Сервис Пользовательский VPN

Пользовательский VPN

Александров Назар Иванович

Предоставить возможность пользователям подключаться удаленно к внутренним ресурсам компании с разграничением доступности ресурсов для каждого пользователя

• OpenVPN сервер и скрипт выпуска клиентских конфигов.
• IP адреса клиентам выдаются статические через CCD файлы, что позволяет четко идентифицировать каждого клиента по IP и управлять его доступом на FW
• Учет свободных и занятых адресов ведется скриптом автоматически в инвентори/сети 10.50.50.0/24 (CHL_OVPN_LAN) - челябинские клиенты, 10.20.50.0/24 (MSK_OVPN_LAN) - московские: скрипт закрепляет за новым конфигом первый свободный IP

Если при генерации нового конфига скрипт найдет одноименного пользователя в инвентори - закрепит за ним выделенный IP (иначе просто сделает описание к IP адресу в виде ovpn-username)

Доступ отзывается/активируется удалением/восстановлением CCD файлов: сервер настроен так, что на каждый конфиг должен присутствовать одноименный CCD файл, удаление CCD деактивирует конфиг (правда не рвет активную сессию)
Дополнительно индивидуальный сетевой доступ клиентов регулируется на FW MSK-GW и CHL-GW

Ссылка на инструкцию для пользователей
Инструкция для отдела ИТ

• как предоставить доступ
• как отозвать доступ

Предусмотрена ли, если предусмотрена то как реализуется

Как делается, какие предъявлены требования по RPO и RTO

Требования предъявленые к логированию (глубина хранения, подробность)
Детали логротейта

Что нужно мониторить
Кого нужно оповещать

Как настроены метрики, триггеры, оповещения

если доступ к сервису не контролируется, то эту секцию нужно убрать за ненадобностью