Creazione di un proxy, accessibile via URL

[sps]

Salve a tutti,
avrei bisogno di sapere come posso fare il seguente.
Avrei bisogno di fare accedere dei dipendenti/persone esterne ad un sito web con l'ip aziendale, anche se loro lavorano in remoto da casa o altrove. Connessi al sito con tale IP, dovranno fare il login per accedere ad una piattaforma di test

Ho pensato a questo, ma non so se possibile: creo un proxy configurandolo accessibile con un URL, poi posso dare l'URL a chi voglio far accedere

Ma è possibile fare questo?

Se sì, come? Cosa mi consigliate per fare questo?

Il problema è che l'accesso a tale pagina è permessa solo dall'IP aziendale.

Come risolvere?

Grazie per tutti i suggerimenti utili

[thece]

giusto per essere chiari: quando parli di "sito web con l'ip aziendale" intendi che il web server ha un indirizzo IP privato (aziendale) giusto?
In questo caso perchè non esponete il web server direttamente su Internet? Forse ci sono problemi di sicurezza? Altrimenti si, installate un proxy, configuratelo opportunamente per accedere al web server ed esponetelo su Internet.
Sia che decidiate di esporre il web server, sia che decidiate di esporre il proxy abbiate molta cura dell'aspetto sicurezza, perchè se sbagliate vi bucano la rete.
Fornire ai dipendenti / personale esterno un accesso in VPN no?

[sps]

giusto per essere chiari: quando parli di "sito web con l'ip aziendale" intendi che il web server ha un indirizzo IP privato (aziendale) giusto?
In questo caso perchè non esponete il web server direttamente su Internet? Forse ci sono problemi di sicurezza? Altrimenti si, installate un proxy, configuratelo opportunamente per accedere al web server ed esponetelo su Internet.
Sia che decidiate di esporre il web server, sia che decidiate di esporre il proxy abbiate molta cura dell'aspetto sicurezza, perchè se sbagliate vi bucano la rete.
Fornire ai dipendenti / personale esterno un accesso in VPN no?

Ciao,
il sito web cui accedere non è di nostra proprietà ma di un cliente. Occorrono determinate credenziali e requisiti per accedere in sicurezza tra cui l'IP. Se il sistema vede un'IP diverso da quello presentato in fase di registrazione...si hanno problemi, e non possiamo permettercelo in fase di smart working.

Non credo sia utile una VPN, ma posso sbagliarmi e vorrei capire quale può essere la soluzione proposta.
Mentre credo che sia più utile creare un proxy che possiamo facilmente condividere con un URL. Giusto?

Suggerimenti per risolvere diversamente?

[thece]

Non credo sia utile una VPN, ma posso sbagliarmi e vorrei capire quale può essere la soluzione proposta.

I PC dei dipendenti / personale esterno una volta collegati alla VPN è come se fossero all'interno della LAN aziendale, in tutto e per tutto.
Io te la sto facendo molto breve, in realtà per valutare correttamente questa soluzione bisognerebbe analizzare meglio le restrizioni imposte per l'accesso al Web Server ed in generale alle risorse della rete aziendale.

Mentre credo che sia più utile creare un proxy che possiamo facilmente condividere con un URL. Giusto?

E' un modo per arrivare al risultato.

[Pike]

Il vantaggio di usare una VPN (con il gateway, cioè il router aziendale) che fa da connettore verso il sito è che la subnet di provenienza delle richieste è certa e riconosciuta (cioè quella usata per collegare in VPN gli utenti esterni). Inoltre c'è la certezza che i dati da chi si connette verso il sito siano crittati dal tunnel VPN.
E' possibile capire che tipo di obiettivi ha, a grandi linee, questo sito?

[sps]

Ok, come si crea una VPN e poter dare accesso tramite un link?

Grazie!

[thece]

Ok, come si crea una VPN e poter dare accesso tramite un link?

Io ti posso fornire aiuto solamente per OpenVPN, che un pò conosco, ma non è solo questione di installare un servizio e fornire un link. La questione è un pò più articolata. Occorre installare e configurare il server VPN, i client VPN, generare i certificati, modificare qualche regola sul firewall, etc

[HOWTO] OpenVPN - Easy RSA 2 - Instal. & Conf.
[HOWTO] OpenVPN - Easy RSA 3 - Instal. & Conf.

[sps]

Ok, come si crea una VPN e poter dare accesso tramite un link?

Io ti posso fornire aiuto solamente per OpenVPN, che un pò conosco, ma non è solo questione di installare un servizio e fornire un link. La questione è un pò più articolata. Occorre installare e configurare il server VPN, i client VPN, generare i certificati, modificare qualche regola sul firewall, etc

[HOWTO] OpenVPN - Easy RSA 2 - Instal. & Conf.
[HOWTO] OpenVPN - Easy RSA 3 - Instal. & Conf.

Se mi assicuri che i dipendenti ricevono un link su cui cliccare, digitare delle credenziali per fare l'accesso e poi arrivare al sito, io posso procedere a seguire le guide

[thece]

Se mi assicuri che i dipendenti ricevono un link su cui cliccare, digitare delle credenziali per fare l'accesso e poi arrivare al sito, io posso procedere a seguire le guide

No, mi spiace. Io non ti posso assicurare nulla.
Puoi provare, fare gli aggiustamenti del caso e le dovute valutazioni.
Non è una ricetta "Cotto & Mangiato"

Quello che ti posso assicurare è che se la VPN è messa su bene, chi ci si connette (1) può potenzialmente (2) avere accesso a tutte le risorse nella rete remota.

(1) il client VPN
(2) dipende dalla configurazione, ovviamente

[sps]

Posso provare, e lo sto già facendo.
Quello che voglio dire è che i dipendenti/esterni non sono tutti esperti informatici e quindi non posso chiedere a loro di installare o configurare qualcosa. Però andare su una pagina web, dare delle credenziali per l'accesso, è banale e possono farlo.
Mi sto leggendo la documentazione di OpenVPN. Altri suggerimenti sono ben accetti

[thece]

Quello che voglio dire è che i dipendenti/esterni non sono tutti esperti informatici e quindi non posso chiedere a loro di installare o configurare qualcosa.

Putroppo dovranno installare il client OpenVPN.
I file di configurazione e dei certificati di accesso, che dovranno obbligatoriamente inserire nel client, glieli fornirai tu.

[sps]

Quello che voglio dire è che i dipendenti/esterni non sono tutti esperti informatici e quindi non posso chiedere a loro di installare o configurare qualcosa.

Putroppo dovranno installare il client OpenVPN.
I file di configurazione e dei certificati di accesso, che dovranno obbligatoriamente inserire nel client, glieli fornirai tu.

Ed i dipendenti/esterni possono facilmente configurarlo su qualsiasi sistema operativo?
Posso configurare un computer aziendale in uso da un operatore come server?
Ho fatto un diagramma per chiarire la questione:

Avranno tutti le stesse credenziali di accesso al sito remoto ed il sito vede sempre lo stesso ip, quello aziendale.

Corretto?

[thece]

Ed i dipendenti/esterni possono facilmente configurarlo su qualsiasi sistema operativo?

Facilmente? Dipende dalle capacità del dipendente. Per me è banale, ma io sono io

Posso configurare un computer aziendale in uso da un operatore come server?

Se vuoi, ma questo complica la struttura della rete. Sono tutte "parti" che poi (tu) devi andare ad installare e configurare.
Non capisco la necessità di tutto quel NAT ma avrai le tue ragioni.

Corretto?

Boh ... forse ...

In allegato (sotto) una proposta di quella che potrebbe essere una soluzione, alternativa a quella del proxy (sopra) che avevamo pensato inizialmente.
Gli utenti andando tutti ad utilizzare il browser sul Web Client verrebbero identificati ed autorizzati dall'indirizzo IP del Web Client.
Se il servizio di Remote Desktop sul Web Client non dovesse o potesse essere esposto su Internet per questioni di sicurezza, tutta la parte tratteggiata dovrebbe essere implementata attraverso una VPN.