Подключение к компьютеру по RDP¶
Подключиться к компьютеру, находящемуся на рабочем месте в ИО РАН удастся только при выполнении всех этих условий:
- Компьютер включен и подключен к сети Института.
- На компьютере, если используется MS Windows, включен и настроен «Удаленный рабочий стол».
- Вам известен IP-адрес вашего рабочего компьютера.
- Вам известны имя пользователя и пароль вашего рабочего компьютера (имя пользователя и пароль, которые вы вводите при включении компьютера или после блокировки).
- В момент подключения к удаленному рабочему столу вашего рабочего компьютера запущен и включен VPN.
Подключение к удаленному рабочему столу рабочего компьютера¶
Перечисленные ниже действия выполняются на вашем компьютере, находящимся дома (или где-либо еще, за пределами ИО РАН).
Проверьте, подключен ли вы в данный момент к VPN. На рисунках ниже показаны активные VPN-подключения с использованием OpenConnect или Cisco AnyConnect, они помогут вам сориентироваться, подключены ли вы к VPN. Если вы не подключены, необходимо подключиться или сперва решить проблемы с VPN.
OpenConnect VPN выключен
OpenConnect VPN включен
Cisco AnyConnect проверка подключения VPN
Запустить стандартное Windows-приложение «Подключение к удаленному рабочему столу» (Microsoft Terminal Server Client). Для этого необходимо нажать одновременно кнопки ⊞ Win + R . В появившемся окне, в поле Открыть: написать mstsc и нажать Enter . Либо можно найти это приложение через меню программ Windows.
В запустившемся приложении «Подключение к удаленному рабочему столу» в поле Компьютер: ввести IP-адрес вашего рабочего компьютера. Нажать Подключить . Если всё успешно, то будет предложено ввести имя пользователя и пароль, относящиеся к вашему рабочему компьютеру. Если подключение долго висит и не подключается, то, либо вы не подключены через VPN к Институту, либо введен неверный IP-адрес, либо на рабочем компьютере не настроен «Удаленный рабочий стол».
Подключение к удаленному рабочему столу
Окошко с удаленным рабочим столом можно разворачивать на полный экран, сворачивать, изменять его размер. Меню приложения удаленного рабочего стола вызывается при подведении указателя мыши к середине верхней части экрана.
Копировать файлы между локальным компьютером и удаленным рабочим столом можно просто как Ctrl-C Ctrl-V (скопировать на удаленном, вставить на локальном и наоборот).
При необходимости копирования множества файлов можно подключить диск локального компьютера к рабочему. Для этого в приложение «Удаленный рабочий стол» выбрать меню: Локальные ресурсы > Локальные устройства и ресурсы > Подробнее > Диски > выбрать нужный диск. После этого, при подключении к удаленному рабочему компьютеру, ваш локальный диск будет виден среди дисков удаленного.
16 Сен Как настроить безопасный VPN доступ удаленных сотрудников с помощью Сisco AnyConnect?
Удаленные пользователи и множество локаций, многочисленные личные устройства — как ИТ-командам держать все это разнообразие под контролем и защитить компанию от кибер угроз? Предыдущий 2020 год отличился многочисленными атаками через удаленный доступ. Ведь злоумышленники уже давно пользуются недостатками в защите личных устройств сотрудников и используют их как входную точку для атак на корпоративные сети.
Если перед вами также стоит задача обеспечить мобильным работникам простой и безопасный доступ к корпоративным ресурсам без риска для вашей компании: с любой локации и с любого устройства, эта статья именно для вас.
Узнайте больше о возможностях и преимуществах решения Cisco AnyConnect для безопасного VPN доступа удаленных работников.
Cisco AnyConnect — это VPN клиент, позволяющий установить защищенное подключение удаленных работников к корпоративной сети. Его основные функции — удаленный доступ, контроль состояния конечного устройства, функции веб-безопасности и защита в роуминге. Рассмотрим их подробнее.
1. Удаленный доступ
Cisco AnyConnect поддерживает все современные платформы:
- Windows
- LINUX
- Apple macOS / iOS
- ChromeOS / Android
Благодаря единому решению, ИТ-специалисты или специалисты по Информационной безопасности будут видеть полную картину своей расширенной сети. Клиент имеет функции автоматического определения доверенной сети, с одной стороны уменьшает нагрузку на шлюз, если работник находится в офисе, а с другой — обеспечивает автоматическое поднятие туннеля, когда работник находится удаленно.
Cisco AnyConnect содержит функционал распределения трафика. Для удобства есть 2 способа:
а. Отделение и шифрование корпоративного трафика;
б. Разграничение корпоративных и частных приложений, с шифрованием первых.
2. Котроль состояния конечных устройств
Cisco AnyConnect имеет значительное количество вариантов защиты конечных пользователей и корпоративной сети. Благодаря интеграции с Cisco Identity Service Engine есть возможность полностью автоматизировать процесс подготовки устройства к работе в корпоративной сети с заранее подготовленными правилам, например, включенный антивирус, установленные последние патчи безопасности системы и тому подобное.
Cisco AnyConnect проверяет конечное устройство на соответствие требованиям политики безопасности компании:
3. Функции веб-безопасности и защиты в роуминге
Модуль NVM Cisco AnyConnect® помогает увидеть поведение пользователей и конечных точек.
Этот модуль собирает стандартные потоки данных от конечных точек (например, ноутбуков), такие как пользователь, программа, устройство, местонахождение и для кого предназначена информация.
Благодаря анализу этих данных ИТ-специалисты смогут лучше защищать организацию от потенциальных угроз.
Для усиления защиты удаленных сотрудников, в случае подключенного VPN, Cisco имеет решение — благодаря интеграции с комплексом Umbrella весь трафик от удаленного пользователя будет проходить проверку при подключении к недоверенной сети:
Возможности Cisco AnyConnect для работы:
- Не снижает качество видео и голосовых конференций. Поддерживает протокол DTLS, который специально ориентирован на поддержку мультимедиа-трафика.
- Дает возможность работать в скрытом режиме, динамично выбирать оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, отдаленно мониторится, обеспечивает контроль доступа, поддерживает RDP.
- Возможность доступа к корпоративной сети с любого устройства, в любое время и в любом месте.
- Детальный анализ поведения пользователей и конечных устройств с помощью полномасштабного мониторинга корпоративных сетевых ресурсов компании. Благодаря встроенному модулю мониторинга сети Network Visibility Module (NVM) может обеспечить эффективную защиту сети и улучшить ее работу.
- Платформа Cisco ISE помогает защитить сеть от устройств, не отвечающих требованиям безопасности.
- С помощью многофакторной аутентификации Cisco Duo (MFA) есть возможность настраивать безопасный удаленный доступ с проверкой идентификационных данных.
Закажите бесплатно лицензии Cisco AnyConnect (до 25-ти) и протестируйте в течение 30 дней:
Как настроить VPN с Cisco
Название Cisco является синонимом сетевого оборудования и телекоммуникационного оборудования в глобальном масштабе. Это одно из самых узнаваемых имен большинства корпоративных маршрутизаторов и значительная часть используемых сегодня магистральных интернет-маршрутизаторов.
Компания также предоставляет приложение Cisco AnyConnect , которое используется во многих колледжах и университетах, а также на разных предприятиях по всему миру.
Cisco AnyConnect — это приложение, которое предоставляет пользователям высокозащищенный доступ к корпоративной сети с любого устройства, в любое время и в любом месте. Приложение включает в себя базовый клиент для установки на все ваши устройства и Adaptive Security Appliance (ASA).
Эти устройства Cisco ASA включают в себя брандмауэр, антивирус, спам-фильтр, VPN-сервер, устройство SSL-сертификата, а также множество дополнительных встроенных функций.
Все, что заключено в одном устройстве, — это отличный способ защитить свой бизнес, не создавая головной боли для ИТ-отдела. Именно из-за этого решения «одно устройство защищает все» использование ASA стало настолько популярным.
Настройка виртуальной частной сети (VPN) значительно расширит возможности вашего бизнеса по поддержке удаленных сотрудников и обеспечит безопасный доступ к вашей сети с любого клиента через Интернет.
В этой статье будут рассмотрены основы того, как вы можете настроить VPN для своей организации и подключиться к ней с помощью Cisco AnyConnect.
Настройка собственного Cisco VPN Server
Поскольку мы будем использовать устройство безопасности ASA, вы можете использовать Cisco Adaptive Security Device Manager (ASDM) для настройки параметров VPN, а также других функций, таких как правила межсетевого экрана и параметры преобразования сетевых адресов (NAT).
Существует три ключевых аспекта VPN-соединения: идентификация, шифрование и туннелирование. У каждого есть определенный набор стандартов, чтобы все это работало вместе.
Во-первых, вам понадобится способ идентифицировать и проверить удаленного пользователя. Это означает, что ваши пользователи должны будут пройти аутентификацию в базе данных авторизованных пользователей и получить все необходимые права доступа. Вы можете использовать сертификаты для установления личности или создания набора политик аутентификации, авторизации и учета (AAA) либо локально, либо на отдельном сервере.
Далее вы захотите зашифровать весь трафик между сервером и клиентом и установить уровень шифрования. Чем выше уровень шифрования, тем сложнее будет получить к нему доступ, но это также приведет к увеличению издержек при расшифровке.
Наконец, туннель должен быть установлен. Вы можете настроить сервер для настройки политик, которые указывают пользователям на конкретные сети в вашей организации.
Вполне возможно, что у вашей Cisco VPN может быть настройка по умолчанию, называемая Easy VPN, которая позволит вам создать единую группу с общими характеристиками. Эта функция позволит пользователям, которые хотят получить доступ к серверу, использовать только предварительный общий ключ, а также имя пользователя и пароль для аутентификации.
Как настроить Cisco AnyConnect VPN
Когда дело доходит до настройки Cisco AnyConnect VPN, подход будет зависеть от устройства, на котором вы его устанавливаете. Однако после установки настройка очень проста.
Получить Cisco AnyConnect так же просто, как перейти на веб-сайт Cisco и загрузить его. Хотя, если вы используете приложение для подключения к колледжу или сети вашего работодателя, они должны предоставить вам ссылку. То же самое можно сказать, если вы являетесь работодателем, поскольку вам нужно будет предоставить ссылку.
Вам потребуется логин для подключения к VPN через Cisco AnyConnect. Подключение к сети колледжа или компании? Сотрудники отдела кадров или ИТ-службы должны были предоставить эту информацию заранее. Без входа в систему вы не сможете подключиться к VPN.
Если вы настраиваете свою собственную Cisco VPN, первое, что вам нужно сделать, — это загрузить клиент Cisco AnyConnect VPN и установить его на свое устройство с помощью файла InstallAnyConnect.exe .
Следуйте инструкциям мастера настройки и выберите OK, когда дойдете до конца. Проверьте подлинность установки, если требуется, и затем выберите Готово после завершения.
Этот метод установки предназначен для ОС Windows. Другие операционные системы, вероятно, будут использовать другой установщик.
Создание соединения
После установки Cisco AnyConnect VPN вы и другие пользователи можете подключаться к VPN в любое время, если у вас есть данные для входа.
Установить соединение очень просто. Все, что вам нужно сделать, это запустить приложение с вашего устройства, войти в сеть, предоставить данные для входа в систему, нажать кнопку «Подключиться» , и соединение будет установлено.
Настройка 2FA в вашей VPN — статья на другой день. Однако для некоторых других сетей, к которым вы хотите подключиться, может потребоваться двухфакторная аутентификация. Вам нужно будет получить код, который, вероятно, предоставлен вашей службой поддержки персонала или ИТ-службой, и ввести его в новом окне 2FA при появлении соответствующего запроса.
VPN Cisco Anyconnect, сертификаты CRT, rdp-клиент с поддержкой подключения через шлюз и Debian 7 64
И так стояла задача подключится к рабочему компьютеру.
Имеется Инструкция для винды, два сертификата ROOTCA.CRT и CORPCA.CRT, линуксовая версия Cisco Anyconnect и Debian GNU/Linux 7.2 (wheezy) x86_64.
Краткое изложение инструкции:
1 Установить ROOTCA.CRT в «Доверенные корневые центры сертификации».
2 Установить CORPCA.CRT в «Промежуточные центры сертификации».
3 Установить Cisco Anyconnect.
4 Настроить подключение в Cisco Anyconnect.
5 Подключится через rdb к рабочему компьютеру.
В таком изложении различий между установкой в винде и линуксе нет (только пункт 3 надо выполнить до пункта 1), но для тех кто не в курсе обозначу основные проблемы:
1 первые 2 пункта в винде выполняются через двойной клик по файлам и выбором нескольких настроек в инсталяторе. Но в линуксе я не нашел простых путей.
2 пункт 4 у пользователей ubuntu i386 тоже не вызовет особых проблем ubuntu x86_64 не проверял, но в моем дебиане gui не запустилось. Правда в консоле все работает замечательно, но я не сразу об этом догадался.
3 подключение к рабочему столу через шлюз. Этого почти никто не умеет.
Приступаем в начале как я уже писал устанавливаем Cisco Anyconnect, ни каких проблем тут нет запускаем в командной строке vpn_install.sh
я выполнял
$sudo sh vpn_install.sh
только запускать надо из папки с файлом, иначе пути к устанавливаемым библиотекам не находит. Дальше в /opt/ все разворачивается.
запуск гуи /opt/cisco/anyconnect/bin/vpnui у меня падал из за нехватки зависимостей от разных библиотек i386. Несколько из них поставилось, но одна сказала что снесет пол системы. Тогда я стал изучать /opt/cisco/anyconnect/bin/vpn консольный вызов. Он работает без проблем.
Оказалось не все так просто. в очередной раз при установке возникли проблемы нехватка библиотек
добавляем архитектуру i386
$dpkg —add-architecture i386
устанавливаем библиотеки
$sudo apt-get install libxml2:i386 libstdc++6-4.9-dbg:i386 lib32z1 lib32ncurses5 network-manager-openconnect
Для решения проблемы 1 установка сертификатов, мне помогла статья Импорт сертификата webmoney в Chrome (Ubuntu) и просмотром папок с установленным Cisco Anyconnect
В Cisco Anyconnect есть папка /opt/.cisco/certificates/ca
где и должны лежать сертификаты, но простое копирование ROOT.CRT и CORP.CRT в нее не помогает,так как они не того вида.
Для того что бы они стали нужного нам вида их надо установить в Firefox (я устанавливал в iceweasel поскольку дебиан)
по инструкции из ссылки выше
Открываем в браузере пункт меню Правка — Настройки. В открывшемся окне — раздел Дополнительные, вкладка Шифрование. Нажимаем кнопку Просмотр сертификатов. Переключаемся на вкладку Центры сертификации
дальше жмем импортировать и выбираем ROOTCA.CRT. Затем проделываем тоже самое для CORPCA.CRT.
Когда сертификаты установились делаем им экспорт. У меня получилось два файла ROOTCA и CORPCA без разрешения.
Поместив полученные файлы в папку, я все равно не добился нужного мне результата, пока не добавил им расширение pem (CORPCA.pem ROOTCA.pem).
Теперь запуск
/opt/cisco/anyconnect/bin/vpn connect host
выдает долгожданное
Copyright (c) 2004 — 2013 Cisco Systems, Inc. All Rights Reserved.
>> state: Connected
>> state: Connected
>> state: Connected
>> notice: Connected to Not Available.
>> registered with local VPN subsystem.
дальше пошло изучение rdp.
попытки скормить krdc и remmina файла *.rdp закончились не чем, как и попытки ручной настройки. Там просто не было нужных мне пунктов.
Но вот в одной из инструкций я все таки нашел строчку
При удаленном подключении к рабочему компьютеру из ОС не из семейства Windows необходимо использовать rdp-клиент с поддержкой подключения через шлюз, настроив его в соответствии с инструкцией по эксплуатации для подключения через шлюз
которая помогла мне сформулировать правильный вопрос мировому разуму и получить в ответ
Remote Desktop from Debian through Terminal Services Gateway
однако и тут мне пришлось повоевать, версия freerdp поддерживающая этот функционал нашлась только в экспериментальной ветке.
В конечном итоге я все таки увидел меню входа винды.
На этом я закругляюсь, инфы как установить experimental в сети достаточно.