Доступ на машинку из интернета
9490
35
Добрый день всем! Столкнулся недавно с одной интересной проблемой. Есть машинка на ХР, к ней подключен интернет с белым IP, проблема заключается в том как сделать на нее секьюрный доступ из интернета. То есть из любого места набираем наш адрес и получаем некое окно с пароликом или как-то еще. Пока используем простой доступ по терминалу, но это не очень защищенная вещь, как мне кажется.
Андрей Прошин
доступ к раб сталу нужен, или тупо к файлам?
Андрей Прошин
если белый айпишник - Radmin
whiplash
если белый айпишник - Radmin
Это конечно, хорошо, но хотелось бы что-нибудь поинтересней, что-то вроде Cisco или VPN на фряхе. Только чтобы клиент настраивался просто.
При чем тут фряха или киска?? это с какой стороны?
Вы о чем вообще?
Есть машинка на ХР
Тут сразу вопрос: во время удаленного подключения кто-то непосредственно за этой машинкой тоже будет свою работу работать или на момент удаленного сеанса никто с машинкой этой работать не будет?
Если не будет - то есть простое штатное средство RDP, оно же "Удаленный доступ", "Удаленный помощник".
Андрей Прошин
Ставите типа D-Link DFL-260E
Там есть встроенный VPN сервер на 100 подключений.
Правда эта железяка стоит что то около 12 рублей.
И будет вам счастье.
Если снизите требования, типа нужно связать домашний комп с рабочим и чтобы ни кто не мог влезть,
то вполне пойдет ASUS WL-500gP V2, вот только стандартная прошивка не катит. Шьем альтернативной
которая от Олега. И там есть порт мапинг с указанием IP адреса.
То есть пишем правило ваш_IP 3389 IP_XP 3389.
Я таким образом связал дом и работу.
АФМ
то вполне пойдет ASUS WL-500gP V2, вот только стандартная прошивка не катит. Шьем альтернативной
которая от Олега. И там есть порт мапинг с указанием IP адреса.
Зачем вы обманываете? Порт-маппинг в стандартной прошивке есть и отлично работает.

Только совершенно не понятно зачем вы все это вообще написали. Ведь сказано было:
Есть машинка на ХР, к ней подключен интернет с белым IP
KSergey
Я хоть и параноик. И VPN проверяю а разрешенли доступ с этого IPадреса.
А так эту машинку подломить можно. У винды много дырок.
Порт мапинг есть в любом роутере. Но там просто порт переназначить на порт и IP
А я написал IP клиента - порт - переназначаем на - порт - IP
АФМ
У винды много дырок.
На 3389 порту?
Ну и пок не понятно что за схему мутит товарисч. Может он с 3G модема подключаться будет, так что проверка с IP источника может быть невозможна (я уж не говорю, что его подделать при надобности можно, правда для начала надо узнать).
KSergey
Ну а что сканируем IP и порт 3389. Видим есть ответ. Пытаемся залезть. В плоть до подбора пароля.
Мой знакомый сисадмин, говорит если задаться целью, то сломать можно все. Даже железный шарик.
Согласен с вами что от автор не полностью задачу озвучил.
Но лично меня напрягает, если я в логах не вижу как отсеиваются левые пакеты.
За 1 час на мой IP прилетает 150 запросов. Причем самое интересное что они приходят пачками по 5 - 8 запросов. IP всегда разный с которого они пришли. Может они и случайные, но все равно напрягает.
Даже деньги подделывают!!! А уж IP, мак или точку доступа подломить тоже много труда не нужно.
KSergey
При чем тут фряха или киска?? это с какой стороны?
Вы о чем вообще?
Ну, с нашей стороны ставится либо фряха, либо циска, там подымается какой-нить VPN, например mpd на фряхе. Пользователь извне коннектится на vpn, когда соединение произошло - коннектится по rdp на локальный адрес. Преимущество такой схемы в том, что порт 3389 в сети не светится, что отбивает в некоторой степени охоту у местных хакеров сканить порты на белых ай-пи. Циски я видел у наших московских коллег, там еще проще, канал настраивается один раз, удаленным пользователям устанавливается клиент, в нем ярлычки как в р-админе, двойной клик мышкой, и ты соединился. Аппаратный VPN как бы предпочтительней, не такой громоздкий, как системник, устанавливать ничего не нужно, настраивается удобнее. Хотя кому как. Да, нужен доступ именно на рабочий стол, с правами либо админа, либо пользователя, чтобы был доступ к запуску и настройке программ.
Андрей Прошин
D-Link DFL-260E

Виртуальные частные сети (VPN)
• Шифрование (DES)
• Выделенные VPN-туннели: 100
• Сервер PPTP/L2TP
• Hub and Spoke
• IPSec NAT Travesal
• SSL VPN: Функция будет доступна в будущем
Т.е. вопрос в организации канала связи, а не в средстве доступа к раб. столу? Так бы и говорили.
OpenVPN
Андрей Прошин
Преимущество такой схемы в том, что порт 3389 в сети не светится, что отбивает в некоторой степени охоту у местных хакеров сканить порты на белых ай-пи.
порт рдп можно и сменить на что то иное, если только это смущает.
А если хочется именно ВПНа - openvpn. Готовое решение есть в ebox.
Но это требует еще одного компа => или роутер или этот самый комп с впн будет смотреть во внешку одним из портов, что лично я считаю не правильным. На мой взгляд самая защищённая схема в домашних условиях:
- Шнурок из внешки суете в роутер.
- Из роутера 2 шнурка: в комп с ХР и в комп с опенвпном.
Если не усложнять и не моньячить:
- шнурок из внешки в роутер с врезанным впн сервером.
- шнурок из роутера в машину с ХР
Подключение к ВПН серверу создается из винды быстро, легко, и не принужденно.
АФМ
Это очень круто, нам достаточно возможности создания 2-3 соединений и 1-2 внутренних порты. Такого соцветья возможных vpn-соединений тоже как бы не требуется, думаю, достаточно будет простого pptp. Но за подсказку спасибо, будем искать.
Андрей Прошин
Тут уже советовали асус с Олеговской прошивкой, а там хоть poptop (pptp), хоть openvpn подымайте.
Если брать роутер жаба давит или лень ковыряться, то openvpn + winipfw .)
АФМ
Вот нашел неплохую модельку, называется LinkSys BEFSX41, прайс-ру продает его где-то за 2.5 тыс., осталось только найти его живьем, ну, или аналог более новый.
Mozepiy
Как я и писал!!!
Берем http://www.opentech.ru/shop/catalog/item/?id=125287
Далее находим прошивку
http://code.google.com/p/wl500g/downloads/list
В ней отличный функционал. Если все роутеры поддерживают переадресацию портов по схеме
ВСЕ ИП - ПОРТ входящий - ИП локальный - ПОРТ локальный!!!! То в этой прошивке
ГЛОБАЛЬНЫЙ ИП - ПОРТ - ИП локальный - ПОРТ локальный.
Именно из за того, что при переадресации можно указать с какого ИП разрешено, мне этот девайс нравится.

Ну а тут написано как в этот девайс прикрутить VPN
http://wl500g.info/showthread.php?t=5312

P.S. Персональное спасибо человеку на этом форуме под ником Full.
Это он мне дал протестить этот аппарат. И указал на все приведенные выше мной ссылки.
Андрей Прошин
А где там VPN сервер???? Вам же насколько я понял нужен именно VPN!!
нам достаточно возможности создания 2-3 соединений
Чего с чем? это важно.
Андрей Прошин
teamviewer не подходит?
Правда, деньга нужна...
Ал
для пятерых он, ЕМНИП, халявный...
KSergey
Еще раз спрошу: вы собрались одновременно впятером на одну машину с XP заходить, или задача другая?
АФМ
Там вроде есть VPN endpoint, а это собственно оно и есть.
Ал
Teamviewer, r-admin - это все ПО, нужно что-нибудь понадежней. VPN на основе аппаратного роутера пока кажется мне оптимальным решением. Вот, ищу пока достойную железку.
KSergey
Нет, не впятером, один человек по rdp должен заходить на рабочий стол, это все же ХР. Но с разных мест.
А роутер - он, понятно, на транзисторах сугубо спаян и вся VPN-логика из элементов 2И-НЕ набрана :ха-ха!:
У меня 3 машинки стоят, RDP-портами в инет торчат круглосуточно уже 5 лет (правда, порт изменен на нестандартный), прочие порты закрыты файерволами (разными на разных машинках).
И живут себе преспокойненько.
Андрей Прошин
Имхо, лучший из вариантов, поднять mpd на фре в виртуалке, на шлюзе пробросить порт 1723 и протокол GRE до фри, и пользовать VPN соединение.
Лично у меня так и настроен доступ до домашней сети извне, а до корпоративной сети доступ открыт только с моего айпишника.
Андрей Прошин
Тогда проще пробросить порт с внешнего, допустим, 13258 порта на внутренний 3389 и не иметь проблем.
Если таки хрю прямо в инет включена, то немедленно забыть про это, и поставить софтовый\аппаратный файр, чтоб у хрю был серый адрес, и на него уже транслировать избранный порт на избранный порт.
KSergey
Знаете, разные бывают обстоятельства. Бывает, что и безо всякого преобразования портов машинка спокойно живет, все зависит от того, кто может проявить к ней интерес. В моем случае точно будет некоторое количество посторонних людей, которые будут точно знать о нашей "машинке" и, более того, будут стараться контролировать ситуацию ради получения дополнительной прибыли. Понимаете, ну, там текущие проверки, установка дополнительного ПО, или там "вдруг" что-то перестанет работать. Деньги они получают только за свои работы, и их вмешательство точно будет дорого обходиться нашей конторе, это прописано в договоре, поэтому необходимо уменьшить его до минимума, лучше всего контролируя все действия с их стороны. Фряха - вещь хорошая, и в конечном итоге может оказаться не только функциональнее, но и намного дешевле аппаратного роутера, правда выглядит слоноподобно. Вот и думаю, а не плюнуть ли на все эти новые "инновации" и по-старинке поставить хилую машинеху со старообрядской фрей и логировать на ней все и вся. Как говорится, очень дешево и очень сердито.
Т.е. вы хотите пускать "всех подряд", но бдительно за ними следить?? заняться более не чем??
Вы как-то витееватыми загадками упорно говорите, как это обычно водится, вместо того, чтобы толком рассказать что надо получить в итоге.
А ведь начиналось все так просто:
То есть из любого места набираем наш адрес и получаем некое окно с пароликом или как-то еще. Пока используем простой доступ по терминалу, но это не очень защищенная вещь, как мне кажется.
Ну и когда кажется - то известно что трэба делать.
Андрей Прошин
Ставите Teamviewer, машинку прячьте от белого IP и пользуетесь на здоровье.
Чтобы достучатся из любого места - по моему денюжку платить придется, тогда хоть с сотового заходите.
bravot
Ставите Teamviewer, машинку прячьте от белого IP
Секурнее не придумаешь.