Как лучше развернуть Терминальный сервер?
 

Всем привет!
Поднял Виртуальный сервер 1С посредством Server 2008R2, теперь прошу совета, как лучше организовать к нему доступ:
1) Поднять ВПН и подключенные юзеры будут соединяться с RDP по внутреннему IP.
2) Опубликовать Терминальный сервер в интернете, воспользовавшись правилами доступа ИСА.... Юзеры будут долбиться извне по статическому IP.

Юзеры сидят на модемах 3G по различным объектам на стройке. Скорость интернета оставляет желать лучшего. (колебания от 100кбит/с до 3000)

Приоритет больше в скорости работы, чем в безопасности... Хотя зачем шифровать дополнительно VPNом, если RDP тоже шифруется 128-битным ключем? Будет ли VPN увеличивать передаваемый трафик, путем доп. шифрования?

Неужели никто не задавался таким вопросом...?(

у меня одна точка работает с прямым RDP. Но канал 1-2 мбита. Если есть нагрузка на сеть - это сказывается для удалёнщиков.
за тем, что бы убрать "дверь", к которой можно подобрать "ключ".

Но ведь при подключении VPN мы открываем "дверь" троянаям, которые находятся на компе пользователя, которые могут пойти гулять в сеть офиса?

Это утверждение равносильно следующему: "подключаясь к интернету вообще, мы открываем дверь троянам, которые могут пойти гулять в сеть офиса".
Это утверждение не соответствует истине и является глубоко ошибочным.

В поражении червями, вирусами и прочими зловредными программами всегда безоговорочно и стопроцентно виноват системный администратор заражённой машины. Это его прямая ответственность, а не средств коммуникаций типа VPN. Ещё раз: если системный администратор не предпринимает достаточных мер по предотвращению заражения, это его прямая вина. Грамотной конфигурацией системы всегда можно предотвратить заражение. Неграмотной и некомпетентной настройкой — не удастся, вне зависимости от используемых мер подключения к сети.

С другой стороны, вы должны знать, что стандартный RDP по умолчанию подвержен атаке Man in the Middle, реализуя которую можно без особых усилий в считанные секунды перехватить все используемые пароли и расшифровать весь трафик. Для действительно безопасной работы в Терминале следует применить IPSec на базе цифровых сертификатов.

VPN на базе PPTP тоже ломается за минуты. Более того, недавно был скомпрометирован протокол MSCHAP, что позволяет считать любые сети VPN/WiFi без использования цифровых сертификатов практически незашифрованными.

Используйте Remote Desktop Gateway с публикацией на ISA Server.

Спасибо за полезный опыт, в общем исследовав все варианты, решил оставить Vpn-туннель для подключений по RDP.
Если бы мой Терминальный сервак был в DMZ, то можно было бы и остановиться на простой публикации.... А при одноногой схеме как то небезопасненько....