Последнее время стал наблюдать отвалы и замедления в работе. Собственно vpn блокируют видимо потихоньку. Волнует только один вопрос что делать?)

(0)Брать себе у провайдера белый IP

(0) возвращаться в офис если только. инет вообще весь местами перекосило, даже проводной.
а я модем не выкинул! лежит зиксель омни, ждет)

Не совсем понимаю - и подключаться не по впн?

У меня гибрид. Офис далеко.

(3) как вариант - через рдп напрямую и порты почаще менять.

(5) вроде pptp еще работает, вряд ли кто блокирует его.

(5)Смысла нет порты менять

(7) ну на пару дней хватает, потом опять брутфорсят

есть вот такая ссылка https://rkn.gov.ru/press/news/news74921.htm  (правда я не в курсе, как оно работает)
но вообще это всё цирк, конечно.

можно открывать порты RDP (и не только RDP) по порт-кнокингу

(1) наверно да. но админ застрелится всех удаленщиков прописывать))

(9) и розовые пони по кругу

(11)Солдатская работа, не переломится :)

(13) ну я так с одними работаю. пацан хороший, жалко его(

Можно РДП со шлюзом.

(0) sstp или OpenConnect

Сколько на удаленке работаю, никаких проблем с впн не наблюдаю

(17) продолжай наблюдение

+ 17 аналогично

+ 18

Обычный рдп нормально работает, через рдп шлюз и порты никакие прятать не надо.

(21) +100. Непонятно, зачем вообще ВПН нужен.

(0) У проводного Теле2 есть такое. У остальных проблем не замечал.

(22) обычный РДП умеет 2х факторную авторизацию?

(24) Можно настроить. Гугл в помощь.

(25) тогда понять не могу для чего всякие циськи и опенвпны. я вообще далек это всего этого админства. если РДП это все умеет - нафиг лишний софт ставить?

+17 пока тоже не наблюдаю

(26) Видимо, есть админы, которые умеют готовить безопасное подключение средствами винды, а есть, которые не умеют, поэтому и ставят всякие ВПН-ы, меняют порты и проч.
А может, раньше РДП не позволяло настроить в плане безопасности того, что можно настроить сейчас, а те, кто не в курсе, по старинке пользуют ВПНы.
Я тоже уже давно далёк от админства. На прошлой работе удалёнка была через циску, на текушей - РДП со шлюзом.
К РДП можно подключаться с любого устройства - телефон, планшет. Не знаю, есть ли такое для циски и опенВПНа.

(28) < поэтому и ставят всякие ВПН-ы,>

поставить ВПН проще, чем упражняться с защитой винды, установкой апдейтов и отслеживанием уязвимостей 0-дня

(12) не пойму, тебе государство прямо говорит - хочешь, чтобы работало - пиши письмо. а ты не веришь.

(27) на мобильном интернете стабильно базовые протоколы типа опенвпн даже внутри РФ иногда не работают + у некоторых проводных тоже (но тут ситуация получше, да)

(28) безопасно-то безопасно. но стоит выставить мимо впн наружу, даже по левому порту и регулярно его менять, частенько появляется такая вот ситуация https://i.imgur.com/a4ddWEP.png
при этом даже диапазон ip с которых можно подключаться прописан (к сожалению, динамический, так как мобильный интернет)

(32) У нас РДП со шлюзом. Таких ситуаций не бывает. И я не слышал, чтобы админы какие-то порты меняли.
А у тебя, наверное, просто РДП без шлюза.

+(33) Может, конечно, я чего-то не знаю, у нас этим админы рулят, программисты этого не касаются.

Да, там выставляется наружу не rdp, а шлюз, подключения к которому идут по HTTPS, внутри которого уже завернут RDP. А уже после шлюза в периметре внутренней сети к терминальному серверу уже идет обычный rdp.

шлюз поддерживает 2FA

У меня в одном направлении отвалился OpenVPN. Завернул в ssh туннель, пока работает, скорость видимо не просела

Да, сталкивался. В одной организации (провайдер МТС) перестало работать внешнее подключение по l2tp. Причем, там белый адрес. Из сети провайдера подключает, а из других блочит. Пришлось искать обходной путь.

а что такое "РДП со шлюзом"..?

(39) см (35) Шлюз - это Windows Server с ролью Remote Desktop Gateway

(30) Написать можно, но судя по тому, что эта процедура не формализована и не контролируется, результата можно ждать долгие месяцы.

(40) это должен быть отдельный сервер (физический/виртуальный) ?

(42) Да нет вроде. Можно на там же, где РДП крутиться.
Шлюз дает туннель https внутри которого РДП. Этот https можно контролировать например выдавая внутренние сертификаты пользователям. Ну или та же 2х факторная авторизация.

(43) А что, https гарантирует отсутствие дыр и уязвимостей? Просто вместо дыр rdp будут дыры встроенного веб-сервера.

(44) И много дыр веб сервера ты знаешь? И это заметь не веб сервер, а сервер шлюза РДП, который использует https в качестве транспорта. И даже взломав его - ты ничего не получишь кроме ограниченных прав на сервере шлюза.

Шлюз кстати, если по UDP включить тоже дырявый.
Хотя пишут была заплатка на 2016/2019
У кого сервера 2012 надо проверить эту уязвимость или выключаем подключение по UDP.

Известные уязвимости в RDP
https://habr.com/ru/companies/ussc/articles/724330/

(46) CVE-2020-0609, CVE-2020-0610 - давно уже фиксанули.

(46) естественно, сервер шлюза надо обновлять своевременно

есть ещё такая замечательная программа rdpguard. 3 неуспешных попытки логина и ip адрес автоматически отправляется в бан на фаерволе

(49) И заодно все кто на мобильном операторе с этого общего ip да?

(0) На офисный формат переходить надо и дело тут не только в ВПН. Пока не прибежишь и не постоишь над душой у нужного человека проблема иной раз не решается.

(51) А смысл держать таких, над которыми надо стоять чтобы работали?

(52) дешевые?

(53) А дополнительные расходы на надсмотрщиков погонщиков?
+ затраты на "прибежишь" и "постоишь над душой" у всех прочих

(54) те, кто без надсмотрщика сами могут работать, вряд ли задерживаются надолго...?

(0) Пока замечал проблемы только с "попсовыми" протоколами вроде Wireguard и только на мобильном интернете. Переходите на что-то более промышленное вроде IPSec и по возможности работайте с проводного инета, думаю, на какое-то время это должно помочь.

(2) Аналоговый? Чет у меня есть некоторые сомнения, что он будет работать на современных АТС. Там же голос преобразуется в цифру, потом на другом конце опять в аналог, частоты наверняка режутся. Помнится, когда в 10-х годах шел массовый переход на IP - также массово в организациях переставали работать факсы. Из-за этого самого.

С перебором паролей РДП можно бороться как дополнительным ПО типа "Intrusion Detection Admin" и т.п. Так и настройками
роутера. Перебор паролей это куча открывающихся и тут же закрывающихся сеансов, отловить такие пакеты не проблема.
Отловил что ИП за минуту открыл 10 сессий в бан его на сутки.
Напрямую прописать белый список с которого можно заходить по РДП.

(58) а что делать с (50) ?

(59) похоже, мобильный инет для чего-либо серьезного придется хоронить. С учетом того, как "весело" он работал этим летом, тренды рисуются нерадостные. Не мы такие, жизнь такая. И молитесь, господа, чтобы это было самое крупное, от чего в жизни придется отказаться...