Сеть VPN для магазинов в разных городах
Мы неоднократно выстраивали защищенную единую локальную сеть через VPN между различными офисами наших клиентов. По нашему опыту, одна из самых частых задач — объединить офисы или магазины в единую сеть с центральным офисом, предоставить возможность и доступ для работы удаленным сотрудникам и так далее.
Например, у нас на обслуживании есть сеть магазинов, расположенных в различных областях России, с серверной группой в центральном офисе. И сотрудники, находящиеся не в офисе, тоже должны безопасно подключаться к офисной инфраструктуре и работать с данными.
Для того чтобы все магазины и сотрудники работали в единой учетной программе, мы организовали VPN-сеть на базе маршрутизаторов Mikrotik поверх публичной сети Интернет. В каждой точке установлены маршрутизаторы Mikrotik RB951, в центральном офисе для обеспечения бесперебойной работы и обслуживания всей сети установлены мощные роутеры того же производителя — Mikrotik RB4011.
Центр должно обслуживать мощное оборудование, так как VPN-туннели и шифрование трафика — это достаточно затратное по ресурсам мероприятие. Роутеры находятся в горячем резерве, интернет также задублирован от разных провайдеров для обеспечения практически полной отказоустойчивости в случае обрыва связи или выхода из строя одного из роутера, потому что даже минимальное время простоя для наших клиентов приносит достаточно ощутимые убытки и упущенную прибыль.
Таким образом, мы обеспечиваем практически полную защищенность передаваемого трафика, а также полную сетевую связность всех удаленных филиалов и центра с серверной инфраструктурой. Подобные задачи достаточно часто возникают у различных компаний, которые к нам обращаются.
Оборудование для корпоративного VPN
VPN может быть построен как на физических аппаратных средствах, называемых VPN-шлюзами, так и на базе программных и программно-аппаратных средств (например, на маршрутизаторах Cisco, Mikrotik и так далее). Наиболее часто используется именно программно-аппаратный вариант, так как современные маршрутизаторы умеют отлично защищать и шифровать данные на уровне аппаратной части.
Например, в Mikrotik за аппаратное шифрование отвечает отдельный чип, но, как правило, в более старших моделях. Соединение VPN может быть настроено как между двумя и более маршрутизаторами (условно «точка — точка») с соответствующей маршрутизацией между подсетями, так и между рабочими местами сотрудников и маршрутизатором («клиент — сервер»).
Такая схема организации VPN-подключений для компаний экономически выгодна, ведь достаточно один раз закупить оборудование и построить единую защищенную сеть на долгий срок. При открытии нового филиала для него просто докупается необходимое оборудование и включается в работу.
Закупка собственного оборудования для всей сети обойдется примерно в 200000 рублей для приобретения роутеров Mikrotik RB951, роутеров RB3011 или RB 4011.
Собственное оборудование для построения единой защищенной сети окупится примерно за 2–3 месяца, а служить будет без сбоев и при должном обслуживании более 3–5 лет.
Организовали удаленную работу вне офиса
Еще один запрос, с которым к нам стали обращаться с начала пандемии Covid-19, — организовать удаленную работу сотрудников из дома и создать им виртуальные рабочие места для связи с центральным офисом. Соответственно, так они могут работать в интернете из любой точки мира.
С помощью VPN-подключения мы безопасно соединяли сотрудника с централизованным программным обеспечением на серверах и организовывали ему виртуальную инфраструктуру для полноценной и продуктивной работы с домашнего ПК, ноутбука, планшета и даже с телефона. Сделать это можно, также создав на роутере (если он позволяет) центральный сервер VPN, куда будут подключаться сотрудники, и прописав необходимые правила для разрешения работы таким клиентам с VPN. Работники подключаются к нему с помощью логина и пароля или сертификата, выданного ИТ-отделом, и после успешного соединения уже могут попасть в центральную сеть, например на терминальный сервер, или свое виртуальное рабочее место (виртуальный компьютер). С него можно запускать необходимые программы и пользоваться общими файлами и папками.
Заключение
У нас есть опыт работы с компаниями вообще без офиса. Можно, например, арендовать сервер, сделать защищенный VPN-канал для сотрудников и позволить им работать из любого места. Какого-то другого способа организации безопасной, защищенной и удобной работы удаленных сотрудников практически не существует.
Защита, конфиденциальность и шифрование передаваемых данных между офисами, площадками, подразделениями или городами и странами критически важны для всех без исключения распределенных компаний и организаций, которые имеют больше одного офиса или удаленных сотрудников. А также серверы, например приложений, баз данных или файловые серверы, могут быть физически разнесены, находиться в удаленной серверной или ЦОД, и, безусловно, для доступа к ним нужен защищенный и зашифрованный канал связи.