Как сотрудники подключаются к рабочему столу серверов, какие есть варианты и почему промежуточный узел в РФ делает доступ простым, предсказуемым и управляемым.
Без технических деталей — что именно построено, как этим пользуется сотрудник и какую пользу получает компания.
Сотрудникам нужен доступ к рабочему столу корпоративных серверов из любого места — из офиса, из дома, в поездке. Доступ должен быть простым для человека, надёжным и соответствовать требованиям к работе в российском сегменте сети.
Никаких VPN-клиентов, никаких настроек и инструкций на страницу. Если что-то меняется на нашей стороне — файл у сотрудника остаётся прежним, переустанавливать ничего не нужно.
Между сотрудником и рабочим сервером стоит промежуточный узел, расположенный в России. Все подключения сотрудников сначала приходят на него, а он уже доставляет их до нужного сервера. Сотрудник всегда обращается к адресу внутри России.
Сотрудник видит только российский адрес. Связь с сервером обеспечивает узел.
Один файл и двойной клик. Не нужно обучать сотрудников, писать инструкции и сопровождать установку VPN.
Сотрудник соединяется с адресом внутри России. Для Средств защиты суверенного Интернета это обычный внутренний трафик стандартного протокола удалённого рабочего стола — без обходных и зарубежных каналов со стороны сотрудника. Это делает доступ предсказуемым и устойчивым.
Единая контролируемая точка входа. Меньше обращений «у меня не подключается» — всё в одном месте под наблюдением.
Серверы не выставлены в открытый доступ «как есть». Вход прикрыт, а попытки подбора паролей блокируются автоматически.
Доступ можно быстро открыть новому сотруднику или закрыть уволенному и добавить новый сервер — ничего не переустанавливая у людей.
Новый сервер подключается за минуты. Сотрудники получают такой же простой файл, как и для остальных серверов.
Сотрудник соединяется с сервером напрямую. Подходит, когда важна максимальная скорость и сервер расположен удобно. Минус — сервер более «на виду», а управлять доступом централизованно сложнее.
Единая приёмная: домашний трафик для сотрудника, защита и удобное управление. Небольшая плата — чуть большая задержка, если сам сервер находится далеко.
Здесь узел в России не просто удобен, а необходим: без него удалённый рабочий стол попросту не открылся бы. Технические подробности — в разделе «Для ИТ-руководителя».
Архитектура, три варианта подключения, ключевые технические свойства и совместимость со Средствами защиты суверенного Интернета.
Промежуточный узел в РФ работает как прозрачный транспортный TCP-релей (уровень L4). Он принимает входящее соединение от клиента и открывает отдельное TCP-соединение к целевому серверу, перекладывая поток байт в обе стороны.
Сессия удалённого рабочего стола не расшифровывается на узле: согласование безопасности (NLA/CredSSP поверх TLS) проходит между клиентом и сервером напрямую. Узел не вскрывает и не подменяет сессию — он лишь ретранслирует её целиком.
На сервере источник всех подключений — адрес узла, поэтому в фаерволе сервера достаточно разрешить единственный источник. Поток RDP проходит через узел целиком в обе стороны (релей, а не перенаправление пакетов).
Маршрут по умолчанию на сервере направлен в зашифрованный канал к зарубежному шлюзу. При прямом подключении ответы рабочего стола ушли бы в этот канал и не вернулись клиенту. Узел решает это: на сервере добавляется единственное маршрутное исключение до адреса узла через обычного провайдера и единственная разрешающая строка в фаерволе.
| Свойство | Как реализовано |
|---|---|
| Тип посредника | Прозрачный TCP-релей (L4); сессия не расшифровывается. |
| Идентификация на сервере | Источник всех подключений — адрес узла → один разрешающий элемент в фаерволе. |
| Сквозная защита | NLA / CredSSP / TLS согласуются между клиентом и сервером и сохраняются end-to-end. |
| Видимость трафика клиента | Соединение клиента — к адресу внутри России (внутрисетевое). |
| Трансграничный участок | Принадлежит узлу или серверу, а не клиенту. |
| Защита периметра | Единая точка: бан по частоте подключений, список доверенных адресов, централизованный мониторинг. |
| Эксплуатация | Добавление сервера = добавление «двери» на узле; у пользователей ничего не переустанавливается. |
Клиентское соединение — это стандартный протокол удалённого рабочего стола к адресу внутри России. Со стороны систем фильтрации это обычное внутреннее подключение: не зарубежный канал и не сигнатура VPN. Отсюда предсказуемость и устойчивость пользовательского доступа.
Трансграничные участки, если они есть, вынесены на инфраструктурную сторону (узел или сервер) и реализованы поверх стандартного TLS, а не специфичных туннельных протоколов, которые проще распознать. Граница не относится к рабочему месту сотрудника.
| Условие | Рекомендуемый вариант |
|---|---|
| Нужна минимальная задержка, сервер расположен удобно, контроль на сервере приемлем | Прямое подключение |
| Нужна единая управляемая точка, домашний трафик для пользователя, защита периметра | Через узел в РФ (основной) |
| Сервер обязан направлять исходящий трафик в защищённый зарубежный канал | Через узел в РФ (обязателен) |