VPN для удалённой работы: как дать сотрудникам доступ к 1С и корпоративным файлам без риска

Каждую неделю ко мне обращается хотя бы один клиент с одной и той же историей: бухгалтер попросила доступ к 1С из дома, штатный «компьютерщик» за пять минут открыл RDP-порт на весь интернет — и через два-три месяца база зашифрована, а письмо с требованием о выкупе приходит в три ночи. Я занимаюсь ИТ-аутсорсингом уже больше десяти лет, и могу сказать прямо: вопрос удалённого доступа для малого бизнеса решается нормально, но решают его плохо примерно в восьми случаях из десяти. Давайте разберём, что вообще существует, что реально работает и где обычно всё ломается.

Открытый RDP — это не решение, это приглашение

Начну с больной темы. Когда в 2020 году все резко «ушли на удалёнку», типичная схема выглядела так: человек, который «немного разбирается в компах», открывал на роутере порт 3389, говорил «теперь всё работает» и уходил по своим делам. Работало? В каком-то смысле — да. Но RDP-порт, торчащий в интернет, это мишень, которую сканируют автоматически. Круглосуточно. Ботнеты обходят диапазоны IP-адресов буквально за несколько часов. Брутфорс паролей никуда не делся — и статистика по взломам через открытый RDP с 2020 года выросла кратно.

У одного нашего клиента — небольшая юридическая фирма, 12 человек, Москва — так и случилось. Открытый 3389, слабый пароль у одного из юристов, который он, судя по всему, использовал везде. Через два месяца после начала удалёнки шифровальщик лёг на все машины в сети. Восстановление из резервной копии — хорошо, что она хоть была — заняло три дня. Прямые потери: около 180 000 рублей на простой, восстановительные работы, новый антивирус и внеплановое обучение персонала. Косвенные никто не считал, но клиентов они потеряли двоих точно.

Поэтому когда ко мне приходят с запросом «настрой удалённый доступ», я сразу уточняю: мы говорим о нормальном VPN с шифрованием и контролем доступа — или вы хотите просто чтобы что-то работало? Это принципиально разные вещи с принципиально разными последствиями.

Что именно нужно защитить — и от каких угроз

Прежде чем выбирать протокол, надо понять, что у вас вообще есть. В типичном офисе до 50 человек обычная картина: файл-сервер или NAS с расшаренными папками, 1С в режиме клиент-сервер на Windows Server 2019, принтеры в локальной сети, иногда — IP-телефония или CRM. Удалённому сотруднику нужен доступ ко всему этому так, как будто он сидит в офисе за своим столом. Не к отдельным ссылкам, не к веб-интерфейсу — а ко всей инфраструктуре сети.

Угрозы здесь две. Первая — внешний злоумышленник, который перехватывает трафик или ломится в открытые порты. Это то, о чём обычно думают. Вторая угроза, о которой думают значительно реже — случайная утечка данных через небезопасный канал. Бухгалтер подключается с ноутбука через кафе с открытым Wi-Fi, и база 1С с данными о зарплатах или контрагентах летит в эфир в открытом виде. Не нужно никакого хакера и никакого целенаправленного взлома — достаточно просто грамотного человека за соседним столиком с ноутбуком и Wireshark.

VPN решает обе проблемы разом: создаёт зашифрованный туннель от устройства сотрудника до офисной сети. Снаружи — или вообще ничего подозрительного не видно, или это выглядит как обычный HTTPS-трафик, в зависимости от протокола. Внутри туннеля — полноценный доступ к 1С, сетевым папкам, принтерам. Как будто сотрудник воткнул кабель в офисный коммутатор, только через интернет.

OpenVPN: рабочая лошадка с непростым характером

OpenVPN — это первое, что я ставил лет восемь назад, и он до сих пор активно живёт на десятках наших объектов. Открытый исходный код, проверен годами и аудиторами, работает буквально на всём: Windows, Mac, Linux, Android, iOS. Порт можно назначить любой — хоть 443, что делает его неотличимым от обычного HTTPS-трафика. Это важно, если сотрудники работают из мест с ограничительными сетями: некоторые корпоративные Wi-Fi или мобильные операторы блокируют нестандартные VPN-протоколы.

Но у OpenVPN характер есть. Настройка без нормального администратора — настоящая боль. Нужно правильно создать PKI-инфраструктуру: центр сертификации, сертификаты для сервера и отдельно для каждого клиента. Прописать маршрутизацию. Настроить файрвол. Сделать так, чтобы DNS-запросы тоже шли через туннель, иначе 1С будет коннектиться только по IP, а не по имени сервера. Это кажется мелочью, пока не выясняется, что при смене IP сервера всё рассыпается. Видел конфиги, где это всё сделано на коленке — работает, но как именно и почему — никто объяснить не может.

Производительность у OpenVPN тоже не рекордная. Он использует TLS поверх UDP или TCP, и на слабом железе или нестабильном канале заметно тормозит. Для пяти удалённых пользователей — нормально. Для 25-30 одновременных соединений к 1С — уже нужно думать о железе. Серверная часть поднимается на отдельной Linux-машине или VPS. Хорошие VPS под OpenVPN у Timeweb или Selectel стоят от 700 до 1500 рублей в месяц. Это копейки в сравнении с рисками.

WireGuard: то, что я рекомендую сейчас

Года три назад я начал переводить новых клиентов на WireGuard — и не пожалел. Протокол молодой, официально вошёл в ядро Linux в 2020 году, портирован на все платформы. Весь код — около четырёх тысяч строк против ста тысяч у OpenVPN. Меньше кода — меньше мест, где могут прятаться уязвимости. Это не маркетинговая фраза, это инженерная логика, которую приняли криптографы и разработчики ядра Linux. Криптография там современная: Curve25519, ChaCha20, Poly1305 — всё актуальное.

Скорость — другой разговор. На той же железке WireGuard даёт в три-пять раз больше пропускной способности, чем OpenVPN. Для работы с 1С это ощущается: открытие формы документа, проведение накладной, построение отчёта — всё это зависит от скорости туннеля. С WireGuard люди перестают жаловаться, что «1С тупит на удалёнке». Настройка проще: генерируешь пару ключей, пишешь минимальный конфиг в 10 строк, и через час всё работает. Клиент под Windows весит 10 мегабайт, поддерживает Windows 7 и выше. Конфиги для мобильных устройств можно передавать QR-кодом — удобно, когда нужно подключить 15 человек за один день.

Есть нюанс с динамическими IP. WireGuard работает строго на UDP, и если у удалённого пользователя меняется IP-адрес — переключение между домашним Wi-Fi и мобильным интернетом, например — туннель рвётся и поднимается заново. В OpenVPN это обрабатывается чуть мягче. Для большинства сотрудников, которые работают из дома с фиксированным подключением, это не проблема вообще. Для тех, кто постоянно в разъездах — чуть менее удобно, но клиент переподключается быстро, буквально за несколько секунд, и на практике это почти не замечается.

L2TP, SSTP и IKEv2 — когда стоит смотреть в их сторону

L2TP/IPSec встроен в Windows — настраивается прямо через стандартный интерфейс «Управление VPN-подключениями» без установки стороннего клиента. Звучит заманчиво. На практике — периодическая головная боль с NAT-traversal, проблемы за некоторыми корпоративными роутерами, обязательное открытие специфических UDP-портов 500 и 4500. Использую его только в одном сценарии: когда клиент категорически не хочет ставить дополнительный клиент на компьютеры сотрудников, или когда нужно быстро дать разовый доступ с iPhone без установки приложений. Как основное решение — не рекомендую.

SSTP — это VPN-протокол от Microsoft, работает поверх HTTPS на порту 443. Плюс очевидный: никаких проблем с корпоративными файрволами и блокировками. Минус: официально работает только на Windows, требует SSL-сертификата на сервере. Мы его включаем в паре случаев — когда у клиента уже есть Windows Server с настроенной ролью RRAS и они не хотят городить отдельный VPN-шлюз. Разумное решение для тех, кто уже в экосистеме Microsoft и не хочет добавлять новые сущности.

IKEv2 стоит упомянуть отдельно. Быстрый, поддерживается нативно на iOS, macOS и Windows 10+. Главное его преимущество — MOBIKE: протокол умеет подхватывать соединение при смене сети без разрыва туннеля. Переключился с домашнего Wi-Fi на мобильный интернет — VPN не упал, 1С не отвалился. Для компаний, где сотрудники работают с iPad или MacBook и постоянно в движении, это реально удобно. Настройка чуть сложнее WireGuard, требует сертификата, но документации достаточно.

Типичные ошибки, которые я вижу постоянно

Ошибка первая, и самая распространённая: VPN есть, а разграничения доступа нет. Подключился бухгалтер через VPN — и оказался в одной большой сети со всеми серверами, включая те, к которым ему вообще незачем лезть. Правильная схема: VPN-клиент видит только то, что ему реально нужно. В WireGuard это настраивается через параметр AllowedIPs — прописываешь конкретные IP-адреса сервера 1С и файлового хранилища, и всё. Остальная сеть для него закрыта физически, а не только на словах. Ошибка вторая: сертификаты и ключи хранятся где попало. Видел конфиги OpenVPN с встроенными приватными ключами в общих папках, в группах WhatsApp, в письмах без шифрования. Если такой файл утечёт — у злоумышленника есть всё необходимое для подключения к вашей сети. У каждого пользователя должен быть свой сертификат. Тогда при увольнении его отзываешь в секунду — не меняя ничего для остальных.

Ошибка третья — VPN-сервер живёт на том же железе, что и всё остальное. Распространённейшая ситуация: Windows Server 2019, на нём 1С, файлы, бухгалтерские базы — и туда же ставят OpenVPN или роль RRAS. Нагрузка на сервер выше, риски выше, одна точка отказа. Если что-то случится с VPN-компонентом — встанет весь сервер. Правильно: отдельная небольшая виртуальная машина или VPS специально под VPN-шлюз. Стоит 300-700 рублей в месяц у нормального провайдера. Если с ним что-то случится — основные данные и 1С продолжают работать изнутри офиса.

Ошибка четвёртая: никто не смотрит логи подключений. Кто, когда, с какого IP-адреса подключился — эти данные есть в любом нормальном VPN-сервере, но их никто не просматривает. А надо. Хотя бы еженедельно. Если бывший сотрудник через три недели после увольнения подключается к сети — это уже не техническая проблема, это инцидент безопасности. И у вас должна быть процедура отзыва доступа в день увольнения, а не «потом как-нибудь».

Что выбрать офису до 50 мест — конкретный ответ

Если у вас типичный офис — до 50 рабочих мест, Windows Server с 1С в режиме клиент-сервер, 5-20 удалённых сотрудников — я рекомендую WireGuard на отдельном VPS. Дёшево, надёжно, быстро. VPS под Ubuntu 22.04 у Timeweb, Selectel или Рег.ру — минимальная конфигурация, 300-500 рублей в месяц. Настройка WireGuard с нуля занимает 1-2 часа у нормального администратора. Конфиги для клиентов генерируются скриптом, QR-коды для телефонов — за секунды. При увольнении сотрудника его ключ удаляется из конфига сервера и перезапускается служба. Всё. Никаких церемоний.

Если у вас повышенные требования по безопасности — медклиника с персональными данными пациентов, бухгалтерия с прямым доступом к банк-клиенту, юрфирма с конфиденциальными делами — добавляем двухфакторную аутентификацию. Это либо TOTP через Google Authenticator или Яндекс.Ключ (бесплатно, настраивается за час), либо аппаратные токены с сертификатами. Токены типа Рутокен ЭЦП 2.0 стоят 1500-2000 рублей за штуку, лицензия КриптоПро CSP — около 2500 рублей в год на рабочее место. Это уже инвестиция, но при работе с данными, за утечку которых предусмотрена ответственность по 152-ФЗ, она оправдана.

Если у вас 1С уже в облаке — арендованный сервер у 1С-франчайзи или 1С:Фреш — вопрос VPN встаёт иначе. В 1С:Фреш доступ через браузер со своей авторизацией, там отдельный VPN не нужен. Если это арендованный терминальный сервер с RDP — нужен, или хотя бы включение Network Level Authentication и нестандартный порт. Всегда уточняйте у своего 1С-подрядчика: как именно организован канал доступа, есть ли журналы подключений, и что конкретно происходит, когда сотрудник увольняется. Это вопросы не технические — это вопросы безопасности вашего бизнеса, и задавать их нужно до инцидента, а не после.

Частые вопросы

Можно ли использовать TeamViewer или AnyDesk вместо VPN?
Можно, но это решает другую задачу. TeamViewer и AnyDesk дают доступ к конкретному рабочему столу, а не к корпоративной сети в целом. Для разовой помощи коллеге — удобно. Как постоянное рабочее решение для доступа к 1С — медленно, неудобно и дорого: TeamViewer Business стоит от 4500 рублей в месяц, и это не VPN. Плюс вы зависите от серверов стороннего сервиса, которые находятся не в России.

Сколько стоит нормально настроенный VPN для офиса на 20 человек?
Разброс большой, но порядок такой: VPS под VPN-шлюз — 300-500 рублей в месяц, разовая настройка с нуля — от 5000 до 15 000 рублей в зависимости от сложности инфраструктуры, поддержка — либо в рамках ИТ-аутсорсинга, либо по фиксированному тарифу. Если нужны аппаратные токены — ещё 3000-5000 рублей на рабочее место единоразово. Сравните это с последствиями одного инцидента с шифровальщиком — и цена выглядит совсем иначе.

Что делать, если провайдер или корпоративная сеть блокируют VPN?
Это реальная история с некоторыми корпоративными Wi-Fi и отдельными мобильными тарифами. OpenVPN на 443 порту в режиме TCP решает проблему в большинстве случаев — снаружи выглядит как обычный HTTPS. Для WireGuard существуют обёртки типа wstunnel, которые маскируют трафик под WebSocket. Для 99% компаний с обычными домашними и мобильными подключениями это неактуально — блокировок нет.

Нужен ли VPN, если 1С уже в облаке или у 1С-франчайзи?
Зависит от конкретной схемы. Если это 1С:Фреш — доступ через браузер, VPN не нужен, там своя система авторизации. Если это арендованный терминальный сервер с RDP-подключением — VPN нужен или как минимум нужен NLA и нестандартный порт. Всегда уточняйте у подрядчика, как именно организован доступ и есть ли процедура отзыва доступа при увольнении сотрудника — это ключевой вопрос.