VPN для удалённых сотрудников: сайт-сайт или клиентское подключение — что выбрать бухгалтерии
За десять лет в IT-аутсорсинге я настроил, наверное, полсотни VPN для бухгалтеров, которые ушли на удалёнку. И почти каждый раз слышу один и тот же вопрос: а что проще и дешевле — поднять туннель между офисами или выдать каждому сотруднику клиент на ноутбук? Однозначного ответа нет, зато есть чёткие критерии, по которым это решается за пять минут. Расскажу, как выбираю схему для клиентов — от небольшой бухгалтерии на три человека до производства с филиалом в другом городе.
С чего вообще начинается этот выбор
Обычно ко мне обращаются, когда бухгалтерия уже месяц как сидит по домам, а 1С открывается через какой-то самопальный RDP, проброшенный прямо в интернет на 43389 порту. Работает — да. Спит спокойно директор — нет. Один такой клиент, торговая компания на Дмитровке, пришёл ко мне после того, как его базу зашифровал шифровальщик: кто-то перебрал пароль администратора на голом RDP за три дня подбора. С тех пор я на голый проброс RDP наружу без VPN вообще не соглашаюсь работать, сколько бы ни просили «ну это же временно».
Дальше встаёт развилка. Первый вариант — site-to-site: ставим на домашний роутер сотрудника (или в его квартире появляется маленькая коробочка) туннель до офисного pfSense или Keenetic, и вся его домашняя сеть как бы становится продолжением офисной. Второй вариант — клиентский VPN, он же point-to-site: на ноутбук ставится программа-клиент, WireGuard или OpenVPN, сотрудник запускает её и получает доступ только к тому, что ему разрешено. Разница кажется технической, а на деле она определяет и стоимость, и головную боль на ближайшие годы.
Site-to-site: туннель между офисом и домом бухгалтера
Site-to-site в чистом виде для удалённого сотрудника — это когда дома у него стоит отдельное железо: Keenetic, MikroTik или простой роутер с поддержкой IPsec или WireGuard-туннеля, который сам, без участия человека, поднимает связь с офисом при включении. Бухгалтер утром включает компьютер — и уже в сети офиса, как будто сидит за соседним столом. Никаких паролей вводить не нужно, никакого клиента запускать. Для человека, который путает браузер с рабочим столом, это идеальный вариант — я таких видел десятки, и объяснять им «нажми сюда, введи логин» бывает то ещё приключение.
У одного клиента, юридическая фирма на 18 человек, я так подключил трёх удалённых юристов в регионах: купил три Keenetic Peak по 14-16 тысяч рублей, настроил IPsec-туннели до офисного pfSense, и с тех пор про VPN там просто забыли — работает уже полтора года. Но у схемы есть обратная сторона. Роутер стоит денег, и его нужно физически довезти или отправить курьером. Если человек часто меняет место работы — кафе, дача, поездка к клиенту — с собой коробку не потащишь. И самое неприятное: вся домашняя сеть сотрудника технически становится частью вашей корпоративной. Если у него дома роутер с дырявой прошивкой и вирус на телефоне ребёнка, это теоретический риск для офиса — при грамотной настройке VLAN и файрвола он сводится почти к нулю, но настраивать это придётся аккуратно.
Клиентский VPN: программа на ноутбуке
Клиентский VPN устроен ровно наоборот. На офисном сервере — том же pfSense, MikroTik или отдельном сервере с WireGuard — поднимается VPN-сервер. Сотруднику ставится программа-клиент: WireGuard, OpenVPN Connect или, если нужен обход блокировок, AmneziaWG. Он вводит логин, жмёт «подключиться» — и попадает в офисную сеть, причём с любого устройства и из любой точки, хоть с дачи, хоть из аэропорта. Никакого лишнего железа возить не нужно, всё живёт в файле конфигурации на два килобайта.
У меня есть клиент — бухгалтерская компания на аутсорсе, обслуживает восемь юрлиц, и у них половина сотрудников вообще не имеет постоянного рабочего места: сегодня дома, завтра у клиента с ноутбуком, послезавтра в дороге. Для них клиентский VPN — единственный разумный вариант, потому что site-to-site тут просто нечем разворачивать. Настроил один раз WireGuard-сервер на офисном роутере, раздал конфиги — и через пять минут человек уже работает хоть из такси. Из минусов: про запуск клиента нужно помнить, а если у сотрудника истёк сертификат или он забыл пароль от профиля — это звонок мне в девять утра.
Что дешевле в деньгах
Если считать голую арифметику, клиентский VPN почти всегда дешевле на старте. WireGuard и OpenVPN бесплатны, лицензия не нужна ни на сервер, ни на клиентов — ставится хоть на десять, хоть на сто человек без доплат. Единственная статья расходов — время на настройку сервера, это разовая работа часов на четыре-шесть, у меня это стоит в районе 15-25 тысяч рублей под ключ вместе с инструкцией для сотрудников.
Site-to-site дороже за счёт железа: на каждого удалённого сотрудника нужен отдельный роутер, а это от 8 до 20 тысяч рублей в зависимости от модели плюс доставка. Если у вас три бухгалтера на удалёнке — заплатите тысяч сорок-пятьдесят разово. Если пятнадцать — уже сотни две. Зато почти нет расходов на поддержку: коробка настроилась один раз и работает годами, я к таким клиентам потом не заглядываю месяцами. С клиентским VPN расходы размазаны по времени — то у кого-то не подключается клиент, то нужно перевыпустить сертификат уволившемуся, то новый ноутбук настроить. По деньгам за год выходит примерно одинаково, просто платите вы либо сразу, либо по чуть-чуть.
А что с безопасностью
С точки зрения безопасности честный ответ — обе схемы одинаково надёжны, если их настраивает специалист, и обе одинаково дырявые, если сделаны на коленке. Но есть нюанс, который важен именно для бухгалтерии: вы работаете с персональными данными, зарплатными ведомостями, электронными подписями в КриптоПро. Утечка тут — не просто неприятность, а потенциальный визит Роскомнадзора и разбор по 152-ФЗ.
Плюс клиентского VPN в том, что доступ можно нарезать точечно: сотруднику из бухгалтерии открыл только сервер 1С и терминалку, а не всю сеть целиком, включая, скажем, видеонаблюдение или бухгалтерский NAS с архивом. При site-to-site так тонко резать сложнее — там весь домашний сегмент как бы становится частью офисной сети, и если не выставить ACL руками, человек внезапно видит принтер бухгалтера в соседнем кабинете. Я всегда настаиваю на двухфакторной аутентификации для клиентского VPN — это минут пятнадцать работы, а закрывает процентов восемьдесят рисков подбора пароля. И обязательно веду список выданных сертификатов: уволился человек — сертификат отозван в тот же день, а не через полгода, когда кто-то наконец вспомнит.
Что удобнее конкретно для бухгалтерии
Для бухгалтерии есть специфика, которой нет у, скажем, отдела продаж: токены ЭЦП, флешки КриптоПро, иногда — банк-клиент, который прибит гвоздями к конкретному компьютеру. Тут схема доступа влияет напрямую на то, будет ли человек вообще в состоянии подписать платёжку.
Был случай — производственная компания, главбух работала из дома с токеном Рутокен для банк-клиента. С клиентским VPN всё встало колом: токен физически воткнут в её домашний компьютер, а 1С и банк-клиент — на терминальном сервере в офисе, куда токен пробросить через RDP можно, но криво и с постоянными обрывами сессии. Переключились на site-to-site с маленьким роутером — и всё завелось само, потому что домашний компьютер стал полноценным узлом офисной сети, и RDP-проброс USB заработал стабильно. А для другого клиента, юрфирмы, где сотрудники просто открывают 1С через тонкий терминальный клиент без всяких токенов, клиентский VPN оказался в разы удобнее — не надо было тащить роутер каждому новому юристу на фрилансе.
Как я выбираю схему для конкретного клиента
На практике я обычно смотрю на три вещи. Первая — насколько привязан сотрудник к железу: если у него токен ЭЦП, специфичный сканер штрихкодов или банк-клиент, требующий локального USB-устройства, почти всегда выигрывает site-to-site. Вторая — насколько сотрудник мобилен: если это разъездной специалист или человек, который работает то из дома, то с ноутбука в кафе, без вариантов берём клиентский VPN. Третья — сколько людей нужно подключить и на сколько долго: для двух-трёх постоянных сотрудников роутеры окупаются быстро, для двадцати временных фрилансеров — переплата на ровном месте.
Часто в итоге получается гибрид: постоянным бухгалтерам с токенами — по роутеру домой, а разовым консультантам, бухгалтеру на подработке раз в неделю или директору, который проверяет отчёты с телефона в отпуске — обычный клиентский VPN. Это не самая элегантная схема с точки зрения сетевого администрирования, зато она реально решает задачу бизнеса, а не тешит инженерное самолюбие красивой единой архитектурой. И да, я лично проверяю обе схемы перед тем, как отдать клиенту — сажусь и пробую сам, потому что бумажная настройка и настройка, которая реально работает в девять утра в понедельник, когда все разом заходят проверять зарплату — это разные вещи.
Частые вопросы
Можно ли обойтись без VPN вообще, просто открыть RDP наружу?
Технически можно, но я категорически не советую. Голый RDP на публичном порту — это первое, что сканируют боты, и перебор пароля администратора занимает не месяцы, а часы. Я видел минимум три случая шифровальщиков именно через открытый RDP, один из них обошёлся клиенту почти в миллион рублей на восстановление. VPN — это не прихоть безопасника, а минимальная гигиена.
Сколько времени занимает настройка VPN для бухгалтерии на 5-10 человек?
Клиентский VPN на офисном pfSense или Keenetic я обычно поднимаю за один рабочий день вместе с выдачей конфигов и короткой инструкцией для сотрудников. Site-to-site дольше, потому что нужно физически доставить роутеры и первично настроить каждый — это уже неделя-полторы с учётом доставки.
Работает ли клиентский VPN с 1С в файловом режиме, а не только через терминал?
Работает, но я бы не рекомендовал гонять файловую базу 1С через VPN на постоянной основе — задержки сети сильно бьют по скорости работы, особенно на больших базах. Для удалёнки правильнее держать 1С на терминальном сервере или в клиент-серверном варианте, а через VPN пробрасывать только RDP или тонкий клиент — тогда разницы между офисом и домом почти не будет заметно.
Что делать, если сотрудник уволился, а у него был доступ через VPN?
Отзывать доступ нужно в день увольнения, а не когда вспомнили. Для клиентского VPN это значит удалить или отозвать его сертификат и профиль на сервере, для site-to-site — забрать роутер или как минимум сбросить на нём настройки и сменить ключи туннеля на офисной стороне. Я всегда советую клиентам вести простой список: кто, когда и с каким доступом подключён, иначе через пару лет никто не помнит, кому что выдавали.
Оставьте заявку, и я подберу схему под вашу специфику: токены ЭЦП, терминальный сервер, удалённых сотрудников — посчитаю и настрою под ключ.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
