Есть задача:
подключаться к машинам, работающим за nat'ом. В локалку эти машины объединяет обычный роутер (причем, на каждом объекте разный).

Я себе это так вижу:
поднимаю на своей стороне vpn-сервер со статическим ip, а при необходимости подключения пользователь на машине за nat'ом запускает какой-нибудь .bat-файл, который поднимет vpn-туннель до моего vpn-сервера.
Оказавшись в одной vpn-сети с пользовательской машиной, далее, подключаюсь к нему обычным radmin'ом.

Понимаю, что излагаю сумбурно и поверхностно.
Если есть замечания и предложения по вышесказанному, буду очень рад и благодарен их прочитать.
Заранее спасибо.

поднимаю на своей стороне vpn-сервер со статическим ip, а при необходимости подключения пользователь на машине за nat'ом запускает какой-нибудь .bat-файл, который поднимет vpn-туннель до моего vpn-сервера.
Оказавшись в одной vpn-сети с пользовательской машиной, далее, подключаюсь к нему обычным radmin'ом. »
Вроде бы как обычный teamviewer поддерживает работу через NAT
При этом даже оба участника могут находиться за разными NAT-ами

Для начали не сказали, какой именно доступ нужен.
К роутерам доступ имеете? К пользовательским устройствам доступ есть?
Варианты есть все зависит от ваших целей, для чего все это делается.

Если нужен доступ к рабочему столу, в сеансе пользователя - доступа к роутерам нет, доступа к компу пользователя нет.

Стороннее ПО
Стандартными средствами "Удаленный помощник" (http://windows.microsoft.com/ru-ru/windows/windows-remote-assistance-faq#1TC=windows-8)

Нужен RDP - есть возможность настроить роутер на стороне клиента

Стороннее ПО
Редирект портов с роутера
Создание общей vpn сети на уровне роутера а не абонента
Описанный Вами вариант

Нужен RDP - есть возможность настроить роутер на стороне клиента, есть доступ к компу пользователя

Стороннее ПО
Редирект портов с роутера
Создание общей vpn сети на уровне роутера а не абонента
Описанный Вами вариант
Создание автоматического ответа для удаленного помощника.
Создание скрипта, который будет при загрузке поднимать vpn до вашего сервера.

Для начали не сказали, какой именно доступ нужен.
К роутерам доступ имеете? К пользовательским устройствам доступ есть?
Варианты есть все зависит от ваших целей, для чего все это делается. »

Попытаюсь уточнить:

Необходим доступ к рабочему столу в сеансе пользователя для оказания простейшей тех.поддержки и первичной консультации.
В идеале - на компьютере пользователя не должно находиться нелицензионное ПО.

Есть физический доступ к компам пользователей для установки ПО и добавления его или скрипта в автозагрузку.
Есть физический доступ к роутерам для редиректа портов.


Отталкиваясь от этого, какой вариант из перечисленных Вами можно считать оптимальным, если отталкиваться от простоты реализации?

Мне представляется так:
1. На моей стороне поднимается vpn-сервер.
2. На компьютере пользователя в автозагрузке скрипт, поднимающий vpn-соединение с сервером.
3. На компьютере пользователя в автозагрузке UltraVNC (свободное ПО).

Как-то так, наверное..

Forest Gump, Если вы работаете внутри одной сети (доменная, распределенная структура, объеденная в лес <во завернул>), то откройте для себя Radmin и спите спокойно. И картинка качественная, и с ПО проблем никаких (ну может с лицензией несколько повоевать придется, да и то в экзотических случаях).
С другой стороны, при не настроенных машинах можно воспользоваться ПО из комплекта TotalCommander Подарок Edition.
А UltraVNC оно конечно хорошо, но не всегда.
При поддержке пользователей, работающих на терминальных серверах - стандартное ПО (перехват управления удаленного сеанса) Crtl+Alt+Del - пользователи - получить управление.

Необходим доступ к рабочему столу в сеансе пользователя для оказания простейшей тех.поддержки и первичной консультации. »
И полностью согласен с UltraVNC оно конечно хорошо, но не всегда. » Есть куча ньюансов, но в принципе среди бесплатных вариантов это считай единственный более или менее вариант.
Но я бы все таки обратил внимание на.Стандартными средствами "Удаленный помощник" »
Почему-то его всегда обходят стороной(по мне так не совсем заслуженно)
Отталкиваясь от этого, какой вариант из перечисленных Вами можно считать оптимальным, если отталкиваться от простоты реализации? »
От простоты... наверное да... хотя по мне проще настроить VPN на роутере, так как прописать один vpn на роутере, это по времени меньше, чем всем пользователям делать автозапуск скрипта + еще создание впн подключения.

lxa85, при наличии хотя бы одного терминального сервера — никакие Radmin'ы в принципе не нужны (для работы с сеансом пользователя).

Iska, При поддержке пользователей, работающих на терминальных серверах - стандартное ПО (перехват управления удаленного сеанса) Crtl+Alt+Del - пользователи - получить управление. »
;)

lxa85, нет — именно пользователей, работающих не в терминале, а на своих локальных местах.

От простоты... наверное да... хотя по мне проще настроить VPN на роутере, так как прописать один vpn на роутере, это по времени меньше, чем всем пользователям делать автозапуск скрипта + еще создание впн подключения. »

То есть поднимаем vpn на роутере, а к машине пользователя подключаемся через удаленный помощник? Я правильно понял?

А есть какие-нибудь специфические требования, которые удаленный помощник предъявляет к компьютерам? Допустим, нахождение в домене или ещё что-то в этом роде?

Iska, не знал. Посмотрю внимательней.

lxa85, здесь: 2008 R2 - [решено] Удаленный рабочий стол. (http://forum.oszone.net/thread-221367.html) и здесь: 2008 R2 - [решено] Удаленный рабочий стол (http://forum.oszone.net/thread-259381.html) с коллегой exo (http://forum.oszone.net/member.php?userid=86104) обсуждали.

Единственный минус — не умеет пробрасывать до такого «двойного, как бы терминального» клиента «Ctrl-Alt-Del» (эмулирующая комбинация «Ctrl-Alt-End» отсылается в терминал, и «оседает» именно в нём, а до клиента, увы, не доходит), посему подключиться к заблокированному сеансу таким способом не выйдет. Но, думаю, для интерактивной поддержки клиентов сие и не настолько уж нужно.