NordVPN + pfsense - оптимальная связка для предприятия.

В свете последних событий в стране возникла рабочая необходимость в использовании VPN-сервиса.

Путем перебора остановились на NordVPN. Не реклама.
Плюсы:

• скорость, пинги
• выбор сервера с десктопа "на лету"
• отличная документированность
• готовые конфиги и великолепное приложение для Win / Mac
• хорошая техподдержка

Из общих минусов почти всех сервисов:

• PPTP как устаревший и небезопасный протокол снимается с поддержки
• L2TP поддерживается также не всеми сервисами и не везде

То есть, с Микротиком будут, скорее всего, поблемы. А вот с pfsense их нет, при условии использования OpenVPN.

VPN для предприятия.

Используем NordVPN как провайдера и pfsense как шлюз.

Сначала покупаем подписку на NordVPN. Указываем адрес электронной почты и пароль, этого достаточно для регистрации. Почта и пароль подойдут любые живые.

Будьте внимательны, эти данные вам потом понадобятся как логин-пароль для самого VPN-сервиса.

https://join.nordvpn.com/ru/order/

Если у вас еще нет pfsense, берем отсюда, устанавливаем и настраиваем. Я использовал ProxMox, но можно на любую физическую или виртуальную машину.

Далее действуем вот по этому мануалу, тут все подробно описано.

Настройка занимает до часа, в зависимости от производительности шлюза.

Следует помнить, что VPN - это шифрованное соединение. Если в канал у вас пойдут много пользователей, то он ляжет. В данном случае целесообразно:

• заворачивать некритичный трафик в не-VPN сеть

• использовать несколько аккаунтов плюс VLAN'ы

• все вместе

Также NordVPN-ом заявлена поддержка аппаратных шлюзов и OpenWRT.

Немного о итогах года +

Подитоги 2016 года.

По результатам полной замены ИТ-инфраструктуры на работе, имею честь доложить: решение ставить ProxMox вместо eSXI оказалось стратегически верным, с учетом реализованного "из коробки" функционала.
Описание установки и развертывания standalone и кластера из двух нод - в отдельном посте.

Наработалась рекомендованная связка из свободного ПО для маленьких и средних организаций:

ProxMox VE как гипервизор.
Основное его преимущество перед eSXI (напомню, мы сравниваем бесплатные продукты) в том, что "из коробки" доступны автоматические бэкапы и нормальная кластеризация, если надо.
Ну и, конечно же, это нормальный Debian-based, старательно собранный трудолюбивыми немцами.
Отлично документирован.


pfsense как шлюз, DHCP и VPN.
Нет, Mikrotik хорош, слов нет, но очень плохо и муторно умеет в OpenVPN. Особенно, когда надо связать филиалы.
Все-таки он надежнее всех, легче всех и богаче всех по оснащению.
Администрировать несложно, очень хорошо документирован.
Technical english required.




OpenMediaVault как сетевое хранилище пользовательских данных и бэкапов.
Самое удобное и нетребовательное к железу решение.
Была идея ставить Nexentastor Community, но оказалась требовательна к памяти в зависимости от количества хранимых данных, не пошло - не хватило аппаратных мощностей.

1С-Предприятие, куда же без него.
В случае, если у вас единственный сервер 1С, имеет смысл развёртывать в связке Windows 7 Pro / Windows Server 2008 или 2012 + Misrosoft SQL Express.

Postgres хорош, но бэкапы его на Windows средствами SQL - это ну очень долго и нудно.
Любителям Postgres имеет смысл посмотреть на Эффектор.Сейвер. Великолепная вещь, очень упрощает жизнь даже в бесплатной версии.

1С на Linux - работает отлично, но проблема с USB-ключами перечеркивает все плюсы.
Аппаратные ключи защиты на Linux отваливаются. Периодически и бессистемно.
Про костыли знаю, не помогают.
Либо работайте с программным ключом, либо переезжайте на Windows - повторюсь, это касается аппаратного ключа.
В случае, если SQL для 1С у вас отдельный сервер - имеет прямой смысл развернуть его на Linux и наслаждаться жизнью и бэкапами.

При недостатке средств на покупку Microsoft Server любителям работать в 1С через RDP поможет RDP Wrapper.
Важный момент - при использовании RDP wrapper обновляйтесь вручную, обновление Windows его затирает.

Позже добавлю про установку и запуск в работу всего перечисленного.