Добрый день!

Развернута клиент-серверная 1С + MS SQL.  Розница 8. Редакция 2.1. База данных 30 ГБ.
Сейчас работает 40 пользователей удаленно через тонкий клиент. На сервере просто проброшены порты для 1С и клиенты подключаются напрямую по IP. Я так понимаю, что это небезопасная схема. Подключение через RDP не подходит, так как у пользователей настроено оборудование: эквайринг, касса, сканер штрихкодов.
Прочитал, что можно развернуть VPN и подключить всех пользователей через него. Либо развернуть веб сервер и пустить пользователей через IIS сервер по https как тонкий клиент. Какая схема будет безопаснее и быстрее работать? Может быть есть еще варианты осуществления подключения?
Скорость интернета у пользователей 2-3 Мбит/с. На сервере 100 Мбит/с.

Буду признателен за ваши ценные советы, опыт и рекомендации.

(0) Беги оттуда

И сколько времени так работаете?

>>>веб сервер и пустить пользователей через IIS сервер по https как тонкий клиент

ну еще авторизацию на IIS поднять по смарт ключам.

(0) Это прекрасная схема если через веб-сервер тонкие клиенты работают

(0) оба варианта работоспособные. Единственное что - варианты с IIS/HTTPS боле-менее красиво удастся сделать, только если у вас есть домен и вы можете выпускать сертификаты. А если нет, то будут самоподписанные сертификаты, на такие сертификаты браузеры, например, поругиваются, хотя и работают с ними.

(5) https://letsencrypt.org/ же

(6) тоже верно

(2) Лет 8

(6) letsencrypt можно получить на ip адрес или все равно нужен домен?

(9) домен
можно на https://www.duckdns.org/
или от кинетика домены его бесплатные

(10)+ из наших есть http://hldns.ru/

(9) домен стоит от 100 рублей, разве это проблема?

(0) разверни VPN на сетевом оборудовании, настрой подключение + авторизацию через доменные учетки, доступ на сервер.

А для VPN какие протоколы или ПО использовать для лучшей скорости?

(14) может лучше админа пригласить? тут нельзя ответить точно на  100%. Многое при выборе протокола будет зависеть от топологии сети, имеющегося оборудования, и в итоге скорость не будет главным фактором

(14) l2tp, OpenVPN.

(12) проблема когда он засветился и начались атаки
а тут поменял и бесплатно

(14) WG

+(18) Я тоже за WireGuard

Ну во первых вы же все работаете через клиента 1с а не из браузера. Проблем с самоподписным сертификатом не будет.
Создать сертификат сервера и сертификаты клиентов. И авторизоваться через это сертификат по https.

(18) (19) (16) Не канает. Сейчас ОПСосы тестируют блокировку vpn по dpi. Пару дней у народа WG и OpenVPN не работали.

+(21) https://habr.com/ru/news/753424/

(21) все ip перекрыть не могут никак, там технически нереально
блочили только для известных vpn-сервисов в основном

(23)+ кстати в этой технической невозможности перекрыть все ip получателей и основная причина почему еще с ipv4 на ipv6 нет массового перехода у провов
там еще более нереально что то блочить, кол-во адресов сильно больше и таблицы фильтров слишком распухают

(23) Нет. Что такое DPI в курсе? У меня лично openvp и wg легли. Хотя на собственном сервере развернут

+(25) https://habr.com/ru/articles/111054/ на тебе для затравочки.
Пришлось обфусцировать впн трафик. После этого все норм. Но обфускатор нужно отдельно запускать - неудобно. В openvpn и wg встроенного обфускатора нет.

(25) Про DPI в курсе
Но ты понимаешь что "Deep" означает дичайшие затраты и ко всему трафику по всем портам и всем ip (отправитель и получатель) его невозможно включить без начала дичайших тормозов у всех?

Поэтому его включают только на границах (например наружу от прова) и сильно ограничивая по портам и ip для минимизации проблем!
Логично что внутри одного прова никаких запретов на vpn обычно нет, да и между провами (внутри РФ) трафик тоже нет смысла контролировать?

Так что для обычного применения с целью типа ТС проблем не будет.
Если конечно они не додумались сервера за границей поднять.

(25) У меня лично мои wg не легли ни внутри на за границу
Но вероятно не попали подсети которые попали под блок

Смотри вот допустим некие "CyberGhost VPN, McAfee VPN, QuarkVPN, UltraSurf VPN, VPN - Super Unlimited Proxy, ZenMate VPN, VPN Russia - Unblock VPN Proxy, VPNhub и ряд других VPN-сервисов" используют кучу ip адресов
Для уменьшения таблиц ip для DPI туда адреса добавляют не по одному а сразу подсетями
В итоге если твои VPN тоже попали в заблокированные ip то логично что блок был, мои не попали

(27) Почитай (22) Проблемы есть и внутри. Сейчас нет четкого определения свой-чужой айпи. У меня тоже ВПС был развернут в Московском датацентре, но IP было в нероссийском диапазоне, т.к. эту подсеть провайдер купил недавно и в базах они числились за шведами.

(29) Пробежался (22) ничего нового для меня
И см (28)

(28) Фильтрацию DPI включали только для мобильного интернета. У меня проводной и проблем не было. А вот у мобильных фильтровалось.

Еще раз повторю включить DPI на всех портах и всех ip - НЕРЕАЛЬНО без диких тормозов и кучи ложных сработок
Представь что VPN каналы ЦБ РФ или МО РФ лягут и?

(32) Китайцам эти сказки расскажи.

(32) Не лягут, т.к. роскомнадзор собрал адреса ВПН крупных компаний Их прост не фильтруют. Письмо даже было.

(33) Китайцы изначально по белому списку работают ))
И то обходится их "великая стена" с полпинка, даже есть известный случай когда на одной официальной конференции выступающий запустил обход чтобы показать свою презентацию ))

(35)+ С белыми списками кстати такая же проблема - когда слишком много ip в белом аналогично таблицы переполняются и тормоза

(34) Ну да это пример белого списка
Но ip же меняются )) если соединения по DNS

Короче все эти блокировки VPN в конечном итоге будет тоже самое что и со старыми блокировками некоторых сайтов
Когда вроде и нельзя зайти а фактически прокси в браузере поставил бесплатный и зашел
Ну или озадачился своим личным VPN для обхода

(37) Проблема не в обходе, а в том что у ТС могут возникнуть проблемы с работой через ВПН. И фильтрация DPI рассчитана в основном на простых обывателей. ИТшники обойдут это в силу своей специфики. Но проблемы могут возникнуть

(38)+ flibusta и rutracker типа в блоке - но все кому надо заходят ))

(39) Да проблемы могут возникнуть
Но как возникнут так и появится решение

(41) Это риски достаточно крупные. И пока появится решение ТС уже нагнут за простой.

(42) у нас был простой потому что "дата центр затопило" и что?

(43) К чему это ты? На это ты повлиять не можешь. ТС сейчас при выборе может.

(44) Ну так несколько разных протоколов vpn и несколько ip и вперед
Пусть влияет

(45) Я же выше объяснил, что ВПН  - это риски. И при включении DPI тебя не спасут ни количество ip ни разные протоколы.
С тобой бесполезно вести дискуссию.

(46) HTTPS(TLS) - это фактически VPN туннель
Вывод сам понимаешь ?

На данный момент технология VPN прекрасно работает
Что будет там в будущем нет смысла сейчас беспокоиться, просто надо отслеживать ситуацию и быть в курсе
Но это обычная работа по поддержке...

Проблемы начнутся когда запретят https и иностранные сертификаты ssl
Но тут миста первой ляжет с "GlobalSign GCC R3 DV TLS CA 2020"