VPN bez VPN, czyli Direct Access – działa super!


Jestem prawie pewien, że większość czytelników mojego bloga korzysta na codzień z połączenia VPN, aby dostać się do wewnętrznych zasobów swojej firmy. Rozwiązań VPNowych jest oczywiście sporo, ale od pewnego czasu Microsoft proponuje podobne podejście, ale bez połączenia VPN.

Wielu z Was na pewno słyszało nazwę Direct Access, ale dla tych co nie słyszeli kilka słów wprowadzenia. A później już przejdę do konkretnego mojego przykładu i tego jak ten Direct Access ułatwia mi życie na codzień.

Czym jest Direct Access?

W dużym skrócie – to technologia, która pozwala (przy wykorzystaniu Windows Server 2008 R2 i Windows 7) na zdalny dostęp do wewnętrznej sieci firmy bez potrzeby zestawiania i nawiązywania jakiegokolwiek połączenia VPN.

Możemy wtedy bez problemu korzystać ze stron w intranecie, aplikacji dostępnych tylko w firmie, itp. A dział IT ma również zestawione połączenie z komputerami poza firmą.

Co z tego ma IT i użytkownicy?

Direct Access - schematTo co najważniejsze i czym różni się to od klasycznego VPNa to, że użytkownik nie musi nawiązywać połaczenia z siecią, bo w tej sieci jest cały czas. I to zanim nawet zaloguje się do swojego konta na komputerze.

Komputer podczas startu, jeśli tylko ma połączenie z Internetem, to zestawia dwukierunkowe połaczenie (korzystając z certyfikatu komputera) dzięki któremu chłopaki z IT mogą mieć dostęp do komputera tak jakby był on wpięty w sieci wewnętrznej.

Więc z jednej strony, ja jako użytkownik nie martwię się już podłączaniem się do sieci Microsoft, a nasze IT jest spokojniejsze, bo komputer jest pod ich kontrolą prawie zawsze (gdy tylko ma dostęp do sieci Internet).

Kolejną fajną cechą jest to, że połączenie do serwerów wewnętrznych jest zestawione jednym kanałem, a do publicznych serwerów w internecie drugim. Więc jeśli chcemy obejrzeć sobie np. Facebooka to połączenia do niego nawiązywane są bezpośrednio, a nie przez naszą sieć wewnętrzną (widać to na rysunku po prawej).

Jak to działa?

Direct AccessJuż w zeszłym roku wziąłem udział w pilocie programu Direct Access w naszej firmie. Wtedy jeszcze dostęp nie był tak całkiem idealny, bo do zestawienia połączenia wymagał karty inteligentnej (chipowej, z certyfikatem w środku). Nie był to jakiś wielki problem, ale jednak albo trzeba było mieć kartę zawsze pod ręką albo wpiętą cały czas w komputer (tu pojawiało się oczywiste “security issue”).

Od czerwca natomiast wszyscy biorący udział w tym poprzednim pilocie zostali zaproszeni do pilota już pełnego Direct Access. Samo podłączenie się było banalne. I nawet zrobiłem to z domu łącząc się jeszcze klasycznym VPNem z siecią wewnętrzną.

Wymagane było pobranie najnowszych polityk (z gpupdate /force na uprawnieniach administratora), restart komputera i pobranie certyfikatu z serwerów Microsoft.

Odpowiednio wcześniej miałem też już uruchomionego BitLockera (z TPMem i PINem przy starcie), bo w naszym wypadku jest on również wymagany aby korzystać z Direct Access. A BitLockera już i tak od pewnego czasu musimy mieć obowiązkowo uruchomionego.

Oczywiście jest jeszcze kilka innych wymagań:

  • serwerem musi być Windows Server 2008 R2
  • na kliencie musi być Windows 7 (Enterprise lub Ultimate)
  • komputer musi być oczywiście w domenie
  • jednorazowo jest potrzebna karta inteligentna

Od strony działu IT przygotowanie infrastruktury nie jest tak proste (dlatego nie podłączają u nas wszystkich na raz, ale zaczęli od pilota). Bo w środku technologia ta korzysta z IPSec oraz IPv6 – i jednak trochę w tym kierunku trzeba przygotować w środku firmy. Oczywiście musi być też wdrożone PKI (Public Key Infrastructure). Ale jak widać po pilocie (w którym brało udział około 10.000 pracowników) jest to jak najbardziej możliwe i sprawdza się rewelacyjnie.

Co JA z tego mam?

Wskaźnik poprawnego połączenia Direct AccessKorzystam z dobrodziejstw Direct Access od pewnego czasu, ale dopiero od kilkunastu dni czuję go w 100%. Nie mam już Smart Cardy wpiętej w komputer, nie muszę jej szukać w portfelu. A połączenie z siecią wewnętrzną mam zestawione zawsze.

Dzięki temu jak mam potrzebę skorzystania z jakiegoś wewnętrznego SharePointa (a trochę ich mamy) to już nie bawię się w uruchamianie VPNa. Pobieranie plików, do których czasem ktoś wysyłał linka w mailu, też nie stanowi problemu.

A że w ostatnim czasie pracowałem bardzo dużo zdalnie (ze szpitala i z domu) + regularnie pracuję we wtorki z domu – to rozwiązanie to jest idealne w moim przypadku.

Może to wydawać się małym problemem, ale pewnie Ci wszyscy z Was, którzy muszą do tej pory korzystać z VPNa wiedzą że jednak jest to trochę zachodu. A w ten sposób można tego uniknąć.

Nie mówię już o tych wszystkich korzyściach dla działu IT.

Więcej informacji technicznych

Jeśli macie ochotę się dowiedzieć więcej szczegółów technicznych, to zostawiam Wam kilka linków:

 

I z tego pierwszego linku dorzucę jeszcze w poście krótki (7 minut) webcast po polsku na temat właśnie Direct Access:

Get Microsoft Silverlight

Comments (37)

  1. @Karol: Dzięki Karol za zwrócenie na to uwagi. Może faktycznie nie do końca jasno to napisałem – IPv6 nie jest wymagane w całej firmie. Ważne, aby serwer DA miał IPv6.

    Te zmiany w środku firmy o których mówiłem to po pierwsze trochę konfiguracji na serwerze DA (i nie tylko), ale nie trzeba jakiejś wielkiej rewolucji robić.

    Chodziło mi tylko o to, że włączenie DA w firmie to nie prosty Next/Next w kreatorze tylko jednak trzeba to odpowiednio zaplanować. Ale nie jest to jakaś czarna magia i przerobienie pół infrastruktury w firmie 🙂

    1. Daniel says:

      do autora artykułu. czy mogłbym poprosic o jakis kontakt do Ciebie ? mam kilka pytan. pzdr Daniel

  2. @Łukasz: Co to protokołu pewnie nie ma to znaczenia. Pisałem tylko o różnicach, które wyłapałem.

    I druga rzecz, czyli tunelowanie – tak jak pisałem nie znam openvpn więc wrzuciłem tylko info jakie znalazłem w sieci (o różnicach).

    @misiek440: Nie pisałem, że DA będzie idalny zawsze i wszędzie. Ale jeśli ktoś ma tak czy inaczej infrastrukturę Windows Serverową, to uruchomienie do tego DA wydaje się lepszym pomysłem niż korzystanie z openvpn (no chyba, że jest już w sieci, działa bez problemów i jesteś zadowolony).

    Ale ja naprawdę nie przekonuję nikogo na siłę do DA 🙂 Po prostu opisałem technologię, z której korzystam i która bardzo dobrze się sprawdza.

  3. Technicznie rzeczywiście DA jest podobny do SSTP. Najważniejsza różnica to, to co otrzymuje użytkownik (większa transparentność) i potencjalny operator helpdeskuc (komputer podłączony do Internetu jest zawsze w sieci firmowej), DA "wdzwania" się automatycznie choćby niewiadomo co;)

  4. @Karol: No to chyba ciekawy bug/feature bloga 🙂 Bo wydaje mi się, że jak masz założony profil to link kieruje Cię zawsze do profilu. Jak nie masz profilu założonego i chcesz skomentować coś to masz pola z adresem strony i pewnie wtedy kieruje do strony a nie do profilu (którego nie ma). Aż zgłoszę to.

  5. Chociaż ciekawe… bo jak wpisuję komentarz anonimowo (bez logowania LiveID) to nie mam pola URL do wypełnienia…

    Pytanie Robert – jak to zrobiłeś? 🙂

  6. @Maciej: Tak jak mówiłem – trochę trzeba popracować nad DA, żeby go skonfigurować. Zainteresownym mogę z czystym sumieniem polecić dwa webcasty na ten temat z zeszłorocznego MTS, które poprowadził John Craddock: mts2009.pl/…/sessions.aspx

    One powinny sporo Wam wyjaśnić co i jak przygotować (pierwsza sesja), a następnie jak całość uruchomić i skonfigurować (druga sesja).

  7. @Gienek: Jeśli konfigurujesz klasyczny VPN to tak faktycznie jest jak piszesz, że nawet w Windows tunelowane jest wszystko.

    Ale jeśli zrobisz to z Direct Access, to tunelowany będzie tylko ruch do Twojej sieci wewnętrznej.

  8. @Shadowchaser: Co do instalacji Direct Access na serwerze… to tu proponuję ostrożoność, bo mimo pewnej prostoty w idei, to konfiguracja serwera nie jest już trywialna 🙂

    Ja poczułem wielką ulgę bez Smart Carda 🙂

    Co do sprawdzania poprawek… Przyznaję się bez bicia – nie wiem. U nas na pewno jest to sprawdzane, ale mam prawie pewność, że robi to nie sam Direct Access a raczej NAP z Windows Servera.

  9. Super, że udało się wyjaśnić kwestie związane mitem na temat konieczności posiadania IPv6 w całej sieci formowej aby korzystać z DA.

    @Jarkman: Jeśli chodzi o Windows 7 to DA działa tylko w wersjach Enterprise i Ultimate.

  10. BTW: jak ustawić link do strony zamiast linku do profilu po kliknięciu na nazwę komentującego? Przekopałem cały panel, przejrzałem chyba wszystkie ustawienia i nic…

  11. Różnice i podobieństwa między SSTP a DA fajnie zostały przedstawione tutaj: trycatch.be/…/sstp-vpn-compared-to-direct-access.aspx

  12. @Łukasz: Dwie różnice jakie znalazłem to:

    1. openvpn nie korzysta z IPSec ("OpenVPN is not compatible with IPsec or any other VPN package.")

    2. openvpn tuneluje całe połączenie. Czyli jak korzystasz z Facebooka/YouTube dajmy na to to i tak cały ruch i transfer przechodzi Ci przez serwer firmy. W wypadku Direct Access tylko ruch do sieci wewnętrznej jest tunelowany. Cała reszta idzie normalnie.

    Ale nie jestem ekspertem od openvpn więc nie wiem na ile moje odpowiedzi są rozsądne 🙂

    1. Krystian says:

      @Mariusz Kędziora
      Cześć,
      co do openvpn to proszę, ale nie wprowadzaj ludzi w błąd bo pkt 2 nie jest do końca prawdą.
      W zależności jak chcesz, żeby połączenie z serwerem openvpn wyglądało bo oczywiście można ustawić w konfiguracji serwera,
      żeby połączenie, czyli jak to ująłeś wczytywanie facebooka, youtube szło normalnie poprzez internet, ale też masz dostęp do zasobów w firmie – w configu opcja routowania wszystkie do bramy po stronie serwera czy też nie. Cała idea tunelowania połączenia na tym polega, żeby na innych sieciach niż własna łączyć się poprzez VPN, żeby szyfrować przesyłane dane, nie narażając się na podsłuch w obcej sieci.

  13. @Łukasz: Idę doczytać o openvpn (bo nie znam) i jak wrócę to postaram się powiedzieć czy to się czymś różni czy nie 🙂

  14. Łukasz Jagiełło says:

    A czym to niby się różni od VPN-a poza nazwą ? Dostęp oparty o certyfikaty oferuje chociażby openvpn, może być uruchamiany przy starcie systemu, połączenie będzie szyfrowane.

    Ja nie za bardzo widzę różnicy, ale może czegoś nie rozumiem.

  15. gt says:

    W ten weekend będzie można posłuchać wirtualnej sesji o zabezpieczaniu DirectAccess przy pomocy Forefront UAG. Warto, bo prowadzi nie byle kto: Tom Shinder – jeden z najlepszych na świecie "magików" od ISA Server i TMG/UAG.

  16. Gienek says:

    "openvpn tuneluje całe połączenie. Czyli jak korzystasz z Facebooka/YouTube dajmy na to to i tak cały ruch i transfer przechodzi Ci przez serwer firmy."

    @Mariusz: w Windows przecież jest to również domyślne zachowanie po konfiguracji połączenia VPN na komputerze klienckim. Pamiętam, że zawsze po instalacji systemu i konfiguracji nowego połączenia musiałem wchodzić we właściwości tego połączenia, karta Sieć,
    właściwości TCP/IP v4, Zaawansowane, opcja "Użyj domyślnej bramy w sieci zdalnej".  Potwierdzenie;

    http://ftp.draytek.pl/…/Host-LAN_PPTP_WinVista7.pdf

    Strona 9.

    Co do Direct Access – fajne rozwiązanie, ale póki co w Polsce rzadko spotykane z uwagi na szybkość wdrażania IPv6 po stronie ISP. I póki co niewiele zanosi się na to, aby miało się to szybko zmienić. Niestety….

  17. Gienek says:

    Aha, i zachowanie z tunelowaniem nie jest bynajmniej atutem OpenVPN. To samo miałem zarówno na VPNie postawionym poprzez ISA Server, jak i RRAS na W2k8.

    Mimo wszystko, póki co za najlepsze rozwiązanie VPNowe uważam SSTP (głównie z uwagi na brak konieczności otwierania dodatkowych portów) i z pewnością nie zmienię zdania szybciej aniżeli wejdzie powszechny dostęp do Internetu po IPv6.

  18. ShadowChaser says:

    Ja w Windows zawsze odklikuje "Use default gateway on remote network". OpenVPN jest malo user-friendly, ale nigdy nie instalowalem Direct Access, wiec ciezko mi porownac. Poza tym u mnie byl inny problem, bez problemu OpenVPN tunelowal sieci, ale juz Internetu nie chcial, a chcialem sobie amerykanska TV poogladac:(

    @Mariusz: Pewnie poczules wielka ulge jak sie pozbyles Smart Carda. Ja jako vendor niestety wciaz musze tego uzywac, a jest to bardzo niewygodne. Czy Direct Access rowniez sprawdza zainstalowane w systemie poprawki, antywirusa itd.? Bardzo przemawia do mnie ta technologia, niestety IPv6 wciaz jest dla mnie bariera.

  19. Co do minimalnej instalacji Dierect Access to nie wymaga posiadania w calej sieci IPv6. Starczy IPv6 na serwerze DA.

    @Shadowchaser: co do Open VPN i tunelowania calego ruchu:
    http://www.openvpn.net/…/howto.html (u mnie dziala).

  20. ShadowChaser says:

    @Karol: Czytalem to, google u mnie funguje;) Problem w tym, ze serwer byl stawiany przez kogos innego i jakos nie moglem tego zgrac. Ale niewazne, kiedys jeszcze do tego wroce.

  21. olosz says:

    dzięki za ciekawy wpis na temat DA i uszczegółowienie kwestii IPv6. Myślałem, że ISP też musi oferować IPv6 ale skoro nie, to nie wszystko stracone 🙂

  22. Krzysztof Szafer says:

    To ja może dodam jeszcze parę groszy, sorki jeśli jest to już oczywiste ale…

    Direct Access to przede wszystkim dla użytkownika końcowego – wygoda – nie "wdzwania" on się ręcznie. Wszystko wykonywane jest automatycznie. User nie musi robić tego manualnie, my nie musimy nic dodatkowego instalować na stacji.

    Zdrowie stacji sprawdza tutaj NAP – rola serwera 2008 – sprawdza poprawki, firewalla, antywirusa – jak coś nie gra dostęp jest tylko do poprawek, szczepionek.

  23. Jarkman says:

    Mariusz a w wersji Windows 7 Pro nie da rady zestawić DirectAccess?

  24. Maciej says:

    Ja tylko dorzucę od siebie, że to naprawdę fajna technologia, ale wdrożenie jej to już zupełnie co innego. Osobiście walczyłem dobre dwa tygodnie, żeby to u siebie skonfigurować (jeszcze kiedy W7 był w fazie beta) 🙂 Teraz już jest trochę lepiej, ale i tak ciągle jest to trudne zadanie 🙂

  25. Łukasz Jagiełło says:

    @Mariusz Kędziora: openvpn akurat nie używa ipsec-a, ale co to zmienia ?!? IPSec-a używa np. Cisco vpn. Protokół nie ma znaczenia, bezpieczeństwo to samo.

    "openvpn tuneluje całe połączenie. Czyli jak korzystasz z Facebooka/YouTube dajmy na to to i tak cały ruch i transfer przechodzi Ci przez serwer firmy. W wypadku Direct Access tylko ruch do sieci wewnętrznej jest tunelowany. Cała reszta idzie normalnie."

    To jest bzdura

    np (wycinki tablicy routingu):

    172.16.100.0    0.0.0.0         255.255.255.0   U     0      0        0 tap2

    10.0.8.0        172.16.100.1    255.255.255.0   UG    0      0        0 tap2

    a tym czasem:

    0.0.0.0         192.168.10.1    0.0.0.0         UG    0      0        0 eth0

    Więc tylko wybrane konkretne routingi są pchane tunelem.

  26. misiek440 says:

    raczej stawiam na OpenVPN, dlaczego? bo jest multiplatformowe. W pracy mam kilka jednostek końcowych z WinXP jeszcze kilka na Ubuntu i Serwer na Debianie, Musiałbym to wszytko przenieś na WinServer a zysk niewielki, za to koszty ogromna. Do tego w domu na routerze z Tomato mam zestawione połączanie więc bajka!

  27. vs says:

    Jutro bedzie takze sesja 1'15 Krzysztofa Pietrzaka o DA na conf2010.virtualstudy.pl

    Co do DA to juz to MS zwal SSTP i bylo w vista. To ze jest tylko w Ultimate/Enterprise to juz jest nieporozumieniem.

  28. bardzo says:

    ciekawe

  29. Slawek says:

    Ja mam takie małe pytanko.

    Autor opisuje jakiś tam produkt MS. OK.

    Autor zarzuca innym rozwiązaniom braki bo produkt MS jest naj.

    Tylko dlaczego autor nie ma bladego pojęcia o sieciach i ich konfiguracji a się wypowiada? VPN i brama nie ma nic ze sobą wspólnego. Fakt, że w Windowsach ustawianie tablic routingu ręcznie to niezły koszmar bo MS wie lepiej jakie mają być, ale to raczej wada MS a nie VPN.

  30. Aga Stępień says:

    Drogi Kolego! – pozwól, że za cyctat z artykułu "korzystając z certyfikatu komputera) dzięki któremu CHLOPAKI Z IT mogą mieć …" nazwę Cię – Wielką Męską Szowinistyczną Świnią … i możesz się obrażać lub nie, ale wyobraź sobie, że nie dla wszyskich kolegów po fachu "Kobieta informatyk jest ja świnka morska"…. a tak poza tym … ciekawy artykuł, ale mało konkretów

  31. Robert says:

    Nie wiem Mariusz jak to zrobilem

  32. Radek says:

    No to ładnie hejterzy Panie Mariuszu pokomentowali …

  33. Hitman says:

    Witam, czy potrzebny jest zakup licencji CAL na każdego użytkownika directaccess?

  34. @Hitman: Nie jest potrzebny, bo DA korzysta z tego samego CALa co dowolne inne usługi dla użytkownika. Więc jeśli masz już CALe dla użytkowników to nie potrzebujesz nic dodatkowego (nie jest to taka dodatkowa usługa jak RDS).

  35. Daniel says:

    do autora artykułu. czy mogłbym poprosic o jakis kontakt do Ciebie ? mam kilka pytan. pzdr Daniel

Skip to main content