Статьи

Как автоматически подключать пользователей к корпоративному VPN при старте системы

2025-04-18 11:48
Автоматическое подключение к VPN при запуске компьютера — важная часть безопасной и бесшовной работы удалённых и офисных сотрудников. Это позволяет:

  • защищать корпоративный трафик с первого момента;
  • исключить «человеческий фактор» — забыли подключиться, потеряли доступ и т.д.;
  • упростить жизнь сотрудникам и ИТ-отделу.

В этой статье разберем, как настроить авто-подключение к VPN при старте системы на базе Windows, используя OpenConnect, FortiClient или штатные средства Windows.

Для кого эта инструкция

  • Компания использует корпоративный VPN (OpenConnect, FortiGate, WireGuard, IKEv2 и др.);
  • Рабочие станции — на Windows (10, 11);
  • Пользователи входят в AD-домен (необязательно, но желательно);
  • Используется централизованная настройка через GPO или скрипты.

Подходы к автоподключению VPN

Существует несколько рабочих методов:

  1. Сценарии (скрипты) — PowerShell, BAT или VBS.
  2. GPO (групповая политика) — запуск VPN-клиента через планировщик задач.
  3. Настройки самого клиента VPN — если он поддерживает автозапуск и подключение.
  4. Использование Task Scheduler (Планировщика заданий) с привязкой к событию входа или загрузки системы.

Пример: Автоподключение через OpenConnect (AnyConnect совместимые серверы)

  1. Убедитесь, что OpenConnect GUI установлен у пользователя.
  2. Создайте готовый .xml-профиль или сконфигурируйте ocserv/openconnect параметры вручную.
  3. Напишите простой BAT-скрипт:

@echo off
"C:\Program Files\OpenConnect-GUI\openconnect-gui.exe" --connect "Имя_профиля"

  1. Добавьте этот скрипт в Планировщик заданий Windows:

  • Триггер: «при запуске системы» или «при входе в систему».
  • Запуск от имени администратора или SYSTEM.
  • Параметры: «выполнять с наивысшими правами».

🔒 Пример: FortiClient VPN (автоматическое подключение)

  1. В FortiClient EMS создайте профиль с:

  • автоподключением при загрузке;
  • запретом на отключение вручную (если нужно);
  • выбором нужного VPN-профиля;

  1. Убедитесь, что на клиентах установлены агенты EMS.
  2. Обновите политику через EMS или GPO.

🛠 Автоподключение через PowerShell и Task Scheduler (универсальный способ)

Создайте скрипт PowerShell для подключения к VPN:

rasdial "VPN_Имя" ИмяПользователя Пароль

rasdial — утилита Windows для подключения к VPN-подключениям, созданным в панели управления (через "Сетевые подключения").

Затем:

  1. Откройте taskschd.msc
  2. Создайте новую задачу:

  • Триггер: при входе в систему.
  • Действие: запуск PowerShell с аргументами:

-ExecutionPolicy Bypass -File "C:\vpn_autoconnect.ps1"

  • Установите: «Выполнять с наивысшими правами».

💡 Советы по безопасности

  • Не храните пароли в открытом виде — используйте VPN-клиенты с защищенным хранилищем.
  • Настройте MFA (мультифактор) — если используется RADIUS/LDAP.
  • Ограничьте права изменения VPN-подключения пользователями.
  • Добавьте маршруты и DNS только через VPN, если нужен Split-Tunnel.

⚙️ Расширенные настройки

  • GPO можно использовать для автозапуска скрипта или EXE:
  • User Configuration > Windows Settings > Scripts (Logon)
  • Wi-Fi Triggering — можно запускать VPN при подключении к определённой Wi-Fi-сети через Task Scheduler + Event ID 8001 (WLAN AutoConfig).

✅ Заключение

Автоматическое подключение к корпоративному VPN — это удобно, безопасно и упрощает поддержку пользователей. Подход можно реализовать как через штатные средства Windows, так и через профессиональные клиенты (FortiClient, OpenConnect, Cisco, etc.).

🔐 Чем раньше включён VPN — тем безопаснее ваша сеть.