Доступ на машинку из интернета
11487
35
Андрей Прошин
experienced
Добрый день всем! Столкнулся недавно с одной интересной проблемой. Есть машинка на ХР, к ней подключен интернет с белым IP, проблема заключается в том как сделать на нее секьюрный доступ из интернета. То есть из любого места набираем наш адрес и получаем некое окно с пароликом или как-то еще. Пока используем простой доступ по терминалу, но это не очень защищенная вещь, как мне кажется.
dpitk
veteran
доступ к раб сталу нужен, или тупо к файлам?
whiplash
кусок мяса
если белый айпишник - Radmin
Андрей Прошин
experienced
если белый айпишник - RadminЭто конечно, хорошо, но хотелось бы что-нибудь поинтересней, что-то вроде Cisco или VPN на фряхе. Только чтобы клиент настраивался просто.
KSergey
guru
При чем тут фряха или киска?? это с какой стороны?
Вы о чем вообще?
Вы о чем вообще?
KSergey
guru
Есть машинка на ХРТут сразу вопрос: во время удаленного подключения кто-то непосредственно за этой машинкой тоже будет свою работу работать или на момент удаленного сеанса никто с машинкой этой работать не будет?
Если не будет - то есть простое штатное средство RDP, оно же "Удаленный доступ", "Удаленный помощник".
АФМ
guru
Ставите типа D-Link DFL-260E
Там есть встроенный VPN сервер на 100 подключений.
Правда эта железяка стоит что то около 12 рублей.
И будет вам счастье.
Если снизите требования, типа нужно связать домашний комп с рабочим и чтобы ни кто не мог влезть,
то вполне пойдет ASUS WL-500gP V2, вот только стандартная прошивка не катит. Шьем альтернативной
которая от Олега. И там есть порт мапинг с указанием IP адреса.
То есть пишем правило ваш_IP 3389 IP_XP 3389.
Я таким образом связал дом и работу.
Там есть встроенный VPN сервер на 100 подключений.
Правда эта железяка стоит что то около 12 рублей.
И будет вам счастье.
Если снизите требования, типа нужно связать домашний комп с рабочим и чтобы ни кто не мог влезть,
то вполне пойдет ASUS WL-500gP V2, вот только стандартная прошивка не катит. Шьем альтернативной
которая от Олега. И там есть порт мапинг с указанием IP адреса.
То есть пишем правило ваш_IP 3389 IP_XP 3389.
Я таким образом связал дом и работу.
Сейчас читают
Жена не хочет брать мою фамилию
66318
77
Дозор очередной
29320
988
В 2023—2024 наша губерния отюбилеет вот такую дату:
51163
196
то вполне пойдет ASUS WL-500gP V2, вот только стандартная прошивка не катит. Шьем альтернативнойЗачем вы обманываете? Порт-маппинг в стандартной прошивке есть и отлично работает.
которая от Олега. И там есть порт мапинг с указанием IP адреса.
Только совершенно не понятно зачем вы все это вообще написали. Ведь сказано было:
Есть машинка на ХР, к ней подключен интернет с белым IP
Я хоть и параноик. И VPN проверяю а разрешенли доступ с этого IPадреса.
А так эту машинку подломить можно. У винды много дырок.
Порт мапинг есть в любом роутере. Но там просто порт переназначить на порт и IP
А я написал IP клиента - порт - переназначаем на - порт - IP
А так эту машинку подломить можно. У винды много дырок.
Порт мапинг есть в любом роутере. Но там просто порт переназначить на порт и IP
А я написал IP клиента - порт - переназначаем на - порт - IP
У винды много дырок.На 3389 порту?
Ну и пок не понятно что за схему мутит товарисч. Может он с 3G модема подключаться будет, так что проверка с IP источника может быть невозможна (я уж не говорю, что его подделать при надобности можно, правда для начала надо узнать).
Ну а что сканируем IP и порт 3389. Видим есть ответ. Пытаемся залезть. В плоть до подбора пароля.
Мой знакомый сисадмин, говорит если задаться целью, то сломать можно все. Даже железный шарик.
Согласен с вами что от автор не полностью задачу озвучил.
Но лично меня напрягает, если я в логах не вижу как отсеиваются левые пакеты.
За 1 час на мой IP прилетает 150 запросов. Причем самое интересное что они приходят пачками по 5 - 8 запросов. IP всегда разный с которого они пришли. Может они и случайные, но все равно напрягает.
Даже деньги подделывают!!! А уж IP, мак или точку доступа подломить тоже много труда не нужно.
Мой знакомый сисадмин, говорит если задаться целью, то сломать можно все. Даже железный шарик.
Согласен с вами что от автор не полностью задачу озвучил.
Но лично меня напрягает, если я в логах не вижу как отсеиваются левые пакеты.
За 1 час на мой IP прилетает 150 запросов. Причем самое интересное что они приходят пачками по 5 - 8 запросов. IP всегда разный с которого они пришли. Может они и случайные, но все равно напрягает.
Даже деньги подделывают!!! А уж IP, мак или точку доступа подломить тоже много труда не нужно.
Андрей Прошин
experienced
При чем тут фряха или киска?? это с какой стороны?Ну, с нашей стороны ставится либо фряха, либо циска, там подымается какой-нить VPN, например mpd на фряхе. Пользователь извне коннектится на vpn, когда соединение произошло - коннектится по rdp на локальный адрес. Преимущество такой схемы в том, что порт 3389 в сети не светится, что отбивает в некоторой степени охоту у местных хакеров сканить порты на белых ай-пи. Циски я видел у наших московских коллег, там еще проще, канал настраивается один раз, удаленным пользователям устанавливается клиент, в нем ярлычки как в р-админе, двойной клик мышкой, и ты соединился. Аппаратный VPN как бы предпочтительней, не такой громоздкий, как системник, устанавливать ничего не нужно, настраивается удобнее. Хотя кому как. Да, нужен доступ именно на рабочий стол, с правами либо админа, либо пользователя, чтобы был доступ к запуску и настройке программ.
Вы о чем вообще?
АФМ
guru
D-Link DFL-260E
Виртуальные частные сети (VPN)
• Шифрование (DES)
• Выделенные VPN-туннели: 100
• Сервер PPTP/L2TP
• Hub and Spoke
• IPSec NAT Travesal
• SSL VPN: Функция будет доступна в будущем
Виртуальные частные сети (VPN)
• Шифрование (DES)
• Выделенные VPN-туннели: 100
• Сервер PPTP/L2TP
• Hub and Spoke
• IPSec NAT Travesal
• SSL VPN: Функция будет доступна в будущем
KSergey
guru
Т.е. вопрос в организации канала связи, а не в средстве доступа к раб. столу? Так бы и говорили.
OpenVPN
OpenVPN
dpitk
veteran
Преимущество такой схемы в том, что порт 3389 в сети не светится, что отбивает в некоторой степени охоту у местных хакеров сканить порты на белых ай-пи.порт рдп можно и сменить на что то иное, если только это смущает.
А если хочется именно ВПНа - openvpn. Готовое решение есть в ebox.
Но это требует еще одного компа => или роутер или этот самый комп с впн будет смотреть во внешку одним из портов, что лично я считаю не правильным. На мой взгляд самая защищённая схема в домашних условиях:
- Шнурок из внешки суете в роутер.
- Из роутера 2 шнурка: в комп с ХР и в комп с опенвпном.
Если не усложнять и не моньячить:
- шнурок из внешки в роутер с врезанным впн сервером.
- шнурок из роутера в машину с ХР
Подключение к ВПН серверу создается из винды быстро, легко, и не принужденно.
Андрей Прошин
experienced
Это очень круто, нам достаточно возможности создания 2-3 соединений и 1-2 внутренних порты. Такого соцветья возможных vpn-соединений тоже как бы не требуется, думаю, достаточно будет простого pptp. Но за подсказку спасибо, будем искать.
Mozepiy
v.i.p.
Тут уже советовали асус с Олеговской прошивкой, а там хоть poptop (pptp), хоть openvpn подымайте.
Если брать роутер жаба давит или лень ковыряться, то openvpn + winipfw .)
Если брать роутер жаба давит или лень ковыряться, то openvpn + winipfw .)
Андрей Прошин
experienced
Вот нашел неплохую модельку, называется LinkSys BEFSX41, прайс-ру продает его где-то за 2.5 тыс., осталось только найти его живьем, ну, или аналог более новый.
Как я и писал!!!
Берем http://www.opentech.ru/shop/catalog/item/?id=125287
Далее находим прошивку
http://code.google.com/p/wl500g/downloads/list
В ней отличный функционал. Если все роутеры поддерживают переадресацию портов по схеме
ВСЕ ИП - ПОРТ входящий - ИП локальный - ПОРТ локальный!!!! То в этой прошивке
ГЛОБАЛЬНЫЙ ИП - ПОРТ - ИП локальный - ПОРТ локальный.
Именно из за того, что при переадресации можно указать с какого ИП разрешено, мне этот девайс нравится.
Ну а тут написано как в этот девайс прикрутить VPN
http://wl500g.info/showthread.php?t=5312
P.S. Персональное спасибо человеку на этом форуме под ником Full.
Это он мне дал протестить этот аппарат. И указал на все приведенные выше мной ссылки.
Берем http://www.opentech.ru/shop/catalog/item/?id=125287
Далее находим прошивку
http://code.google.com/p/wl500g/downloads/list
В ней отличный функционал. Если все роутеры поддерживают переадресацию портов по схеме
ВСЕ ИП - ПОРТ входящий - ИП локальный - ПОРТ локальный!!!! То в этой прошивке
ГЛОБАЛЬНЫЙ ИП - ПОРТ - ИП локальный - ПОРТ локальный.
Именно из за того, что при переадресации можно указать с какого ИП разрешено, мне этот девайс нравится.
Ну а тут написано как в этот девайс прикрутить VPN
http://wl500g.info/showthread.php?t=5312
P.S. Персональное спасибо человеку на этом форуме под ником Full.
Это он мне дал протестить этот аппарат. И указал на все приведенные выше мной ссылки.
АФМ
guru
А где там VPN сервер???? Вам же насколько я понял нужен именно VPN!!
KSergey
guru
нам достаточно возможности создания 2-3 соединенийЧего с чем? это важно.
Ал
v.i.p.
teamviewer не подходит?
Правда, деньга нужна...
Правда, деньга нужна...
для пятерых он, ЕМНИП, халявный...
Еще раз спрошу: вы собрались одновременно впятером на одну машину с XP заходить, или задача другая?
Андрей Прошин
experienced
Там вроде есть VPN endpoint, а это собственно оно и есть.
Андрей Прошин
experienced
Teamviewer, r-admin - это все ПО, нужно что-нибудь понадежней. VPN на основе аппаратного роутера пока кажется мне оптимальным решением. Вот, ищу пока достойную железку.
Андрей Прошин
experienced
Нет, не впятером, один человек по rdp должен заходить на рабочий стол, это все же ХР. Но с разных мест.
KSergey
guru
А роутер - он, понятно, на транзисторах сугубо спаян и вся VPN-логика из элементов 2И-НЕ набрана 
KSergey
guru
У меня 3 машинки стоят, RDP-портами в инет торчат круглосуточно уже 5 лет (правда, порт изменен на нестандартный), прочие порты закрыты файерволами (разными на разных машинках).
И живут себе преспокойненько.
И живут себе преспокойненько.
Full
guru
Имхо, лучший из вариантов, поднять mpd на фре в виртуалке, на шлюзе пробросить порт 1723 и протокол GRE до фри, и пользовать VPN соединение.
Лично у меня так и настроен доступ до домашней сети извне, а до корпоративной сети доступ открыт только с моего айпишника.
Лично у меня так и настроен доступ до домашней сети извне, а до корпоративной сети доступ открыт только с моего айпишника.
Full
guru
Тогда проще пробросить порт с внешнего, допустим, 13258 порта на внутренний 3389 и не иметь проблем.
Если таки хрю прямо в инет включена, то немедленно забыть про это, и поставить софтовый\аппаратный файр, чтоб у хрю был серый адрес, и на него уже транслировать избранный порт на избранный порт.
Если таки хрю прямо в инет включена, то немедленно забыть про это, и поставить софтовый\аппаратный файр, чтоб у хрю был серый адрес, и на него уже транслировать избранный порт на избранный порт.
Андрей Прошин
experienced
Знаете, разные бывают обстоятельства. Бывает, что и безо всякого преобразования портов машинка спокойно живет, все зависит от того, кто может проявить к ней интерес. В моем случае точно будет некоторое количество посторонних людей, которые будут точно знать о нашей "машинке" и, более того, будут стараться контролировать ситуацию ради получения дополнительной прибыли. Понимаете, ну, там текущие проверки, установка дополнительного ПО, или там "вдруг" что-то перестанет работать. Деньги они получают только за свои работы, и их вмешательство точно будет дорого обходиться нашей конторе, это прописано в договоре, поэтому необходимо уменьшить его до минимума, лучше всего контролируя все действия с их стороны. Фряха - вещь хорошая, и в конечном итоге может оказаться не только функциональнее, но и намного дешевле аппаратного роутера, правда выглядит слоноподобно. Вот и думаю, а не плюнуть ли на все эти новые "инновации" и по-старинке поставить хилую машинеху со старообрядской фрей и логировать на ней все и вся. Как говорится, очень дешево и очень сердито.
KSergey
guru
Т.е. вы хотите пускать "всех подряд", но бдительно за ними следить?? заняться более не чем??
Вы как-то витееватыми загадками упорно говорите, как это обычно водится, вместо того, чтобы толком рассказать что надо получить в итоге.
А ведь начиналось все так просто:
Вы как-то витееватыми загадками упорно говорите, как это обычно водится, вместо того, чтобы толком рассказать что надо получить в итоге.
А ведь начиналось все так просто:
То есть из любого места набираем наш адрес и получаем некое окно с пароликом или как-то еще. Пока используем простой доступ по терминалу, но это не очень защищенная вещь, как мне кажется.Ну и когда кажется - то известно что трэба делать.
bravot
veteran
Ставите Teamviewer, машинку прячьте от белого IP и пользуетесь на здоровье.
Чтобы достучатся из любого места - по моему денюжку платить придется, тогда хоть с сотового заходите.
Чтобы достучатся из любого места - по моему денюжку платить придется, тогда хоть с сотового заходите.
Ставите Teamviewer, машинку прячьте от белого IPСекурнее не придумаешь.
ТОП 5
1
3