимости VPN вместе взятые.
Гм. Может, я сейчас скажу глупость, но в случае Зинаиды Петровны проще было бы AnyDesk установить на компы на работе и дома, прописать в АниДеск на работе доступ по паролю и не морочиться.
С ним реально бывают проблемы, мы столкнулись, что у некоторых пользователей он вылетает в ошибку, не находит свои же файлы и вообще глючит-вылетает-взрывается
@@rsvidenko 2 смак файла ничего не сделают, так как порой смак сам по себе не работает это 1 и 2 то что не всегда и не все протоколы подходят. Я у себя в итоге реализовал 4 вида подключений. И только это дало 100% работы всем, и то, потому что относительно повезло.
Мало ли что зинаиды петровны не любят! l2tp с ipsec(aes128-256)+rdp до ее айпи:3389 без арп бриджа и на определенное время. основной гейтвей откл, маршруты заставить ручками или написать ей батник. отключить буфер обмена в rdp гпошками. Остальное нафиг с пляжу/ P.S. 150 юзеров сделал за 7 часов. (ХРшников правда не было)
@@БорисСезонов-ъ2г ну и что? Юзеры по инструкции создали и настроили впн. Я им рдп выслал. Остальное время тратил на тех кто не смог или консультацию по телефону
@@Айтишниковскиебудни у меня 10-ки были, но приходилось на некоторых править реестр, у кого-то винду обновить, или удалить обновление, у кого-то роутер не пускал l2tp-ipsec
Ппрошу прощения, но видео вредное. Подключение пользователей по openvpn, есть клиенты под все виды ос, от xp до mac ос, плюс мобильные. Настройка рабочего места пользователя на поддержку первого уровня, anydesk и timewiver знают практически все пользователей. График подключения пользователей к ресурсам компании. И, при всем моем уважении, если организация 300+ сотрудников, и у нее один админ маловероятна.
Согласен страшновато, rdp внаружу отдавать. Но 300+ сотрудников и один админ это норма. И вроде как apple теперь не поддерживает openvpn. Я всё так и сделал ручками: l2tp-ipsec. Приходилось кому то винду обновлять, или просто удалять плохое обновление, к кому то залезть в роутер, там настройки поправить (ALG), у кого-то реестр винды подправить, в общем было весело, но справился. Очень хорошо помогает, если записывать какие проблемы как решил, т.к. они повторяются. И Зинаида Петровна тоже была, она ссылку на скачивание AnyDesk переписывала вручную в поисковую строку браузера 😭в итоге сказала что скачала, но что-то не то.
Отличный доклад. Заставляет взглянуть на проблему под другим углом
Зинаида Петровна есть в каждом офисе. Она включает дуру и что хочешь, то и делай.
Классная презенташка ) Антон ты молодец так держать !!!!
это за два нажатия, быстро делается в kerio control, заворот трафика внутрь впна без заворота интернета пользователя- решается его же(керио) клиентом
Керио, это адский ад -), от которого потом тяжело избавляться.
Отлично! Спасибо!
молодой человек весьма дельные вещи озвучил. Кто хочет, может делать по феншую через ovpn и.т.д., но сегодня, исходя из ситуации удалёнки, чем проще, тем эффективнее для бизнеса. Есть свои риски, но тут каждый решает сам.
Все это костыли. Надо сделать так:
На стороне сервера
терминальный сервер + Kerio control
На стороне клиента
- никаких домашних компов,
- каждому ноут или маленький комп или терминальную станцию
- на нем Linux + remmina + vino + Kerio VPN
Смотрю.. Плачу.. Плачу и смотрю... Парни как с языка сняли!! Красавцы... Всем кто звонит с таким вопросом (коллеги по цеху с других контор) просто буду ссылку давать!! Спасибо парни.
да хорош, про удаленку было понятно за 2 недели минимум. Сначала Антон говорил что бабка не сможет запустить то что скачала, а потом вдруг она спокойно у него запускает батник и еще пароль от доменова компа вводит. Тут у него вопрос про смак и опять вопрос про разрядность, да похер оба файла скачать может и один из них запустит. Еще как вариант можно просто тем же батником копировать адресную книгу в ее профиль (в общий) и авторизация в впн по керберосу (один хер от компа вводить логин пароль). По мне Антон не сильно заморочился решением проблемы, а решил по простому и просто забросил это дело.
@@Pr0lka так тук даже не про тех 40..50 топов которые свалили домой (они и так по стране постоянно туда сюда-у них все ок) тут о Зинаиде... Реально много коллег с малого так сказать рынка (по 5 пользователей) даже не представляли что делать.. А когда их 70...и сразу в 1 день.. А завьра они трубку подняли и Хелп))..
@@mach17a тогда тут вопрос в их скиле, а не в проблемах удаленки. Это как полицейский который только пьяных мужиков ловил, а тут вместо мужика - баба, а вместо пьяного - качок. И получается он начинает ныть, баба-качок это не пьяный мужик и он так не играет. Все херня, тут же даже сами люди не понимали как работать, даже при наличии удаленки.
@@Pr0lka скил есть тут без вариантов - если речь об оратор ком искусстве докладчика -=право сударь, все когда-то начинают)) сделайте парню скидку.... Видел когда астерикс с лету команды через строку пушкой парень строчил... Но разговаривать с клиентами ему незя... Тут все ок. 2..3..эфира и все ок.. ЕСТЬ 2 вида айти директоров.. 1 тот что из бизнеса но шарит в айти ... 2рой тот что из айтишников и стал шарить в бизнесе.. Названия даже у них разные.
@@Pr0lka конечно, тут много разных вопросов. Но в дикой природе как раз правильнее использовать доступные решения. Иначе как должен был поступить админ, внезапно оказавшись перед такой задачей со своими неразвитыми скилами? Записаться на обучение? Взять самоотвод?.. Вывесить вакансию "Сетевой инженер для настройки удалёнки" на HH? Я такие вакансии видел, кстати... Никому это не пошло бы на пользу, прежде всего - бизнесу. Start where you are. Keep it simple and practice.
зачем создавать столько логинов и паролей в микротике если есть RADIUS?
Допустим у них одноранговая сеть и единственный windows server в качестве терминального. Но всё-равно, кто-то ssh -c на микротик в цикле по всем юзернеймам запретил?
Каким образом делать соединение если нет белого ир? Как?
А купить Белый ip нет? 300 р разорят конторку?
@@ДмитрийКелдарразорят, нужно так как я нарисали именно с серым ip.
Как сделать с серым ип? Это то что вы говорите это всем известно.
@@Александр-ж4г2я а чем так tcp не нравится? У нас отлично работает
Юрий Шатунов изучил сетевое ремесло ?
Насчёт блокировки провайдером, нужно просто было включать в роутере pptp,l2tp или что вы там использовали для vpn.
Мое пандемическое решение когда все пользователи брали под мышку компы, ноуты и свалилвали по домам: 1) анидеск заранее установить на все машины те что уедут домой из офиса во время пандемии.(желательно дать им заранее права лок админа). 2) Удаленно подключатсяь к каждому удаленому пэвм и дать доступ юзерам доступ через заренанее поднятый OpenVPN Access server на виртуалбоксе за микротиком . 3) На микротике поправить Tree QoS ибо теперь юзеры ходят "наоборот". Все работало замечательно(интернет канала начинало нехватать когда 25-30 тунеелей ), иногда когда канал у юзера с дачи через 3G то доступ к 1С серверу давал по RDP. Канал 100 мегабит, число единовременных подключений до 30 было. (всего пользователей порядка 60) На самом микротике openvpn server так и не смог настроить, l2tp и pptp легко +AD RADIUS
Как всегда интересный и полезный видос!!! Спасибо!!
Не понял части проблем автора. Были и зинаиды и петровны, все нормально ходили по VPN+RDP. Да, настраивали мы все сами. На счет прохождения трафика, с начала был PPTP + L2TP для 90 % это работало. Но потом пришлось поднять SSTP и на день позже OVPN.
Последний помог сильно, так как кому нужны маршруты, они все в конфиге. По инструкции поставили 70% Огромный + работает с другими VPN которые используют IPSec.
RDP без туннеля - хрен вам! Сломанные компы не интересно восстанавливать!
Сложности с паролями ? Вы о чем ? Авторизация через домен! В домене политики паролей. Какие сложности ?!
В общем отработали без проблем. Самое тяжелое первые 2 дня настроек домашних компов, так как много людей. Объяснить как скачать тим у меня и всех наших админов получилось без проблем. дураков у нас много и есть дегенераты, но даже они смогли.. Удивительно но факт!
В общем послушал половину. Не интересно вообще! Для меня лично ни о чем и местами вредно.
Хз, где вы работаете, но там, где я работаю, лично знаю 2-3 персонажей, которые даже по названию написанному им перед лицом не могут найти и скачать тимвьювер, не говоря уже о том, чтобы его установить 😀
Мы говорили с такими по телефону. У нас тоже есть 2 особо убогих персонажа. Не понимаю как они могут работать с таким интеллектом.
@@sergeyegorov1574 странно, а зачем тв? Пару лет назад сделал клиента для удалённого подключения, разослал пользователям. Их дело сейчас только "ткнуть красную иконку на мониторе" и продиктовать мне цифры id. Не надо ни чего искать, скачивать, устанавливать. Зачем так напрягать гуманитариев?)
Для меня самым сложным было и остаётся дыра по имени "социальная инженерия". По сути мы даём доступ внутрь корпоративной сети домашним компьютерам пользователей. При этом, ни сам компьютер, ни члены семьи этого пользователя не проходили проверку на безопасность. Поверь на слово, малолетний отпрыск этого сотрудника, возомнивший себя хацкером, или подвыпивший супруг(а), могут натворить намного больше "чудес", чем все существующие уязвимости VPN вместе взятые.
Гм. Может, я сейчас скажу глупость, но в случае Зинаиды Петровны проще было бы AnyDesk установить на компы на работе и дома, прописать в АниДеск на работе доступ по паролю и не морочиться.
У нас на локдаун отправили в один день. Попробуйте объяснить Зинаида Петровне, что делать?
Антону видать СМАК не понравился)
С ним реально бывают проблемы, мы столкнулись, что у некоторых пользователей он вылетает в ошибку, не находит свои же файлы и вообще глючит-вылетает-взрывается
Смак не везде подходит даже на виндах. Пробовали.
Разрядность винды ооочень легко просчитывается if exist бантиком и два смак файла в sfx архиве сделают красоте. Кнокинг - ерунда на самом деле.
@@rsvidenko 2 смак файла ничего не сделают, так как порой смак сам по себе не работает это 1 и 2 то что не всегда и не все протоколы подходят. Я у себя в итоге реализовал 4 вида подключений. И только это дало 100% работы всем, и то, потому что относительно повезло.
гражданин с данным видосом опоздал месяца на 4-5. все уже все сделали и по всем граблям (кто их не видел/знал на подходе) прошли.
... и отправляли им в техподдержку найденные ответы по "прохождению нагромождения граблей", которые они и использовали в этом ролике)))
Вы что только об этом узнали?
Cloud не работает.... нужен белый ип. Напишите в поддержку чтобы исправили пусть сделают как у кенетика.
белый IP может быть динамическим, так что cloud норм работает
Мало ли что зинаиды петровны не любят! l2tp с ipsec(aes128-256)+rdp до ее айпи:3389 без арп бриджа и на определенное время. основной гейтвей откл, маршруты заставить ручками или написать ей батник. отключить буфер обмена в rdp гпошками. Остальное нафиг с пляжу/ P.S. 150 юзеров сделал за 7 часов. (ХРшников правда не было)
Это меньше трех минут на пользователя если что)
@@БорисСезонов-ъ2г ну и что? Юзеры по инструкции создали и настроили впн. Я им рдп выслал. Остальное время тратил на тех кто не смог или консультацию по телефону
А что? Семерок, где нужно реестр править для этого, тоже не было?
У меня однажды ещё подключение сотрудника встало из-за того что там был adsl.
@@gwynlovecraft нет, обошлось)) у мнонгих 10
@@Айтишниковскиебудни у меня 10-ки были, но приходилось на некоторых править реестр, у кого-то винду обновить, или удалить обновление, у кого-то роутер не пускал l2tp-ipsec
Ппрошу прощения, но видео вредное.
Подключение пользователей по openvpn, есть клиенты под все виды ос, от xp до mac ос, плюс мобильные.
Настройка рабочего места пользователя на поддержку первого уровня, anydesk и timewiver знают практически все пользователей.
График подключения пользователей к ресурсам компании.
И, при всем моем уважении, если организация 300+ сотрудников, и у нее один админ маловероятна.
К сожалению это реальность.
Согласен страшновато, rdp внаружу отдавать. Но 300+ сотрудников и один админ это норма. И вроде как apple теперь не поддерживает openvpn. Я всё так и сделал ручками: l2tp-ipsec. Приходилось кому то винду обновлять, или просто удалять плохое обновление, к кому то залезть в роутер, там настройки поправить (ALG), у кого-то реестр винды подправить, в общем было весело, но справился. Очень хорошо помогает, если записывать какие проблемы как решил, т.к. они повторяются. И Зинаида Петровна тоже была, она ссылку на скачивание AnyDesk переписывала вручную в поисковую строку браузера 😭в итоге сказала что скачала, но что-то не то.
SoftEther VPN и нет проблем.
Круто впустить по рдп из домашней сети и добрый вечер шифровальщик
Писец, RDP прям наружу ?
Я промурыжился с VPN-ом в карантин. Жаль, что этот MUM не вышел до начала пандемии)