Вход | Регистрация
 

Организовать доступ к выделенному серверу 1С без терминала

Организовать доступ к выделенному серверу 1С без терминала
Я
   Durik
 
04.11.20 - 03:14
Добрый вечер! Есть несколько филиалов, которые работают с нашим, личным физическим сервером 1С+СУБД удаленно, установленным в головном офисе. Объединение в общую корпоративную сеть организовано посредством VPN туннелей на уровне маршрутизаторов, сервера терминалов нет, тонкий клиент 1С просто заходит на 1С сервер напрямую.
Сейчас, в связи с определенными пертурбациями и рокировками связанными с пандемией, организацией удалёнки и пр. есть вероятность отказа от определенных рабочих помещений и дальнейшей аренды и даже скорее всего в первую очередь помещение головного офиса попадет под сокращение. Что-то останется конечно, но короче говоря для серверной машины с 1С сервером надо наварное будет искать датацентр и ставить её там на удаленный доступ, видимо другого выхода на ближайшее будущее нет.
Собственно вопрос; поднимать на этой машине дополнительный сервер терминалов категорически не хотелось бы, но удаленную работу само собой к этой машине нужно будет также организовать.
В нашем случае VPN тунели между офисами были организованы на уровне железа, маршрутизаторов, а теперь в датацентре подобную схему уже не организовать, а как быть? Как вообще в таких случаях поступают?
Знаю что облачные хостинги 1С типа фреш и им подобные делают это через сервер терминалов Windows Server, но можно ли как-то обойтись без дополнительной технологии сервера терминалов и работать удаленно?
   ДенисЧ
 
1 - 04.11.20 - 05:09
Фреш без терминала работает.. База на веб-сервере и туда тонким клиентом или бровзером.
   stopa85
 
2 - 04.11.20 - 06:08
Какая бы технология впн ни была, она может быть реализована программно.

Просто подключите сервер как клиента к впн.

Это для юзеров. Для админов оставьте рдп доступный с белых ip.
   mistеr
 
3 - 04.11.20 - 10:02
>в датацентре подобную схему уже не организовать

Почему? Поднимаете соответствующий сервис на вашем сервере или в отдельной виртуалке.
Какой протокол для VPN используете?
   mistеr
 
4 - 04.11.20 - 10:02
(2) >Для админов оставьте рдп доступный с белых ip.

И для вымогателей.
   stopa85
 
5 - 04.11.20 - 10:06
(4) я имел ввиду с доверенных IP)))
А так сервер можно вместе с маршрутизатором в дата центр поставить. Платить только на 1юнит больше придется.
   Durik
 
6 - 04.11.20 - 14:55
(3) В смысле поднять VPN сервер программный на Windows Server ? Сейчас тунели созданы на GRE с маршрутизаторами Cisco.
   Durik
 
7 - 04.11.20 - 14:57
(2///Просто подключите сервер как клиента к впн. 

Извините, не совсем понял идею.
   Durik
 
8 - 04.11.20 - 15:08
(5)///А так сервер можно вместе с маршрутизатором в дата центр поставить. Платить только на 1юнит больше придется.

Да, такую возможность предлагали, но откровенно говоря текущее оборудование, роутер не из лучших, 3800 серия CIsco, далеко не современное, давно требующее обновления, в том числе и сама машина с 1С сервером, если быть честным до конца.;)
В идеале вообще наверное хотелось бы выгрузить базу в dt., избавиться от всех железок, сдать в утиль, ;), и поднимать 1с сервер уже на полностью арендованной машине, типа Херцнера и им подобных. По этой причине наверное организацию туннелей надо продумать программно видимо.
   user-ok
 
9 - 04.11.20 - 15:11
(6) OpenVPN, например
(7) В каждом взаимодействии клиент-сервер кто-от выступает клиентом, то-то сервером (Ваш Кэп XD )
так вот для пользователей 1С их компы клиенты, твой сервер - сервер. Для ВПН: сервер - сервер ВПН (любой, какой настроишь), клиент - твой сервер 1С
   vde69
 
10 - 04.11.20 - 15:16
(8)
1. имей в виду - все дата центры периодически ддосят, по этому к своей железке нужно иметь как минимум 2 внешних белых IP
2. впн програмно на том=же компе, что и 1с - совсем не феншуй, читай что такое дмз, в твоем случае впн сервер должен быть в дмз зоне, иначе стабильности работы не будет

от сюда вывод - в дата центре держать единственную физическую машину для ответственных вещей - нельзя, то есть должно быть как минимум 2 машины (возможно виртуальные), или один сервер + железо для каналов и управления
   NorthWind
 
11 - 04.11.20 - 16:04
(0) ну почему не организовать? В датацентре нет особенных проблем выделить виртуальную или даже железную машину для размещения чего угодно. Есть целая масса дистрибутивов, которые реализуют интернет-центр (роутер+файрвол+решение для удаленного доступа), самый известный - это, например, система RouterBoard от микротика. Да и свою железку в датацентр бывает можно притащить, циску ту же, и вкрутить на полку.
   NorthWind
 
12 - 04.11.20 - 16:05
мне кажется, в первую голову есть смысл обсудить это с датацентром, а не с форумом. Вы такие стопудово не первые и даже не десятые.
   NorthWind
 
13 - 04.11.20 - 16:09
(8) а чем она плоха? Настройте IPSec на ней и ходите циско клиентом. Ну да, с удаленщиками придется помучиться, клиента поустанавливать, зато хрен кто взломает.
Это не RDP с паролем на стандартном порту :))
   Durik
 
14 - 04.11.20 - 16:40
(12) ну, с позиции датацентра угол зрения будет широкий на предмет, наверняка у них клиенты с разными схемами и методами подхода, кто-то сервер терминалов поднимает для файловой 1с, кто-то тунели пробрасывает, врядли будут заморачиваться за меня решать.
Мне вот именно с позиции специалистов по 1С хотелось бы понять как "комильфо" такую задачу будет решить, грамотно организовать, чтобы не сильно усложнять и не множить сущности и в то же время не рисковать стабильностью и эффективностью работы.
Сервер терминалов как-то в современной парадигме клиент-серверной работы вроде как-бы и устаревающий вариант работы, каналы сейчас хорошие, шустрые, даже мобильные. Хотелось бы избежать необходимости вешать дополнительную службу-прокладку в виде сервера терминалов, если можно работать напрямую.
Но в то же время просто взять и открыть порты 1С сервер наружу на белом айпи тоже ведь нельзя, я это осознаю, не продумана его работа в таком режиме, не обладает 1с сервер необходимыми средствами защиты и безопасности, чтобы так рисковать.
   user-ok
 
15 - 04.11.20 - 16:59
(14) открыть порты сервера терминалов наружу на белом айпи тоже нельзя. а сервер терминалов тебе в данной ситуации вообще не нужен. ВПН + сервер 1С. а уж какой ВПН выбрать - решай сам. Или обсуждай с датацентром, как выше подсказали
   Durik
 
16 - 04.11.20 - 18:06
(13///а чем она плоха?

Cisco ISR 38-я серия? Ну, может и в зависимости от сферы применения можно использовать, но по-хорошему уже сильно устарела, потенциальные дыры никто не латает, прошивки перестали обновлять, не знаю, я конечно не знаток в безопасности, но говорят, что давно пора менять уже.
К тому же конкретно мой экземпляр уже виды видавший, уставший, не исключено что любой момент может просто физически отказать, блок питания там не резервируется вообще к примеру. Поэтому наверное такого динозавра в датацентр размещать несколько рискованно, да и засмеют там ;).
Видимо что-то программное нужно поднимать там. У Cisco есть облачный роутер на самом деле, я сильно не разбирался, Cisco Cloud Router 1000V, можно развернуть на гипервизоре, но это уже другая виртуальная машина должна быть.
   Durik
 
17 - 04.11.20 - 18:09
(15) Понял вас. Наружу всё опасно в наше время, это да. ;)

VPN пока не пойму какой, но это получается отдельная машина по-любому, даже если что-то простое на Linux поднимать. Просто 1С сервер мне на гипервизоре поднимать не хотелось бы, его наверное лучше не трогать и отдельную физическую машину выделить.
   Durik
 
18 - 04.11.20 - 18:54
К слову будет сказано, у AWS довольно удобный метод создания туннелей с виртуальными машинами, виртуальной сетью VPC. Просто в консоли управлениями создается виртуальный шлюз для связи с корпоративной сетью и не надо поднимать отдельную машину-роутер или VPN сервер для этих целей.
Просто для 1С слишком дорогое удовольствие облачный AWS, да и не нужно это. Вот если бы знать хостера, который нечто подобное предлагает.

Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.