Client-to-Site VPN (клиент-сайт VPN)

Client-to-Site VPN — защищённое соединение между индивидуальным устройством (ноутбук, смартфон) и корпоративной сетью через интернет. Позволяет удалённым сотрудникам получить доступ к внутренним ресурсам компании (1С, CRM, файловые серверы, внутренние сайты) как будто они физически находятся в офисе.

Ключевые особенности Client-to-Site VPN

Архитектура:

Сотрудник (192.168.1.100) ← [VPN-туннель] → VPN Gateway (офис 10.0.0.0/24)
Ноутбук ↔ Интернет ↔ Firewall/Router с VPN-сервером

Типы клиентов:

• десктоп: OpenVPN, WireGuard, Cisco AnyConnect;
• мобильные: IKEv2, встроенные VPN iOS/Android;
• тонкие клиенты: браузерные решения (Zero Trust).

Настройка Client-to-Site VPN

WireGuard (рекомендуется для скорости) / VPN-сервер (Ubuntu VPS/офисный роутер):

[Interface]
PrivateKey = <сервер_privkey>
Address = 10.66.66.1/24
ListenPort = 51820

[Peer]
PublicKey = <сотрудник1_pubkey>
AllowedIPs = 10.66.66.2/32

Клиент сотрудника:

[Interface]
PrivateKey = <сотрудник_privkey>
Address = 10.66.66.2/24
DNS = 10.0.0.1

[Peer]
PublicKey = <сервер_pubkey>
Endpoint = vpn.company.com:51820
AllowedIPs = 10.0.0.0/24

OpenVPN (универсальный):

textopenvpn --config company.ovpn --auth-user-pass

Преимущества Client-to-Site VPN

Сравнение протоколов

RADIUS + MFA интеграция

Двухфакторная аутентификация:

RADIUS сервер (FreeRADIUS) ← VPN Gateway ← Клиент
Username + OTP/Google Authenticator

LDAP/Active Directory:

openvpn --auth-ldap-user-pass "/etc/openvpn/ldap.conf"

Когда использовать Client-to-Site VPN

Обязателен для:

• удалённая работа (доступ к 1С, GitLab, внутренним сайтам);
• фрилансеры/контрагенты (ограниченный доступ);
• BYOD (Bring Your Own Device) политики;
• DevOps (доступ к staging/prod среде).

Рекомендации: для малого бизнеса — WireGuard на VPS (Нидерланды, 2 ГБ RAM), корпоративный уровень — PFSense с IPsec IKEv2 + RADIUS, мобильные команды — IKEv2 с сертификатами.