IPB

Здравствуйте, гость ( Вход | Регистрация )


70 страниц V   1 2 3 > »   
Reply to this topicStart new topic
> Срочно нужна Ваша помощь!
goblin
сообщение Thu, 12 August 2010, 08:06
Сообщение #1


отошел...
****

Группа: Gold Members
Сообщений: 9331
Регистрация: 7.8.2007

Пользователь №: 7673



Репутация:   728  


Хочу развернуть RDP-сервер на ПК для доступа к удаленной машине через интернет. Работать хозяйство будет через туннель VPN.
Понятное дело, что открывая такой доступ, возникают вопросы безопасности. Какие меры предпринять, чтобы ограничить себя от вторжения малолетних хакеров. Не хочу подвергать опасности базу данных проституток Белгородской области и массив с немецкой порнографией. Помогайте.
ОСь windows XP prof.


--------------------
Правила форума foum.bel.ru:
Любое мнение, отличное от мнения администрации форума будет удалено!
Go to the top of the page
 
+Quote Post
Pulsar
сообщение Thu, 12 August 2010, 08:22
Сообщение #2


Общественник
****

Группа: Gold Members
Сообщений: 5466
Регистрация: 19.1.2004

Пользователь №: 240



Репутация:   110  


Цитата(goblin @ Thu, 12 August 2010, 09:06) *
Хочу развернуть RDP-сервер на ПК для доступа к удаленной машине через интернет. Работать хозяйство будет через туннель VPN.
Понятное дело, что открывая такой доступ, возникают вопросы безопасности. Какие меры предпринять, чтобы ограничить себя от вторжения малолетних хакеров. Не хочу подвергать опасности базу данных проституток Белгородской области и массив с немецкой порнографией. Помогайте.
ОСь windows XP prof.

Фаервол
Закрыть все порты кроме RDP
Пускать конкретные IP адреса, с которых ты будешь ломиться на эту машину.

Visnetic Firewall какой-нибудь подойдёт.


--------------------
Можно найти и придумать миллион причин ваших неудач.
Единственно верной, будете вы сами и ваша инерция.
Go to the top of the page
 
+Quote Post
goblin
сообщение Thu, 12 August 2010, 08:24
Сообщение #3


отошел...
****

Группа: Gold Members
Сообщений: 9331
Регистрация: 7.8.2007

Пользователь №: 7673



Репутация:   728  


Цитата(Pulsar @ Thu, 12 August 2010, 09:22) *
Указать конкретные IP адреса, с которых ты будешь ломиться на эту машину.

Нет возможности получить статический IP клиента.


--------------------
Правила форума foum.bel.ru:
Любое мнение, отличное от мнения администрации форума будет удалено!
Go to the top of the page
 
+Quote Post
Pulsar
сообщение Thu, 12 August 2010, 13:45
Сообщение #4


Общественник
****

Группа: Gold Members
Сообщений: 5466
Регистрация: 19.1.2004

Пользователь №: 240



Репутация:   110  


Цитата(goblin @ Thu, 12 August 2010, 09:24) *
Нет возможности получить статический IP клиента.


Ну и ничего страшного.
- Берём фаервол, закрываем весь компьютер кроме какого-нибудь высокого порта (8888 например)
- Устанавливаем SSH-сервер, в настройках делаем ему порт 8888 чтобы избежать автоматических сканов котрые ломятся по стандартному 22 порту.
- С клиентской машины делаем туннель, трафик по которому пойдёт так (и в обратном направлении):
RDP-сервер
серверный хвост туннеля (внешний порт), который подключен к внутреннему порту RDP-сервера
SSH-сервер

Интернет

SSH-клиент
Локальный хвост туннеля (порт)
Терминальный клиент.


Как это делать, по шагам расписано тут.
http://www.tech-recipes.com/rx/6194/window...pssh-and-putty/
Единственное, там не написано про закрытие компьютера фаерволом и смену стандартного 22 порта SSHd.

- Коннектимся клиентом mstsc к локальному концу туннеля (висящего где-нибудь на 40000 порту). SSH клиент прокидывает его до

Профит:
Убрали из инета весь комп, кроме сервера SSH (который "заведомо более круто защищён", чем RDP).
Защитились от автоматических сканилок.
Трафик весь зашифровали.


--------------------
Можно найти и придумать миллион причин ваших неудач.
Единственно верной, будете вы сами и ваша инерция.
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Thu, 12 August 2010, 13:55
Сообщение #5


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


а он же вроде написал что "работать всё это будет через впн".

точно надо что-то ещё городить поверх? может при наличии сомнений в стойкости впн лучше поменять его на другой? ))

и в случае впн не совсем понятно про "Нет возможности получить статический IP клиента. ". диапазон-то точно будет, не?

с vpn-адресов доступ на rdp-порт открыть в файрволле, с интернетовских закрыть (если машинка смотрит напрямую в интернет).
Go to the top of the page
 
+Quote Post
Pulsar
сообщение Thu, 12 August 2010, 13:58
Сообщение #6


Общественник
****

Группа: Gold Members
Сообщений: 5466
Регистрация: 19.1.2004

Пользователь №: 240



Репутация:   110  


может он в качестве туннеля VPN и имел в виду SSH... )))
А если есть VPN - нахрена тогда вообще машинку в инет выпускать?
Через VPN получить ip-шник в удалённой локалке и работать спокойно через терминального клиента.


--------------------
Можно найти и придумать миллион причин ваших неудач.
Единственно верной, будете вы сами и ваша инерция.
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Thu, 12 August 2010, 13:59
Сообщение #7


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


Цитата(Pulsar @ Thu, 12 August 2010, 14:58) *
А если есть VPN - нахрена тогда вообще машинку в инет выпускать?
Через VPN получить ip-шник в удалённой локалке и работать спокойно через терминального клиента.
ну да. пусть сначала расскажет тогда, при чём тут vpn )
Go to the top of the page
 
+Quote Post
goblin
сообщение Thu, 12 August 2010, 15:09
Сообщение #8


отошел...
****

Группа: Gold Members
Сообщений: 9331
Регистрация: 7.8.2007

Пользователь №: 7673



Репутация:   728  


Эх, говорила мне мама "молчи, Андрей, за умного сойдешь"...

В общем так, если начну путаться в понятиях, терминах и определениях, скажу глупость, или с уст моих сорвется иная ересь, то закидайте сразу меня ссаными тряпками, понизьте репу и забаньте на пару лет, дабы остальным холопам неповадно было... або стыдно очень.

Итак, есть 2 сети, в каждой из которых имеется доступ в интернет через разных провайдеров. В одной из сеток есть возможность получения статического IP-адреса. Есть необходимость соединить эти сетки в одну логическую сеть VPN. Кроме того, есть желание установить на машину в первой сети RDP сервер, чтобы иметь доступ к удаленному рабочему столу из второй сети.

Вот.


--------------------
Правила форума foum.bel.ru:
Любое мнение, отличное от мнения администрации форума будет удалено!
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Thu, 12 August 2010, 15:16
Сообщение #9


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


нет никакой глупости.

1) машинки, которые смотрят в интернет, с обеих сторон будут под windows?
2) в конторах не пересекается адресация сетей? то есть, например в одной 192.168.1.0/24, а в другой 192.168.2.0/24? лучше бы чтобы не пересекались
Go to the top of the page
 
+Quote Post
goblin
сообщение Thu, 12 August 2010, 15:32
Сообщение #10


отошел...
****

Группа: Gold Members
Сообщений: 9331
Регистрация: 7.8.2007

Пользователь №: 7673



Репутация:   728  


Цитата(sirjoga @ Thu, 12 August 2010, 16:16) *
нет никакой глупости.

1) машинки, которые смотрят в интернет, с обеих сторон будут под windows?
2) в конторах не пересекается адресация сетей? то есть, например в одной 192.168.1.0/24, а в другой 192.168.2.0/24? лучше бы чтобы не пересекались

Адресацию сетей можно задать любую. Сейчас адреса раздают роутеры через dhcp.


--------------------
Правила форума foum.bel.ru:
Любое мнение, отличное от мнения администрации форума будет удалено!
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Thu, 12 August 2010, 15:36
Сообщение #11


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


"роутеры" - это не компьютеры под виндой? какие-нибудь коробки вроде zyxel или d-link, одним концом втыкающиеся в интернет, а вторым -- в локальную сеть?
Go to the top of the page
 
+Quote Post
goblin
сообщение Thu, 12 August 2010, 15:38
Сообщение #12


отошел...
****

Группа: Gold Members
Сообщений: 9331
Регистрация: 7.8.2007

Пользователь №: 7673



Репутация:   728  


Цитата(sirjoga @ Thu, 12 August 2010, 16:36) *
"роутеры" - это не компьютеры под виндой? какие-нибудь коробки вроде zyxel или d-link, одним концом втыкающиеся в интернет, а вторым -- в локальную сеть?

Совершенно верно. dir-320... Ну там есть еще нюанс в виде радиомоста в одной из сеток, но думаю, что его наличие ничего не меняет.


--------------------
Правила форума foum.bel.ru:
Любое мнение, отличное от мнения администрации форума будет удалено!
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Thu, 12 August 2010, 16:03
Сообщение #13


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


Цитата(goblin @ Thu, 12 August 2010, 16:38) *
Совершенно верно. dir-320... Ну там есть еще нюанс в виде радиомоста, но думаю, что его наличие ничего не меняет.
ну да. боюсь, средствами самих коробочек-роутеров vpn сеть-сеть организовать не удастся, придётся задействовать по одной машине в каждой из сетей, одну в качестве vpn-клиента, другую в качестве vpn-сервера, и маршрутизацию между сетями настраивать через них.

перед тем как расписывать дальше, ответьте на один вопрос -- вы готовы держать по одной машине с каждой стороны постоянно включенной? как вариант - включенными на время сеансов связи сеть-сеть, если эта связь нужна не всё время.

upd. может конечно всё это возможно сделать средствами самих длинков, и я зря забиваю вам голову, ну тут уж не в курсе ((
Go to the top of the page
 
+Quote Post
goblin
сообщение Thu, 12 August 2010, 16:18
Сообщение #14


отошел...
****

Группа: Gold Members
Сообщений: 9331
Регистрация: 7.8.2007

Пользователь №: 7673



Репутация:   728  


Цитата(sirjoga @ Thu, 12 August 2010, 17:03) *
ну да. боюсь, средствами самих коробочек-роутеров vpn сеть-сеть организовать не удастся, придётся задействовать по одной машине в каждой из сетей, одну в качестве vpn-клиента, другую в качестве vpn-сервера, и маршрутизацию между сетями настраивать через них.

перед тем как расписывать дальше, ответьте на один вопрос -- вы готовы держать по одной машине с каждой стороны постоянно включенной? как вариант - включенными на время сеансов связи сеть-сеть, если эта связь нужна не всё время.

upd. может конечно всё это возможно сделать средствами самих длинков, и я зря забиваю вам голову, ну тут уж не в курсе ((

принципиально как можно соединить эти 2 сетки, с реализацией попробую бпободаться, к тому же 2 из 3-х роутера можно перепрошить хоть в черта лысого.
Вижу пока что соединение через PPTP.


--------------------
Правила форума foum.bel.ru:
Любое мнение, отличное от мнения администрации форума будет удалено!
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Thu, 12 August 2010, 16:21
Сообщение #15


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


было бы ещё во что их прошивать (( с ходу ничего особого не нагуглилось.

что касается pptp (если поднимать pptp-клиент и сервер на компах внутри сетей, за роутерами), я не уверен что с "серверного" роутера (с белым адресом) удастся пробросить входящий pptp-траффик на реальную машину-сервер. если нет, я бы пользовал какой-нибудь openvpn, которому достаточно одного tcp/udp порта, проброшенного на dlink-е как "виртуальный сервер"

а "принципиально" - поднимаете на двух компах в двух сетях vpn-клиент и сервер соответственно, настраиваете для vpn-сети адресацию, не пересекающуюся с адресами обеих реальных локалок, прописываете на всех компах обеих локалок статический маршрут на удалённую сетку через машинки с vpn-ом (не забыв включить маршрутизацию на этих машинках). как-то так.

а rdp заработает при этом точно так же как всё остальное, тут специфики никакой нет. единственное что может понадобиться -- покрутить файрволл на машине с rdp, чтобы принимала соединения не только из локальной сети, но и из удалённой
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Thu, 12 August 2010, 16:57
Сообщение #16


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


например как бы я делал это с openvpn.

сеть 1 - 192.168.1.0/24
впн-сервер - 192.168.1.10, ставим опенвпн, настраиваем как сервер, впн-адрес 192.168.3.1/24, генерируем серверный и клиентский сертификаты.
роутер 192.168.1.1
на роутере (с "белым" адресом на wan-интерфейсе) настраиваем "виртуальный сервер" по выбранному для openvpn порту на машину 192.168.1.10
на впн-сервере после поднятия vpn-интерфейса
route add 192.168.2.0 mask 255.255.255.0 192.168.3.2

на остальных машинах сети 1 (кроме той что с впн)
route add -p 192.168.2.0 mask 255.255.255.0 192.168.1.10

сеть 2 - 192.168.2.0/24
роутер 192.168.2.1
впн-клиент 192.168.2.10, ставим опенвпн, настраиваем как клиент, используя клиентский сертификат, сгенерированный на сервере, впн-адрес 192.168.3.2/24 (ну если настраивать openvpn в режиме "tap")
на впн-клиенте после поднятия vpn-интерфейса
route add 192.168.1.0 mask 255.255.255.0 192.168.3.1


на остальных машинах сети 2 (кроме той что с впн)
route add -p 192.168.1.0 mask 255.255.255.0 192.168.2.10

на выходе получаем возможность доступа к любой машине сети 1 с любой машины сети 2 и наоборот.

ну и в качестве бонуса, сгенерировав дополнительные сертификаты openvpn для пользователей, возможность удалённой работы в сети 1 (и даже в сети 2 smile.gif ) из дома/с ноутбуков... они соответственно получат vpn-адреса 192.168.3.x. правда для этого придётся прописать ещё по одному статическому маршруту на клиентских машинах в обеих локалках...

вроде нигде не ошибся, но в любом случае принцип должен быть понятен.

в любом случае, будь то pptp, openvpn или ещё что-то, надо сначала настроить само vpn-соединение точка-точка, проверить что между vpn-адресами ходят пинги, а потом уж настраивать маршрутизацию между сетями.

если всё-таки решите ковыряться именно с openvpn, с настройкой попытаюсь помочь, я его неоднократно крутил в руках )
Go to the top of the page
 
+Quote Post
goblin
сообщение Fri, 13 August 2010, 08:28
Сообщение #17


отошел...
****

Группа: Gold Members
Сообщений: 9331
Регистрация: 7.8.2007

Пользователь №: 7673



Репутация:   728  


Пульсар, Сирега, большое спасибо, вашу помощь рудно переоценить.
Не отвечал, ибо изучал возможности моего железа, смотрящего в интернет на возможность осуществления задуманного.

upd: По всему выходит, что в одну виртуальную сеть на DIR-320 объединить сетки не получится. Зато можно настроить RDP, для этого в настройках роутера имеется port forwarding, думаю, что если поколупаться, то должно получиться. Если не ошибаюсь, то порт у RDP 3389. Кто поможет протестировать настройки (полазить по моему компу через RDP), а то во вторую сетку далеко бежать...


--------------------
Правила форума foum.bel.ru:
Любое мнение, отличное от мнения администрации форума будет удалено!
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Fri, 13 August 2010, 09:19
Сообщение #18


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


вы если вдруг паче чаяния найдёте, как это сделать средствами коробочек-роутеров, делитесь )
Go to the top of the page
 
+Quote Post
sirjoga
сообщение Fri, 13 August 2010, 09:26
Сообщение #19


Общественник
****

Группа: Gold Members
Сообщений: 6853
Регистрация: 9.8.2005

Пользователь №: 2385



Репутация:   438  


Цитата(goblin @ Fri, 13 August 2010, 09:28) *
Кто поможет протестировать настройки (полазить по моему компу через RDP), а то во вторую сетку далеко бежать...
прямо-таки rdp портфорвардом наружу? не страшно? )
Go to the top of the page
 
+Quote Post
Pulsar
сообщение Fri, 13 August 2010, 09:36
Сообщение #20


Общественник
****

Группа: Gold Members
Сообщений: 5466
Регистрация: 19.1.2004

Пользователь №: 240



Репутация:   110  


Цитата(sirjoga @ Fri, 13 August 2010, 10:19) *
вы если вдруг паче чаяния найдёте, как это сделать средствами коробочек-роутеров, делитесь )


я бы на dlink вшил прошивку openWRT.. ))
А там уже проблем не было. с SSH-туннелем.


--------------------
Можно найти и придумать миллион причин ваших неудач.
Единственно верной, будете вы сами и ваша инерция.
Go to the top of the page
 
+Quote Post

70 страниц V   1 2 3 > » 
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: Mon, 9 December 2019, 21:06
Рейтинг@Mail.ru Яндекс.Метрика