Távmunka beállítása

Ahhoz, hogy otthonról (vagy bárhonnan, ami nem a megszokott iroda) tudjanak a felhasználók dolgozni kell pár dolog. Nem elég egy VPN-t gyorsan összeütni, mert utána csőstül jön a többi nehézség. A mindenki maradjon otthon emiatt sokaknak okoz komoly fejfájást. Ebben az írásban első körben elvi szinten igyekszem segíteni azoknak a kollégáknak, akiknek hirtelen az lett a feladatuk, hogy oldják meg a távmunkát. A leírtak gyakorlati alkalmazására készülnek az (ingyenes) online képzések, rövidesen azokkal is jelentkezünk (iratkozz be és kapcsold be az oldalon az értesítéseket, hogy időben tudjál az élő képzésekről!).

Első probléma: hogyan érjük el az irodát távolról?

Ez nem feltétlen a megoldás, de elsőre nyilvánvalóan ez jut eszünkbe. Lássuk a lehetőségeket és azok “mellékhatásait”:

VPN

Nem a legegyszerűbb, de egyértelműen biztonságos megoldás. Alapvetően hozzáférést biztosít mindenhez, de majd látni fogod, hogy nem felhőtlenül.

Itt a meglévő vagy beszerezhető eszközök függvényében az alábbi technológiák valamelyikét javaslom:

  • OpenVPN: általánosan működik majdnem minden eszközzel. A tűzfal oldalon Linux, Windows, MikroTik eszközök biztosan támogatják. A kliens oldalon szinte minden (Windows, OS X, Linux. Android, iOS, stb.). A beállítása szerver oldalon közepesen nehéz (ha a biztonság nem szempont akkor egyszerű), kliens oldalon egyszerű (felteszel egy szoftvert és pár fájlt és megy). Ingyenes.
  • SSTP: tipikusan Windows eszközökhöz alkalmas. Tűzfal oldalon van Linux, Windows és MikroTik megoldás. Kliens oldalon leginkább csak Windows fog megbízhatóan menni. Beállítás mindkét oldalon egyszerű.
  • IPSEC / L2TP: általános, szabványos megoldás. Gyakorlatilag minden közismert rendszer tudja. Tűzfal oldalon Linux, Windows, MikroTik, Cisco, stb. (hosszú a sor, gyakorlatilag minden). Kliens oldalon szintén minden létező rendszerhez van megoldás. A beállítás szerver- és kliens oldalon is komolyabb tudást igényel. Ha még sosem csináltál ilyet ne ezzel kezdj beletanulni. A rövidesen érkező képzésben erről is lesz szó, ha mégis.
  • WireGuard: új játékos (a többihez képest) és inkább szerverek közötti kommunikációra való. Van sok rendszerre, beállítása sem bonyolult. Mégsem ezt javaslom, mert nem erre találták ki, a megfelelő biztonság nem könnyen érhető el.

A technikai megvalósításhoz az egyik legegyszerűbben beszerezhető, olcsó és jó minőségű eszköz a MikroTik. A kezelőfelülete kissé szokatlan lehet, de van egy képzésünk hozzá, amit most ingyenessé tettünk. Az oktatóvideókból azonnal használható, gyakorlati tudást kapsz az OpenVPN és az IPSec / L2TP VPN beállításához.

Másik gyorsan megvalósítható megoldás az OpenWrt használata, mely számos SOHO router-re feltehető. Az erről készült videó-képzést is ingyenesen elérhetővé tettük.

Ha a VPN működik és mindenki eléri a megszokott irodai hálózatot nagy az öröm. De nem fog sokáig tartani. Akár egy átlagos DOCX vagx XLSX fájl is elég nagy ahhoz, hogy a megnyitás és minden egyes mentés kibírhatatlan ideig tartson. A céges és az otthoni internet sem erre lett kitalálva. ADSL-en gyakorlatilag nem fog menni az extrém kicsi feltöltési sebesség miatt (ha a cégnél van ADSL, akkor egy megnyitás tart az örökkévalóságig, ha otthon akkor a mentés, ha mindkét helyen, akkor nagyon sok lesz a kávészünet). Egy könyvelő-program vagy más, “csúcsmodern” (értsd: kőkorszaki) szoftver esetén, amik a fájlszerveren tárolt “adatbázis” fájlokkal dolgoznak gyakorlatilag meghalnak. Azokhoz ez nem megoldás.

Extra nehézség, hogy nagyon sok a desktop gép, amit nem lehet hirtelen hazavinni. Vagy ha igen, az nem fog a fentiek miatt segíteni, sőt. Az értelmes megoldás ezen gépeket otthagyni ahol vannak bekapcsolva és távolról elérni őket.

Második probléma: hogyan dolgozzunk csak az irodából elérhető rendszerekkel?

Ezek a fent említett “csodák”, melyek közvetlenül nagy fájlokkal dolgoznak. Ha már van egy (valóban távolról elért) MS SQL, MySQL vagy hasonló adatbázis-szerver az szuper és az menni fog a VPN-en. De sok helyen még a hagyományos (értsd: múltszázadi) technológiákkal dolgoznak (dbase, clipper és társai). Ott a távoli elérés VPN-el nem fog menni.

A VPN itt is nagy segítség, de nem kötelező. Nézzük mik a lehetőségek!

Céges gép elérése távolról

Erre számtalan jobb vagy rosszabb megoldás kínálkozik. Az első és evidensen hangzó megoldás a felhős szolgáltatások használata: TeamViewer, LogMeIn, stb. A második (mert sokan nem akarnak felhőt látni) a közvetlen kapcsolat: rdesktop, VNC, NoMachine.

Felhő alapú megoldás: TeamViewer, LogMeIn

Ezek nagy előnye, hogy nem igényelnek VPN-t, így a fenti részt egyből kihagyjuk. Sőt, általában tudnak saját maguk VPN-szerű funkciót (ők VPN-nek nevezik). Felteszed a gépekre és megy. Arra figyelj, hogy ezeknek két módjuk van: a távsegítség és a távelérés. Az első (távsegítség) esetén a kezelendő gépen megjelenő kódot írod be a kliensbe és a kezelendő gépnél ülő felhasználó engedélyezi a kapcsolódást. Ez a mi esetünkben láthatóan nem megoldás. De ez az alap-működése ezeknek. A másik, kicsit több beállítást igénylő módszer, ha egy jelszóval bárki be tud lépni távolról a gépre. Ehhez kell a gép azonosítója (az előbbi pontban is használt kód) és az egyedileg megadott jelszó. Kérlek rendes jelszavakat használj, különben a világ minden kezdő hacker-e bejárást kap.

Extra lehetőség haladóknak: céges előfizetésekkel egyben lehet menedzselni a gépeket és a jogosultságokat. 4-5 gépes hálózat felett érdemes elgondolkozni rajta.

A megoldás hátránya (a felhő alapú működésén felül – ez szubjektív, hogy előny vagy hátrány), hogy nem olcsó. Bár most a LogMeIn elengedte a díjakat egy időre, azt érdemes megnézni. A TeamViewer-nek van személyes módja, ami ingyenes, de előbb-utóbb “észleli” rendszer az üzleti célú felhasználást (= sokat használod) és letilt. Akkor pedig megint jön a kapkodás (vagy a mélyen a zsebbe nyúlás). Célszerű ezt megelőzni.

Közvetlen kapcsolat: rdesktop, VNC, NoMachine

Nagy előnye, hogy semmiféle felhő-szolgáltatás nem kell hozzá és megoldható ingyen (bár ezeknek is van fizetős változata, de az egyszeri szoftver-licensz és nem havidíj). Ellenben a biztonságuk közel sem olyan jó, mint a fenti megoldásoknak (vicces, ugye? a felhő-alapúak ebben jobban állnak!). Az rdesktop bár titkosít, az közismerten törhető. A VNC-ből csak a modernebb, többnyire fizetős változatok tudnak egyáltalán titkosítást. A NoMachine az egyetlen, ami tud értelmes biztonságot, de a beállítás ott sem triviális. Ergó a jó megoldás az, ha van VPN-ed és azon keresztül használod ezeket, ami más előnyökkel is jár.

Az én személyes javaslatom a NoMachine. Ha csak egy gépet kell távolról elérni ingyenes (terminál-szerverre fizetős, de arra itt neked most nincs szükséged). És messze ennek a legjobb a hatékonysága. Az rdesktop és a VNC is közepesen-gagyi az adott sávszélességen elérhető minőség terén. A NoMachine gyengébb hálózaton is kifejezetten jól használható és nagyon jól alkalmazkodik az elérhető kapacitáshoz. Extra, hogy tud nyomtatót is megosztani, ha a céges gépről az otthoni nyomtatóra küldenél ki valamit. A képzésen egyértelműen ezt fogjuk megmutatni.

Harmadik lépés: (részleges) migráció felhőbe

Tudom, hogy a felhő sokaknak a mumus, mégis azt gondolom kell róla írni. Már csak azért is, mert szerintem nem mumus, sőt. Mi magunk 2012(!) óta felhőben dolgozunk. Gyakorlatilag nincs két munkatársunk egy helyen és sosem volt irodánk. Számunkra a mostani helyzet (otthonról kell dolgozni) csak a normál hétköznapokat jelenti. És mindezt a felhőben oldjuk meg.

Mi a G Suite-al, ClickUp-al, Vectera-val dolgozunk, de ez nem igazán ide tartozó téma. Erről egy másik fórumon fogok beszélni, ami kifejezetten vállalkozóknak (és nem az informatikusoknak) szól. Ha érdekel a téma, itt tudsz regisztrálni a képzésre és itt találod a csoportot, ahol segítünk ha kérdésed van. Itt most térjünk vissza az informatikai probléma megoldására.

Az informatikai probléma itt az, hogyan migráljuk a szerveren lévő fájlokat a felhőbe úgy, hogy az közben a szerveren is elérhető maradjon. A második probléma az, hogy az ismert felhős szinkronizáló alkalmazások (Dropbox, google Backup & Sync, OneDrive, stb.) mindent tárolnak az összes gépen. Ez, ha sok az adat (és többnyire az) nem fog működni. Egyrészt a vírusra senki sem fog már emlékezni mire befejezik a szinkronizálást, másrészt nincs a laptopokban akkora diszk, hogy elférjen. A megoldás az, hogy csak úgy csinálunk, mintha a fájlok ott lennének a gépen és csak azt és annyi időre szinkronizálunk le ami- és amennyi időre kell. Ilyet a G Suite-hoz járó Google Drive File Stream gyárilag tud, de az “mezei” Google fiókkal nem fog menni. Ahogy egy Linux fájlszerverre sem tudod feltenni (csak Windows és OS X változata van). Ha van G Suite-ja a cégnek (vagy most csinál), akkor a felhasználói oldalon tökéletes. Minden más esetre ott az ExpanDrive.

Szerver szinkronizálása felhővel: ExpanDrive

Az ExpanDrive gyakorlatilag kezeli az összes ismert felhő-szolgáltatót és számos saját megoldást (SFTP, SMB, NextCloud) is. Nem szinkronizál, hanem “csatolja” az adott szolgáltatót (Linux és OS X alatt egy mappába, Windows-on egy meghajtóhoz). Innen kezdve mindent látsz, mint egy fájlszerveren, de minden online van. Amit épp megnyitsz az t letölti és cache-eli egy időre. Amit elmentesz azt feltölti. A kliens alkalmazáson kívül van Linux szerverre készült változat, így az elérhetővé tudja tenni a szerveren is a fájlokat (ahonnan menteni is tudsz).

Fájlok másolása helyi diszk és felhő között: rclone

Ha gyorsan kell adatot felmásolni felhőbe, akkor az rclone az egyértelmű választás. Egyszerű parancssoros alkalmazás, de van hozzá GUI is. gyakorlatilag minden felhőt kezel. Tud egyesével másolni és teljes könyvtárat szinkronizálni (nem folyamatosan, hanem egy menetben, mint az rsync). A leghatékonyabb eszköz, ha egy szerverről szeretnél mindent gyorsan feltölteni a felhőbe.

Saját felhő: NextCloud

Ha van időd és kedved (no meg megfelelő szervered), akkor tudsz saját felhőt építeni a fájlszerverre. Erre a NextCloud való. Így a fájlok nem kerülnek ki más helyre és a felhasználóid a fenti leírt előnyökkel tudják azokat elérni a laptopokon, táblagépeken, telefonokon. Van saját kliense (ami szinkronizál) és tudja kezelni az ExpanDrive is.

Összefoglaló

Remélem sikerült segítenem elindulni a számodra megfelelő irányba. A fenti technológiák gyakorlati használatáról rövidesen (napokon belül) lesznek képzések is, ne felejts el az értesítésekre feliratkozni!

Ha valamit szerinted kihagytam vagy nem elég érthetően (esetleg hibásan) írtam le kérlek alul a hozzászólásban jelezd!

Ha bármi ötleted van még, ami segít a mostani helyzetben, kérlek azt is oszd meg velünk egy hozzászólásban. A kapott tippekkel folyamatosan bővítem a cikket.

Sok kitartást és egészséget kívánok!

7 thoughts on “Távmunka beállítása”

  1. Kovács Gábor

    Nálunk a fő probléma, hogy van olyan program, amit otthonról nem lehet használni, így a távoli asztal a megoldás. De hiába kis erőforrás igényű a program, mégis kell egy normál teljesítményű asztali gép az irodába is és otthonra is. És mivel az adott program csak Windowson fut, így minden embernek kell egy gép az irodába, ami folyamatosan működik. Tudtok valami megoldást Windowshoz, amivel többen be tudnak egyszerre jelentkezni ugyanarra a gépre, és nem túl drága?

    1. Krisztian Czako

      Ehhez Windows szerver kell a megfelelő CAL-okkal sajnos. Ez eleve nem olcsó. Rdesktop licencek helyett a NoMachine terminál-szerver változata jöhet szóba, ami nem csak olcsóbb, de sokkal jobb minőségű is, mint az MS sajátja. Hosszú távon lehet megoldás, de rövid távon az összes gép bekapcsolva miatt jelentkező többlet áramfogyasztás lesz az olcsóbb. És a hosszú távú jó megoldás szerintem az, ha ezeket a szoftvereket olyanra cserélitek, amit bárhonnan lehet használni.

  2. Egy egyszerű, de ugyanakkor gyors OpenVPN megoldást nyújt az OPNSense. Egy sima 2 hálókártyás gépre telepíthető, és nagyon egyszerűen felhúzható vele egy OpenVPN szerver.

    Cloud kapcsán, érdemes a Seafile-t is megnézni, mivel A SeaDrive funkcióval nem kell mindent leszinkrtonizáljon a Google Drive File Stream-hez hasonlóan. Az adatok direkt a szerverről elérhetőek.

  3. Mi a magunk részéről mindenképpen törekszünk a VPN kapcsolatra. Jelenleg szerencsére több partnerünknél is működik már évek óta, ahol nincs ott komolyan el kell gondolkodni a gyors és biztonságos (relative, ugye) megoldáson. A jelenlegiek VPN-n “belépnek” az irodába, majd a saját gépükhöz ülnek RDP segítségével. Routerként vagy a Draytek eszközeink futnak vagy Mikrotik és van még egy Cisco-nk is egyik partnernél.
    Az otthoni gépet szeretné mindenki bevonni sos verzióként, de persze általában van rajta minden szép és jó a torrent és egyéb folyamatokon át, így azokat közvetlenül nem szeretnék a hálóba engedni, így most készítettünk ezen partnereknek egy virtuális gépet (LUbuntu) azon beállítva az L2TP VPN kapcsolat és úgy jöhet be a VPN-n keresztül, majd szintén onnan a saját RDP kapcsolattal belép a gépére. Távoli nyomtatást egyelőre próbáljuk megúszni :), de ha kell rajta leszünk a folyamatokon. Igyekszünk a Teamviewer és Anydesk mentesen megoldani, de lehet ezek közül is be kell majd valamit vetni, mert az idő nagy mozgatórugó ilyenkor, és minden persze azonnal kellene.

    1. Krisztian Czako

      Köszönöm, hogy megosztottad. A VPN használatával egyetértek. A távoli-asztal célszerű ha azon keresztül működik. Az RDP (a biztonsági hibáit leszámítva) működik, de nem a leghatékonyabb. Ha a sávszélesség szűkös vagy egyszerűen csak jobb felhasználói-élményt szeretnél a NoMachine fényévekkel jobb.

      A virtuális gépbe betett kész megoldás jó ötlet, bár vannak kétségeim egy esetlegesen fertőzött gépen futó virtuális gép biztonságával kapcsolatosan. Én inkább úgy közelíteném meg a kérdést, hogy a VPN-en csak azt engedem át amit muszáj. Adott esetben a konkrét desktop gép felé az RDP vagy más távoli-asztali kapcsolatot. A virtuális gép helyett pedig egy pendrive, amiről egy live Linux bootol, felépíti a VPN és távoli-asztal kapcsolatot. Így teljesen kiküszöbölöm az esetlegesen fertőzött gép “mellékhatásait” (oké, BIOS-szintű fertőzést nem, de a Linuxra is ártalmas ilyen szintű malware elég ritka).

Leave a Comment

Scroll to Top