Надежный VPN для путешественников на дорогах за ограничительными сетями?

Здравствуйте, я хотел бы начать свой вопрос с некоторого контекста.

Я работаю техником в MSP с требовательным клиентом, который известен как немного сложный клиент и очень заботится о бюджете.

У клиента есть VIP-пользователи, которые часто путешествуют и испытывают трудности при подключении к корпоративному VPN-клиенту из таких мест, как: отели, бесплатный публичный Wi-Fi, рестораны, аэропорты и т.д.

У них есть брандмауэр Sonicwall с SSL VPN не на порту 443.

Существует ли бизнес-ориентированное решение VPN или удаленного доступа, которое будет работать за сетями, которые подозреваются блокировать VPN-протоколы через проверку пакетов или сетями, которые блокируют все, кроме портов 80/443?

Они используют VPN для: доступа к файловым ресурсам, использования внутренних приложений, которые требуют наличия линии зрения к базам данных, и иногда RDP для своих рабочих станций в офисе с ноутбука, которым они пользуются.

Заранее благодарю за любой вклад.

Не знаю текущего состояния разработки, но если это Microsoft-проект, у меня хорошие впечатления от Direct Access.

Это немного сложно настроить из-за всего этого IPv6, но как только он запущен, подключение быстрое и довольно надежное даже на плохих соединениях. Он также работает на порту 443, что очень дружественно к файрволу.

Пользователям не нужно подключаться, так как устройство управляет этим. Внешние устройства получают GPO, и можно настроить так, чтобы иметь доступ к внешним устройствам через инструменты удаленного доступа и управлять ими.

Большинство внедренных систем были очень довольны. Сейчас Microsoft рекомендует Always On VPN для новых развертываний, но последний раз, когда я это проверял (много лет назад), это было не так бесшовно и стабильно.

• Поставьте “SSL” VPN на tcp/443, даже если это выглядит не очень.
• Запустите одновременно IKEv2 (т.е., все UDP-пакеты) IPsec и “SSL” VPN.

Теперь вы предприняли все разумные меры. Обратите внимание, что среды, которым не требуется VPN, не имеют проблем с VPN. Случайные проблемы поддержки удаленных сайтов были одной из причин, почему мы начали сворачивать использование клиентских VPN в 2012 году, в пользу хорошо аутентифицированных HTTPS/TLS.

Ваше решение — поставить ваш SSL VPN на порт 443, или потратить деньги.

Рассмотрите также покупку для этих пользователей дополнительной спутниковой интернет-карты и услуги.

Мы используем knocknoc и guacamole для этого.
https://knocknoc.io и https://guacamole.apache.org

Чисто удаленный доступ через браузер. Очень экономично. Единственное, что работает в некоторых очень ограниченных условиях, таких как больницы, телестанции и т.п.

Перенесите ваш SSL VPN на порт 443.

Рекламируйте как по IPv4, так и по IPv6. CGNAT обычно работает с SSL VPN, если только он не блокируется. И это очень распространено за границей, где интернет-провайдеры не могут тратить $100 на IP и не имеют большого выделения IP.

Если SonicWall это может, включение UDP режима с запасным вариантом значительно улучшит производительность при высоких задержках связи.

3 способа, которые я бы предложил со стеком Microsoft:

Можно использовать Windows365

Развернуть RDS gateway за Entra Web Application Proxy.

Если устройства присоединены к Entra, использовать Entra GSA для публикации локальных ресурсов на устройство.

Вы будете отлично работать с любым SSL VPN-клиентом, использующим порт 443. Обязательно используйте публичный SSL-сертификат для максимальной надежности.

Port 993

imaps, IMAP Secure или IMAP через “SSL” (TLS).

DA использует IPv6 NAT64 через IKEv2. Это очень надежное и умное сочетание, хотя оказалось, что устаревшие Windows-приложения, такие как VB6, не могут открывать IPv6-сокеты без Layer-4+ proxy, и лицензирование, требования и привязки не были привлекательны для клиентской базы, которая предпочла использовать VPN их брандмауэром.

“AOVPN” также использует IKEv2, но с запасным вариантом на базе относящегося к проприетарным SSTP через TLS. Он не требует поддержки IPv6 клиентом, но требования и лицензионные условия тоже влияют на низкую популярность.

В любом случае, если вы используете IKEv2 сейчас, нет причин ожидать, что соединение будет любой иначе с другими VPN на базе IKEv2.

К сожалению, кажется, что требование к Windows Enterprise SKU будет для них неподъемным.

Я бы сказал, что отличие DA в том, что он позволяет запускать устройство туннель через 443 и TCP, в то время как если вы используете устройство туннель в Always On VPN, он использует обычные порты и UDP, что также более склонно к блокировке и вызывает нестабильность при плохих соединениях.

Проблема Always On в том, что по крайней мере в последний раз, когда я его настраивал, не было возможности сделать SSTP по умолчанию без ручного вмешательства, что означало, что соединение устанавливалось дольше, так как оно сначала пыталось IKEv2. Плюс это только для пользовательского туннеля, что означает, что у устройств появляется ненадежное или отсутствующее соединение для устройства, а пользователь должен дождаться подключения. И если оно падает, он снова использует IKEv2, а потом пытается SSTP.

Теперь, любой, кто видел, как обычно работают предприятия за очень небольшими компаниями (10 или менее клиентов). Я понимаю, что это менее распространено в США, чем здесь, в Швеции.

Это, возможно, связано с тем, что рабочая сила здесь относительно дорогая, поэтому даже если вы платите больше за оборудование и лицензии для предприятия, вы экономите время поддержки и управления. Кроме того, терпимость к нестабильности и проблемам здесь, кажется, ниже. Большинство компаний в конечном итоге экономят деньги, отказавшись от VPN-лицензий у поставщика брандмауэра, и получают лучшее и более стабильное решение с более счастливыми пользователями и меньшим количеством обращений. В основном я заменял решения Cisco и Fortigate.

В нескольких случаях, когда поддержка IPv6 представляла проблему, эти приложения обычно работали плохо через VPN, и это обычно решалось с помощью RDP, удаленных приложений или Citrix.

Можно ли настроить SonicWall так, чтобы он использовал TCP через порт 443? Это должно помочь с нестабильным Wi-Fi?

Или всегда есть OpenVPN. Это ещё один популярный вариант для компаний, которые не хотят тратить слишком много, и, насколько я знаю, его также можно настроить работать на порту 443 по TCP.

Я его не настраивал и не администрировал, но использовал как пользователь, и он работал хорошо, как для меня.