Сервис Пользовательский VPN

Пользовательский VPN

Александров Назар Иванович

Предоставить возможность пользователям подключаться удаленно к внутренним ресурсам компании с разграничением доступности ресурсов для каждого пользователя

• OpenVPN сервер и скрипт выпуска клиентских конфигов.
• IP адреса клиентам выдаются статические через CCD файлы, что позволяет четко идентифицировать каждого клиента по IP и управлять его доступом на FW
• Учет свободных и занятых адресов ведется скриптом автоматически в инвентори/сети 10.50.50.0/24 (CHL_OVPN_LAN) - челябинские клиенты, 10.20.50.0/24 (MSK_OVPN_LAN) - московские: скрипт закрепляет за новым конфигом первый свободный IP

Если при генерации нового конфига скрипт найдет одноименного пользователя в инвентори - закрепит за ним выделенный IP (иначе просто сделает описание к IP адресу в виде ovpn-username)

Есть ли требования к ограничению доступа к сервису?
Пример:
Доступ по IP ограничен согласно сегментации сети - открытая сеть
Доступ на уровне пользователей ограничен членством в группе «Пользователи шаблонного сервиса»
Доступ новым пользователям предоставлять по согласованию с ДИБ и НТЦ3
Изменения вносить в журнал изменений доступа в конце страницы

Ссылка на инструкцию для пользователей
Инструкция для отдела ИТ

• как предоставить доступ
• как отозвать доступ

Предусмотрена ли, если предусмотрена то как реализуется

Как делается, какие предъявлены требования по RPO и RTO

Требования предъявленые к логированию (глубина хранения, подробность)
Детали логротейта

Что нужно мониторить
Кого нужно оповещать

Как настроены метрики, триггеры, оповещения

если доступ к сервису не контролируется, то эту секцию нужно убрать за ненадобностью