Погода: 17 °C
24.0516...20переменная облачность, без осадков
25.0522...26переменная облачность, без осадков
  • experienced

    Сообщений: 673

    Добрый день всем! Столкнулся недавно с одной интересной проблемой. Есть машинка на ХР, к ней подключен интернет с белым IP, проблема заключается в том как сделать на нее секьюрный доступ из интернета. То есть из любого места набираем наш адрес и получаем некое окно с пароликом или как-то еще. Пока используем простой доступ по терминалу, но это не очень защищенная вещь, как мне кажется.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • veteran

    Сообщений: 2346

    доступ к раб сталу нужен, или тупо к файлам?

    красноглазик

  • кусок мяса

    Сообщений: 6821

    если белый айпишник - Radmin

    IT crowd. старый добрый троллинг.

  • experienced

    Сообщений: 673

    В ответ на: если белый айпишник - Radmin
    Это конечно, хорошо, но хотелось бы что-нибудь поинтересней, что-то вроде Cisco или VPN на фряхе. Только чтобы клиент настраивался просто.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • guru

    Сообщений: 9338

    При чем тут фряха или киска?? это с какой стороны?
    Вы о чем вообще?

  • guru

    Сообщений: 9338

    В ответ на: Есть машинка на ХР
    Тут сразу вопрос: во время удаленного подключения кто-то непосредственно за этой машинкой тоже будет свою работу работать или на момент удаленного сеанса никто с машинкой этой работать не будет?
    Если не будет - то есть простое штатное средство RDP, оно же "Удаленный доступ", "Удаленный помощник".

  • veteran

    Сообщений: 2697

    Ставите типа D-Link DFL-260E
    Там есть встроенный VPN сервер на 100 подключений.
    Правда эта железяка стоит что то около 12 рублей.
    И будет вам счастье.
    Если снизите требования, типа нужно связать домашний комп с рабочим и чтобы ни кто не мог влезть,
    то вполне пойдет ASUS WL-500gP V2, вот только стандартная прошивка не катит. Шьем альтернативной
    которая от Олега. И там есть порт мапинг с указанием IP адреса.
    То есть пишем правило ваш_IP 3389 IP_XP 3389.
    Я таким образом связал дом и работу.

    Исправлено пользователем АФМ (17.11.11 20:08)

  • guru

    Сообщений: 9338

    В ответ на: то вполне пойдет ASUS WL-500gP V2, вот только стандартная прошивка не катит. Шьем альтернативной
    которая от Олега. И там есть порт мапинг с указанием IP адреса.
    Зачем вы обманываете? Порт-маппинг в стандартной прошивке есть и отлично работает.

    Только совершенно не понятно зачем вы все это вообще написали. Ведь сказано было:
    В ответ на: Есть машинка на ХР, к ней подключен интернет с белым IP

    Исправлено пользователем KSergey (17.11.11 20:16)

  • veteran

    Сообщений: 2697

    Я хоть и параноик. И VPN проверяю а разрешенли доступ с этого IPадреса.
    А так эту машинку подломить можно. У винды много дырок.
    Порт мапинг есть в любом роутере. Но там просто порт переназначить на порт и IP
    А я написал IP клиента - порт - переназначаем на - порт - IP

    Исправлено пользователем АФМ (17.11.11 20:20)

  • guru

    Сообщений: 9338

    В ответ на: У винды много дырок.
    На 3389 порту?
    Ну и пок не понятно что за схему мутит товарисч. Может он с 3G модема подключаться будет, так что проверка с IP источника может быть невозможна (я уж не говорю, что его подделать при надобности можно, правда для начала надо узнать).

    Исправлено пользователем KSergey (17.11.11 21:17)

  • veteran

    Сообщений: 2697

    Ну а что сканируем IP и порт 3389. Видим есть ответ. Пытаемся залезть. В плоть до подбора пароля.
    Мой знакомый сисадмин, говорит если задаться целью, то сломать можно все. Даже железный шарик.
    Согласен с вами что от автор не полностью задачу озвучил.
    Но лично меня напрягает, если я в логах не вижу как отсеиваются левые пакеты.
    За 1 час на мой IP прилетает 150 запросов. Причем самое интересное что они приходят пачками по 5 - 8 запросов. IP всегда разный с которого они пришли. Может они и случайные, но все равно напрягает.
    Даже деньги подделывают!!! А уж IP, мак или точку доступа подломить тоже много труда не нужно.

  • experienced

    Сообщений: 673

    В ответ на: При чем тут фряха или киска?? это с какой стороны?
    Вы о чем вообще?
    Ну, с нашей стороны ставится либо фряха, либо циска, там подымается какой-нить VPN, например mpd на фряхе. Пользователь извне коннектится на vpn, когда соединение произошло - коннектится по rdp на локальный адрес. Преимущество такой схемы в том, что порт 3389 в сети не светится, что отбивает в некоторой степени охоту у местных хакеров сканить порты на белых ай-пи. Циски я видел у наших московских коллег, там еще проще, канал настраивается один раз, удаленным пользователям устанавливается клиент, в нем ярлычки как в р-админе, двойной клик мышкой, и ты соединился. Аппаратный VPN как бы предпочтительней, не такой громоздкий, как системник, устанавливать ничего не нужно, настраивается удобнее. Хотя кому как. Да, нужен доступ именно на рабочий стол, с правами либо админа, либо пользователя, чтобы был доступ к запуску и настройке программ.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

    Исправлено пользователем Андрей Прошин (17.11.11 21:31)

  • veteran

    Сообщений: 2697

    D-Link DFL-260E

    Виртуальные частные сети (VPN)
    • Шифрование (DES)
    • Выделенные VPN-туннели: 100
    • Сервер PPTP/L2TP
    • Hub and Spoke
    • IPSec NAT Travesal
    • SSL VPN: Функция будет доступна в будущем

  • guru

    Сообщений: 9338

    Т.е. вопрос в организации канала связи, а не в средстве доступа к раб. столу? Так бы и говорили.
    OpenVPN

  • veteran

    Сообщений: 2346

    В ответ на: Преимущество такой схемы в том, что порт 3389 в сети не светится, что отбивает в некоторой степени охоту у местных хакеров сканить порты на белых ай-пи.
    порт рдп можно и сменить на что то иное, если только это смущает.
    А если хочется именно ВПНа - openvpn. Готовое решение есть в ebox.
    Но это требует еще одного компа => или роутер или этот самый комп с впн будет смотреть во внешку одним из портов, что лично я считаю не правильным. На мой взгляд самая защищённая схема в домашних условиях:
    - Шнурок из внешки суете в роутер.
    - Из роутера 2 шнурка: в комп с ХР и в комп с опенвпном.
    Если не усложнять и не моньячить:
    - шнурок из внешки в роутер с врезанным впн сервером.
    - шнурок из роутера в машину с ХР
    Подключение к ВПН серверу создается из винды быстро, легко, и не принужденно.

    красноглазик

  • experienced

    Сообщений: 673

    Это очень круто, нам достаточно возможности создания 2-3 соединений и 1-2 внутренних порты. Такого соцветья возможных vpn-соединений тоже как бы не требуется, думаю, достаточно будет простого pptp. Но за подсказку спасибо, будем искать.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • guru

    Сообщений: 3231

    Тут уже советовали асус с Олеговской прошивкой, а там хоть poptop (pptp), хоть openvpn подымайте.
    Если брать роутер жаба давит или лень ковыряться, то openvpn + winipfw .)

    Knowledge itself is a power (F.Bacon)

    Исправлено пользователем Mozepiy (18.11.11 10:38)

  • experienced

    Сообщений: 673

    Вот нашел неплохую модельку, называется LinkSys BEFSX41, прайс-ру продает его где-то за 2.5 тыс., осталось только найти его живьем, ну, или аналог более новый.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • veteran

    Сообщений: 2697

    Как я и писал!!!
    Берем http://www.opentech.ru/shop/catalog/item/?id=125287
    Далее находим прошивку
    http://code.google.com/p/wl500g/downloads/list
    В ней отличный функционал. Если все роутеры поддерживают переадресацию портов по схеме
    ВСЕ ИП - ПОРТ входящий - ИП локальный - ПОРТ локальный!!!! То в этой прошивке
    ГЛОБАЛЬНЫЙ ИП - ПОРТ - ИП локальный - ПОРТ локальный.
    Именно из за того, что при переадресации можно указать с какого ИП разрешено, мне этот девайс нравится.

    Ну а тут написано как в этот девайс прикрутить VPN
    http://wl500g.info/showthread.php?t=5312

    P.S. Персональное спасибо человеку на этом форуме под ником Full.
    Это он мне дал протестить этот аппарат. И указал на все приведенные выше мной ссылки.

  • veteran

    Сообщений: 2697

    А где там VPN сервер???? Вам же насколько я понял нужен именно VPN!!

  • guru

    Сообщений: 9338

    В ответ на: нам достаточно возможности создания 2-3 соединений
    Чего с чем? это важно.

  • guru

    Сообщений: 6995

    teamviewer не подходит?
    Правда, деньга нужна...

    Ты должен сделать добро из зла... (с)

  • волнистый бугагайчик

    Сообщений: 13758

    для пятерых он, ЕМНИП, халявный...

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • guru

    Сообщений: 9338

    Еще раз спрошу: вы собрались одновременно впятером на одну машину с XP заходить, или задача другая?

  • experienced

    Сообщений: 673

    Там вроде есть VPN endpoint, а это собственно оно и есть.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • experienced

    Сообщений: 673

    Teamviewer, r-admin - это все ПО, нужно что-нибудь понадежней. VPN на основе аппаратного роутера пока кажется мне оптимальным решением. Вот, ищу пока достойную железку.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • experienced

    Сообщений: 673

    Нет, не впятером, один человек по rdp должен заходить на рабочий стол, это все же ХР. Но с разных мест.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • guru

    Сообщений: 9338

    А роутер - он, понятно, на транзисторах сугубо спаян и вся VPN-логика из элементов 2И-НЕ набрана :ха-ха!:

  • guru

    Сообщений: 9338

    У меня 3 машинки стоят, RDP-портами в инет торчат круглосуточно уже 5 лет (правда, порт изменен на нестандартный), прочие порты закрыты файерволами (разными на разных машинках).
    И живут себе преспокойненько.

  • veteran

    Сообщений: 2433

    Имхо, лучший из вариантов, поднять mpd на фре в виртуалке, на шлюзе пробросить порт 1723 и протокол GRE до фри, и пользовать VPN соединение.
    Лично у меня так и настроен доступ до домашней сети извне, а до корпоративной сети доступ открыт только с моего айпишника.

  • veteran

    Сообщений: 2433

    Тогда проще пробросить порт с внешнего, допустим, 13258 порта на внутренний 3389 и не иметь проблем.
    Если таки хрю прямо в инет включена, то немедленно забыть про это, и поставить софтовый\аппаратный файр, чтоб у хрю был серый адрес, и на него уже транслировать избранный порт на избранный порт.

  • experienced

    Сообщений: 673

    Знаете, разные бывают обстоятельства. Бывает, что и безо всякого преобразования портов машинка спокойно живет, все зависит от того, кто может проявить к ней интерес. В моем случае точно будет некоторое количество посторонних людей, которые будут точно знать о нашей "машинке" и, более того, будут стараться контролировать ситуацию ради получения дополнительной прибыли. Понимаете, ну, там текущие проверки, установка дополнительного ПО, или там "вдруг" что-то перестанет работать. Деньги они получают только за свои работы, и их вмешательство точно будет дорого обходиться нашей конторе, это прописано в договоре, поэтому необходимо уменьшить его до минимума, лучше всего контролируя все действия с их стороны. Фряха - вещь хорошая, и в конечном итоге может оказаться не только функциональнее, но и намного дешевле аппаратного роутера, правда выглядит слоноподобно. Вот и думаю, а не плюнуть ли на все эти новые "инновации" и по-старинке поставить хилую машинеху со старообрядской фрей и логировать на ней все и вся. Как говорится, очень дешево и очень сердито.

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

  • guru

    Сообщений: 9338

    Т.е. вы хотите пускать "всех подряд", но бдительно за ними следить?? заняться более не чем??
    Вы как-то витееватыми загадками упорно говорите, как это обычно водится, вместо того, чтобы толком рассказать что надо получить в итоге.
    А ведь начиналось все так просто:
    В ответ на: То есть из любого места набираем наш адрес и получаем некое окно с пароликом или как-то еще. Пока используем простой доступ по терминалу, но это не очень защищенная вещь, как мне кажется.
    Ну и когда кажется - то известно что трэба делать.

    Исправлено пользователем KSergey (21.11.11 12:07)

  • veteran

    Сообщений: 1329

    Ставите Teamviewer, машинку прячьте от белого IP и пользуетесь на здоровье.
    Чтобы достучатся из любого места - по моему денюжку платить придется, тогда хоть с сотового заходите.

  • guru

    Сообщений: 9338

    В ответ на: Ставите Teamviewer, машинку прячьте от белого IP
    Секурнее не придумаешь.

  • experienced

    Сообщений: 673

    *facepalm*

    Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.

Записей на странице:

Перейти в форум

Модераторы: