VPN bez VPN, czyli Direct Access - działa super!

Jestem prawie pewien, że większość czytelników mojego bloga korzysta na codzień z połączenia VPN, aby dostać się do wewnętrznych zasobów swojej firmy. Rozwiązań VPNowych jest oczywiście sporo, ale od pewnego czasu Microsoft proponuje podobne podejście, ale bez połączenia VPN.

Wielu z Was na pewno słyszało nazwę Direct Access, ale dla tych co nie słyszeli kilka słów wprowadzenia. A później już przejdę do konkretnego mojego przykładu i tego jak ten Direct Access ułatwia mi życie na codzień.

Czym jest Direct Access?

W dużym skrócie - to technologia, która pozwala (przy wykorzystaniu Windows Server 2008 R2 i Windows 7) na zdalny dostęp do wewnętrznej sieci firmy bez potrzeby zestawiania i nawiązywania jakiegokolwiek połączenia VPN.

Możemy wtedy bez problemu korzystać ze stron w intranecie, aplikacji dostępnych tylko w firmie, itp. A dział IT ma również zestawione połączenie z komputerami poza firmą.

Co z tego ma IT i użytkownicy?

To co najważniejsze i czym różni się to od klasycznego VPNa to, że użytkownik nie musi nawiązywać połaczenia z siecią, bo w tej sieci jest cały czas. I to zanim nawet zaloguje się do swojego konta na komputerze.

Komputer podczas startu, jeśli tylko ma połączenie z Internetem, to zestawia dwukierunkowe połaczenie (korzystając z certyfikatu komputera) dzięki któremu chłopaki z IT mogą mieć dostęp do komputera tak jakby był on wpięty w sieci wewnętrznej.

Więc z jednej strony, ja jako użytkownik nie martwię się już podłączaniem się do sieci Microsoft, a nasze IT jest spokojniejsze, bo komputer jest pod ich kontrolą prawie zawsze (gdy tylko ma dostęp do sieci Internet).

Kolejną fajną cechą jest to, że połączenie do serwerów wewnętrznych jest zestawione jednym kanałem, a do publicznych serwerów w internecie drugim. Więc jeśli chcemy obejrzeć sobie np. Facebooka to połączenia do niego nawiązywane są bezpośrednio, a nie przez naszą sieć wewnętrzną (widać to na rysunku po prawej).

Jak to działa?

Już w zeszłym roku wziąłem udział w pilocie programu Direct Access w naszej firmie. Wtedy jeszcze dostęp nie był tak całkiem idealny, bo do zestawienia połączenia wymagał karty inteligentnej (chipowej, z certyfikatem w środku). Nie był to jakiś wielki problem, ale jednak albo trzeba było mieć kartę zawsze pod ręką albo wpiętą cały czas w komputer (tu pojawiało się oczywiste "security issue").

Od czerwca natomiast wszyscy biorący udział w tym poprzednim pilocie zostali zaproszeni do pilota już pełnego Direct Access. Samo podłączenie się było banalne. I nawet zrobiłem to z domu łącząc się jeszcze klasycznym VPNem z siecią wewnętrzną.

Wymagane było pobranie najnowszych polityk (z gpupdate /force na uprawnieniach administratora), restart komputera i pobranie certyfikatu z serwerów Microsoft.

Odpowiednio wcześniej miałem też już uruchomionego BitLockera (z TPMem i PINem przy starcie), bo w naszym wypadku jest on również wymagany aby korzystać z Direct Access. A BitLockera już i tak od pewnego czasu musimy mieć obowiązkowo uruchomionego.

Oczywiście jest jeszcze kilka innych wymagań:

• serwerem musi być Windows Server 2008 R2
• na kliencie musi być Windows 7 (Enterprise lub Ultimate)
• komputer musi być oczywiście w domenie
• jednorazowo jest potrzebna karta inteligentna

Od strony działu IT przygotowanie infrastruktury nie jest tak proste (dlatego nie podłączają u nas wszystkich na raz, ale zaczęli od pilota). Bo w środku technologia ta korzysta z IPSec oraz IPv6 - i jednak trochę w tym kierunku trzeba przygotować w środku firmy. Oczywiście musi być też wdrożone PKI (Public Key Infrastructure). Ale jak widać po pilocie (w którym brało udział około 10.000 pracowników) jest to jak najbardziej możliwe i sprawdza się rewelacyjnie.

Co JA z tego mam?

Korzystam z dobrodziejstw Direct Access od pewnego czasu, ale dopiero od kilkunastu dni czuję go w 100% . Nie mam już Smart Cardy wpiętej w komputer, nie muszę jej szukać w portfelu. A połączenie z siecią wewnętrzną mam zestawione zawsze.

Dzięki temu jak mam potrzebę skorzystania z jakiegoś wewnętrznego SharePointa (a trochę ich mamy) to już nie bawię się w uruchamianie VPNa. Pobieranie plików, do których czasem ktoś wysyłał linka w mailu, też nie stanowi problemu.

A że w ostatnim czasie pracowałem bardzo dużo zdalnie (ze szpitala i z domu) + regularnie pracuję we wtorki z domu - to rozwiązanie to jest idealne w moim przypadku.

Może to wydawać się małym problemem, ale pewnie Ci wszyscy z Was, którzy muszą do tej pory korzystać z VPNa wiedzą że jednak jest to trochę zachodu. A w ten sposób można tego uniknąć.

Nie mówię już o tych wszystkich korzyściach dla działu IT.

Więcej informacji technicznych

Jeśli macie ochotę się dowiedzieć więcej szczegółów technicznych, to zostawiam Wam kilka linków:

• Webcast (po polsku) wprowadzający do Direct Access
• Dokument: Techniczne wprowadzenie do Direct Access (j.ang.)
• Centrum Direct Access na TechNet (j.ang.)

 

I z tego pierwszego linku dorzucę jeszcze w poście krótki (7 minut) webcast po polsku na temat właśnie Direct Access:

Comments

• Anonymous
  January 01, 2003
  @Karol: Dzięki Karol za zwrócenie na to uwagi. Może faktycznie nie do końca jasno to napisałem - IPv6 nie jest wymagane w całej firmie. Ważne, aby serwer DA miał IPv6. Te zmiany w środku firmy o których mówiłem to po pierwsze trochę konfiguracji na serwerze DA (i nie tylko), ale nie trzeba jakiejś wielkiej rewolucji robić. Chodziło mi tylko o to, że włączenie DA w firmie to nie prosty Next/Next w kreatorze tylko jednak trzeba to odpowiednio zaplanować. Ale nie jest to jakaś czarna magia i przerobienie pół infrastruktury w firmie :)

  • Anonymous
    July 21, 2016
    do autora artykułu. czy mogłbym poprosic o jakis kontakt do Ciebie ? mam kilka pytan. pzdr Daniel

• Anonymous
  January 01, 2003
  @Łukasz: Co to protokołu pewnie nie ma to znaczenia. Pisałem tylko o różnicach, które wyłapałem. I druga rzecz, czyli tunelowanie - tak jak pisałem nie znam openvpn więc wrzuciłem tylko info jakie znalazłem w sieci (o różnicach). @misiek440: Nie pisałem, że DA będzie idalny zawsze i wszędzie. Ale jeśli ktoś ma tak czy inaczej infrastrukturę Windows Serverową, to uruchomienie do tego DA wydaje się lepszym pomysłem niż korzystanie z openvpn (no chyba, że jest już w sieci, działa bez problemów i jesteś zadowolony). Ale ja naprawdę nie przekonuję nikogo na siłę do DA :) Po prostu opisałem technologię, z której korzystam i która bardzo dobrze się sprawdza.

• Anonymous
  January 01, 2003
  Technicznie rzeczywiście DA jest podobny do SSTP. Najważniejsza różnica to, to co otrzymuje użytkownik (większa transparentność) i potencjalny operator helpdeskuc (komputer podłączony do Internetu jest zawsze w sieci firmowej), DA "wdzwania" się automatycznie choćby niewiadomo co;)

• Anonymous
  January 01, 2003
  @Karol: No to chyba ciekawy bug/feature bloga :) Bo wydaje mi się, że jak masz założony profil to link kieruje Cię zawsze do profilu. Jak nie masz profilu założonego i chcesz skomentować coś to masz pola z adresem strony i pewnie wtedy kieruje do strony a nie do profilu (którego nie ma). Aż zgłoszę to.

• Anonymous
  January 01, 2003
  Chociaż ciekawe... bo jak wpisuję komentarz anonimowo (bez logowania LiveID) to nie mam pola URL do wypełnienia... Pytanie Robert - jak to zrobiłeś? :)

• Anonymous
  January 01, 2003
  @Maciej: Tak jak mówiłem - trochę trzeba popracować nad DA, żeby go skonfigurować. Zainteresownym mogę z czystym sumieniem polecić dwa webcasty na ten temat z zeszłorocznego MTS, które poprowadził John Craddock: mts2009.pl/.../sessions.aspx One powinny sporo Wam wyjaśnić co i jak przygotować (pierwsza sesja), a następnie jak całość uruchomić i skonfigurować (druga sesja).

• Anonymous
  January 01, 2003
  @Gienek: Jeśli konfigurujesz klasyczny VPN to tak faktycznie jest jak piszesz, że nawet w Windows tunelowane jest wszystko. Ale jeśli zrobisz to z Direct Access, to tunelowany będzie tylko ruch do Twojej sieci wewnętrznej.

• Anonymous
  January 01, 2003
  @Shadowchaser: Co do instalacji Direct Access na serwerze... to tu proponuję ostrożoność, bo mimo pewnej prostoty w idei, to konfiguracja serwera nie jest już trywialna :) Ja poczułem wielką ulgę bez Smart Carda :) Co do sprawdzania poprawek... Przyznaję się bez bicia - nie wiem. U nas na pewno jest to sprawdzane, ale mam prawie pewność, że robi to nie sam Direct Access a raczej NAP z Windows Servera.

• Anonymous
  January 01, 2003
  Super, że udało się wyjaśnić kwestie związane mitem na temat konieczności posiadania IPv6 w całej sieci formowej aby korzystać z DA. @Jarkman: Jeśli chodzi o Windows 7 to DA działa tylko w wersjach Enterprise i Ultimate.

• Anonymous
  January 01, 2003
  BTW: jak ustawić link do strony zamiast linku do profilu po kliknięciu na nazwę komentującego? Przekopałem cały panel, przejrzałem chyba wszystkie ustawienia i nic...

• Anonymous
  January 01, 2003
  Różnice i podobieństwa między SSTP a DA fajnie zostały przedstawione tutaj: trycatch.be/.../sstp-vpn-compared-to-direct-access.aspx

• Anonymous
  January 01, 2003
  @Łukasz: Dwie różnice jakie znalazłem to:

1. openvpn nie korzysta z IPSec ("OpenVPN is not compatible with IPsec or any other VPN package.")

2. openvpn tuneluje całe połączenie. Czyli jak korzystasz z Facebooka/YouTube dajmy na to to i tak cały ruch i transfer przechodzi Ci przez serwer firmy. W wypadku Direct Access tylko ruch do sieci wewnętrznej jest tunelowany. Cała reszta idzie normalnie. Ale nie jestem ekspertem od openvpn więc nie wiem na ile moje odpowiedzi są rozsądne :)

   • Anonymous
     February 20, 2017
     @Mariusz KędzioraCześć, co do openvpn to proszę, ale nie wprowadzaj ludzi w błąd bo pkt 2 nie jest do końca prawdą.W zależności jak chcesz, żeby połączenie z serwerem openvpn wyglądało bo oczywiście można ustawić w konfiguracji serwera,żeby połączenie, czyli jak to ująłeś wczytywanie facebooka, youtube szło normalnie poprzez internet, ale też masz dostęp do zasobów w firmie - w configu opcja routowania wszystkie do bramy po stronie serwera czy też nie. Cała idea tunelowania połączenia na tym polega, żeby na innych sieciach niż własna łączyć się poprzez VPN, żeby szyfrować przesyłane dane, nie narażając się na podsłuch w obcej sieci.

• Anonymous
  January 01, 2003
  @Łukasz: Idę doczytać o openvpn (bo nie znam) i jak wrócę to postaram się powiedzieć czy to się czymś różni czy nie :)

• Anonymous
  June 15, 2010
  A czym to niby się różni od VPN-a poza nazwą ? Dostęp oparty o certyfikaty oferuje chociażby openvpn, może być uruchamiany przy starcie systemu, połączenie będzie szyfrowane. Ja nie za bardzo widzę różnicy, ale może czegoś nie rozumiem.

• Anonymous
  June 15, 2010
  W ten weekend będzie można posłuchać wirtualnej sesji o zabezpieczaniu DirectAccess przy pomocy Forefront UAG. Warto, bo prowadzi nie byle kto: Tom Shinder - jeden z najlepszych na świecie "magików" od ISA Server i TMG/UAG.

• Anonymous
  June 15, 2010
  "openvpn tuneluje całe połączenie. Czyli jak korzystasz z Facebooka/YouTube dajmy na to to i tak cały ruch i transfer przechodzi Ci przez serwer firmy." @Mariusz: w Windows przecież jest to również domyślne zachowanie po konfiguracji połączenia VPN na komputerze klienckim. Pamiętam, że zawsze po instalacji systemu i konfiguracji nowego połączenia musiałem wchodzić we właściwości tego połączenia, karta Sieć, właściwości TCP/IP v4, Zaawansowane, opcja "Użyj domyślnej bramy w sieci zdalnej".  Potwierdzenie; ftp.draytek.pl/.../Host-LAN_PPTP_WinVista7.pdf Strona 9. Co do Direct Access - fajne rozwiązanie, ale póki co w Polsce rzadko spotykane z uwagi na szybkość wdrażania IPv6 po stronie ISP. I póki co niewiele zanosi się na to, aby miało się to szybko zmienić. Niestety....

• Anonymous
  June 15, 2010
  Aha, i zachowanie z tunelowaniem nie jest bynajmniej atutem OpenVPN. To samo miałem zarówno na VPNie postawionym poprzez ISA Server, jak i RRAS na W2k8. Mimo wszystko, póki co za najlepsze rozwiązanie VPNowe uważam SSTP (głównie z uwagi na brak konieczności otwierania dodatkowych portów) i z pewnością nie zmienię zdania szybciej aniżeli wejdzie powszechny dostęp do Internetu po IPv6.

• Anonymous
  June 15, 2010
  Ja w Windows zawsze odklikuje "Use default gateway on remote network". OpenVPN jest malo user-friendly, ale nigdy nie instalowalem Direct Access, wiec ciezko mi porownac. Poza tym u mnie byl inny problem, bez problemu OpenVPN tunelowal sieci, ale juz Internetu nie chcial, a chcialem sobie amerykanska TV poogladac:( @Mariusz: Pewnie poczules wielka ulge jak sie pozbyles Smart Carda. Ja jako vendor niestety wciaz musze tego uzywac, a jest to bardzo niewygodne. Czy Direct Access rowniez sprawdza zainstalowane w systemie poprawki, antywirusa itd.? Bardzo przemawia do mnie ta technologia, niestety IPv6 wciaz jest dla mnie bariera.

• Anonymous
  June 15, 2010
  Co do minimalnej instalacji Dierect Access to nie wymaga posiadania w calej sieci IPv6. Starczy IPv6 na serwerze DA. @Shadowchaser: co do Open VPN i tunelowania calego ruchu: www.openvpn.net/.../howto.html (u mnie dziala).

• Anonymous
  June 15, 2010
  @Karol: Czytalem to, google u mnie funguje;) Problem w tym, ze serwer byl stawiany przez kogos innego i jakos nie moglem tego zgrac. Ale niewazne, kiedys jeszcze do tego wroce.

• Anonymous
  June 15, 2010
  dzięki za ciekawy wpis na temat DA i uszczegółowienie kwestii IPv6. Myślałem, że ISP też musi oferować IPv6 ale skoro nie, to nie wszystko stracone :)

• Anonymous
  June 15, 2010
  To ja może dodam jeszcze parę groszy, sorki jeśli jest to już oczywiste ale... Direct Access to przede wszystkim dla użytkownika końcowego - wygoda - nie "wdzwania" on się ręcznie. Wszystko wykonywane jest automatycznie. User nie musi robić tego manualnie, my nie musimy nic dodatkowego instalować na stacji. Zdrowie stacji sprawdza tutaj NAP - rola serwera 2008 - sprawdza poprawki, firewalla, antywirusa - jak coś nie gra dostęp jest tylko do poprawek, szczepionek.

• Anonymous
  June 16, 2010
  Mariusz a w wersji Windows 7 Pro nie da rady zestawić DirectAccess?

• Anonymous
  June 16, 2010
  Ja tylko dorzucę od siebie, że to naprawdę fajna technologia, ale wdrożenie jej to już zupełnie co innego. Osobiście walczyłem dobre dwa tygodnie, żeby to u siebie skonfigurować (jeszcze kiedy W7 był w fazie beta) :) Teraz już jest trochę lepiej, ale i tak ciągle jest to trudne zadanie :)

• Anonymous
  June 16, 2010
  @Mariusz Kędziora: openvpn akurat nie używa ipsec-a, ale co to zmienia ?!? IPSec-a używa np. Cisco vpn. Protokół nie ma znaczenia, bezpieczeństwo to samo. "openvpn tuneluje całe połączenie. Czyli jak korzystasz z Facebooka/YouTube dajmy na to to i tak cały ruch i transfer przechodzi Ci przez serwer firmy. W wypadku Direct Access tylko ruch do sieci wewnętrznej jest tunelowany. Cała reszta idzie normalnie." To jest bzdura np (wycinki tablicy routingu): 172.16.100.0    0.0.0.0         255.255.255.0   U     0      0        0 tap2 10.0.8.0        172.16.100.1    255.255.255.0   UG    0      0        0 tap2 a tym czasem: 0.0.0.0         192.168.10.1    0.0.0.0         UG    0      0        0 eth0 Więc tylko wybrane konkretne routingi są pchane tunelem.

• Anonymous
  June 16, 2010
  raczej stawiam na OpenVPN, dlaczego? bo jest multiplatformowe. W pracy mam kilka jednostek końcowych z WinXP jeszcze kilka na Ubuntu i Serwer na Debianie, Musiałbym to wszytko przenieś na WinServer a zysk niewielki, za to koszty ogromna. Do tego w domu na routerze z Tomato mam zestawione połączanie więc bajka!

• Anonymous
  June 18, 2010
  Jutro bedzie takze sesja 1'15 Krzysztofa Pietrzaka o DA na conf2010.virtualstudy.pl Co do DA to juz to MS zwal SSTP i bylo w vista. To ze jest tylko w Ultimate/Enterprise to juz jest nieporozumieniem.

• Anonymous
  June 22, 2010
  ciekawe

• Anonymous
  November 10, 2010
  Ja mam takie małe pytanko. Autor opisuje jakiś tam produkt MS. OK. Autor zarzuca innym rozwiązaniom braki bo produkt MS jest naj. Tylko dlaczego autor nie ma bladego pojęcia o sieciach i ich konfiguracji a się wypowiada? VPN i brama nie ma nic ze sobą wspólnego. Fakt, że w Windowsach ustawianie tablic routingu ręcznie to niezły koszmar bo MS wie lepiej jakie mają być, ale to raczej wada MS a nie VPN.

• Anonymous
  January 28, 2011
  The comment has been removed

• Anonymous
  November 26, 2011
  Nie wiem Mariusz jak to zrobilem

• Anonymous
  January 18, 2013
  No to ładnie hejterzy Panie Mariuszu pokomentowali ...

• Anonymous
  November 20, 2013
  Witam, czy potrzebny jest zakup licencji CAL na każdego użytkownika directaccess?

• Anonymous
  November 21, 2013
  @Hitman: Nie jest potrzebny, bo DA korzysta z tego samego CALa co dowolne inne usługi dla użytkownika. Więc jeśli masz już CALe dla użytkowników to nie potrzebujesz nic dodatkowego (nie jest to taka dodatkowa usługa jak RDS).

• Anonymous
  July 21, 2016
  do autora artykułu. czy mogłbym poprosic o jakis kontakt do Ciebie ? mam kilka pytan. pzdr Daniel