Срочно нужна Ваша помощь! Опции

[goblin]

Хочу развернуть RDP-сервер на ПК для доступа к удаленной машине через интернет. Работать хозяйство будет через туннель VPN.
Понятное дело, что открывая такой доступ, возникают вопросы безопасности. Какие меры предпринять, чтобы ограничить себя от вторжения малолетних хакеров. Не хочу подвергать опасности базу данных проституток Белгородской области и массив с немецкой порнографией. Помогайте.
ОСь windows XP prof.

[Pulsar]

Хочу развернуть RDP-сервер на ПК для доступа к удаленной машине через интернет. Работать хозяйство будет через туннель VPN.
Понятное дело, что открывая такой доступ, возникают вопросы безопасности. Какие меры предпринять, чтобы ограничить себя от вторжения малолетних хакеров. Не хочу подвергать опасности базу данных проституток Белгородской области и массив с немецкой порнографией. Помогайте.
ОСь windows XP prof.

Фаервол
Закрыть все порты кроме RDP
Пускать конкретные IP адреса, с которых ты будешь ломиться на эту машину.

Visnetic Firewall какой-нибудь подойдёт.

[goblin]

Указать конкретные IP адреса, с которых ты будешь ломиться на эту машину.

Нет возможности получить статический IP клиента.

[Pulsar]

Нет возможности получить статический IP клиента.

Ну и ничего страшного.
- Берём фаервол, закрываем весь компьютер кроме какого-нибудь высокого порта (8888 например)
- Устанавливаем SSH-сервер, в настройках делаем ему порт 8888 чтобы избежать автоматических сканов котрые ломятся по стандартному 22 порту.
- С клиентской машины делаем туннель, трафик по которому пойдёт так (и в обратном направлении):
RDP-сервер
серверный хвост туннеля (внешний порт), который подключен к внутреннему порту RDP-сервера
SSH-сервер

Интернет

SSH-клиент
Локальный хвост туннеля (порт)
Терминальный клиент.


Как это делать, по шагам расписано тут.
http://www.tech-recipes.com/rx/6194/window...pssh-and-putty/
Единственное, там не написано про закрытие компьютера фаерволом и смену стандартного 22 порта SSHd.

- Коннектимся клиентом mstsc к локальному концу туннеля (висящего где-нибудь на 40000 порту). SSH клиент прокидывает его до

Профит:
Убрали из инета весь комп, кроме сервера SSH (который "заведомо более круто защищён", чем RDP).
Защитились от автоматических сканилок.
Трафик весь зашифровали.

[sirjoga]

а он же вроде написал что "работать всё это будет через впн".

точно надо что-то ещё городить поверх? может при наличии сомнений в стойкости впн лучше поменять его на другой? ))

и в случае впн не совсем понятно про "Нет возможности получить статический IP клиента. ". диапазон-то точно будет, не?

с vpn-адресов доступ на rdp-порт открыть в файрволле, с интернетовских закрыть (если машинка смотрит напрямую в интернет).

[Pulsar]

может он в качестве туннеля VPN и имел в виду SSH... )))
А если есть VPN - нахрена тогда вообще машинку в инет выпускать?
Через VPN получить ip-шник в удалённой локалке и работать спокойно через терминального клиента.

[sirjoga]

А если есть VPN - нахрена тогда вообще машинку в инет выпускать?
Через VPN получить ip-шник в удалённой локалке и работать спокойно через терминального клиента.

ну да. пусть сначала расскажет тогда, при чём тут vpn )

[goblin]

Эх, говорила мне мама "молчи, Андрей, за умного сойдешь"...

В общем так, если начну путаться в понятиях, терминах и определениях, скажу глупость, или с уст моих сорвется иная ересь, то закидайте сразу меня ссаными тряпками, понизьте репу и забаньте на пару лет, дабы остальным холопам неповадно было... або стыдно очень.

Итак, есть 2 сети, в каждой из которых имеется доступ в интернет через разных провайдеров. В одной из сеток есть возможность получения статического IP-адреса. Есть необходимость соединить эти сетки в одну логическую сеть VPN. Кроме того, есть желание установить на машину в первой сети RDP сервер, чтобы иметь доступ к удаленному рабочему столу из второй сети.

Вот.

[sirjoga]

нет никакой глупости.

1) машинки, которые смотрят в интернет, с обеих сторон будут под windows?
2) в конторах не пересекается адресация сетей? то есть, например в одной 192.168.1.0/24, а в другой 192.168.2.0/24? лучше бы чтобы не пересекались

[goblin]

нет никакой глупости.

1) машинки, которые смотрят в интернет, с обеих сторон будут под windows?
2) в конторах не пересекается адресация сетей? то есть, например в одной 192.168.1.0/24, а в другой 192.168.2.0/24? лучше бы чтобы не пересекались

Адресацию сетей можно задать любую. Сейчас адреса раздают роутеры через dhcp.

[sirjoga]

"роутеры" - это не компьютеры под виндой? какие-нибудь коробки вроде zyxel или d-link, одним концом втыкающиеся в интернет, а вторым -- в локальную сеть?

[goblin]

"роутеры" - это не компьютеры под виндой? какие-нибудь коробки вроде zyxel или d-link, одним концом втыкающиеся в интернет, а вторым -- в локальную сеть?

Совершенно верно. dir-320... Ну там есть еще нюанс в виде радиомоста в одной из сеток, но думаю, что его наличие ничего не меняет.

[sirjoga]

Совершенно верно. dir-320... Ну там есть еще нюанс в виде радиомоста, но думаю, что его наличие ничего не меняет.

ну да. боюсь, средствами самих коробочек-роутеров vpn сеть-сеть организовать не удастся, придётся задействовать по одной машине в каждой из сетей, одну в качестве vpn-клиента, другую в качестве vpn-сервера, и маршрутизацию между сетями настраивать через них.

перед тем как расписывать дальше, ответьте на один вопрос -- вы готовы держать по одной машине с каждой стороны постоянно включенной? как вариант - включенными на время сеансов связи сеть-сеть, если эта связь нужна не всё время.

upd. может конечно всё это возможно сделать средствами самих длинков, и я зря забиваю вам голову, ну тут уж не в курсе ((

[goblin]

ну да. боюсь, средствами самих коробочек-роутеров vpn сеть-сеть организовать не удастся, придётся задействовать по одной машине в каждой из сетей, одну в качестве vpn-клиента, другую в качестве vpn-сервера, и маршрутизацию между сетями настраивать через них.

перед тем как расписывать дальше, ответьте на один вопрос -- вы готовы держать по одной машине с каждой стороны постоянно включенной? как вариант - включенными на время сеансов связи сеть-сеть, если эта связь нужна не всё время.

upd. может конечно всё это возможно сделать средствами самих длинков, и я зря забиваю вам голову, ну тут уж не в курсе ((

принципиально как можно соединить эти 2 сетки, с реализацией попробую бпободаться, к тому же 2 из 3-х роутера можно перепрошить хоть в черта лысого.
Вижу пока что соединение через PPTP.

[sirjoga]

было бы ещё во что их прошивать (( с ходу ничего особого не нагуглилось.

что касается pptp (если поднимать pptp-клиент и сервер на компах внутри сетей, за роутерами), я не уверен что с "серверного" роутера (с белым адресом) удастся пробросить входящий pptp-траффик на реальную машину-сервер. если нет, я бы пользовал какой-нибудь openvpn, которому достаточно одного tcp/udp порта, проброшенного на dlink-е как "виртуальный сервер"

а "принципиально" - поднимаете на двух компах в двух сетях vpn-клиент и сервер соответственно, настраиваете для vpn-сети адресацию, не пересекающуюся с адресами обеих реальных локалок, прописываете на всех компах обеих локалок статический маршрут на удалённую сетку через машинки с vpn-ом (не забыв включить маршрутизацию на этих машинках). как-то так.

а rdp заработает при этом точно так же как всё остальное, тут специфики никакой нет. единственное что может понадобиться -- покрутить файрволл на машине с rdp, чтобы принимала соединения не только из локальной сети, но и из удалённой

[sirjoga]

например как бы я делал это с openvpn.

сеть 1 - 192.168.1.0/24
впн-сервер - 192.168.1.10, ставим опенвпн, настраиваем как сервер, впн-адрес 192.168.3.1/24, генерируем серверный и клиентский сертификаты.
роутер 192.168.1.1
на роутере (с "белым" адресом на wan-интерфейсе) настраиваем "виртуальный сервер" по выбранному для openvpn порту на машину 192.168.1.10
на впн-сервере после поднятия vpn-интерфейса
route add 192.168.2.0 mask 255.255.255.0 192.168.3.2

на остальных машинах сети 1 (кроме той что с впн)
route add -p 192.168.2.0 mask 255.255.255.0 192.168.1.10

сеть 2 - 192.168.2.0/24
роутер 192.168.2.1
впн-клиент 192.168.2.10, ставим опенвпн, настраиваем как клиент, используя клиентский сертификат, сгенерированный на сервере, впн-адрес 192.168.3.2/24 (ну если настраивать openvpn в режиме "tap")
на впн-клиенте после поднятия vpn-интерфейса
route add 192.168.1.0 mask 255.255.255.0 192.168.3.1


на остальных машинах сети 2 (кроме той что с впн)
route add -p 192.168.1.0 mask 255.255.255.0 192.168.2.10

на выходе получаем возможность доступа к любой машине сети 1 с любой машины сети 2 и наоборот.

ну и в качестве бонуса, сгенерировав дополнительные сертификаты openvpn для пользователей, возможность удалённой работы в сети 1 (и даже в сети 2 ) из дома/с ноутбуков... они соответственно получат vpn-адреса 192.168.3.x. правда для этого придётся прописать ещё по одному статическому маршруту на клиентских машинах в обеих локалках...

вроде нигде не ошибся, но в любом случае принцип должен быть понятен.

в любом случае, будь то pptp, openvpn или ещё что-то, надо сначала настроить само vpn-соединение точка-точка, проверить что между vpn-адресами ходят пинги, а потом уж настраивать маршрутизацию между сетями.

если всё-таки решите ковыряться именно с openvpn, с настройкой попытаюсь помочь, я его неоднократно крутил в руках )

[goblin]

Пульсар, Сирега, большое спасибо, вашу помощь рудно переоценить.
Не отвечал, ибо изучал возможности моего железа, смотрящего в интернет на возможность осуществления задуманного.

upd: По всему выходит, что в одну виртуальную сеть на DIR-320 объединить сетки не получится. Зато можно настроить RDP, для этого в настройках роутера имеется port forwarding, думаю, что если поколупаться, то должно получиться. Если не ошибаюсь, то порт у RDP 3389. Кто поможет протестировать настройки (полазить по моему компу через RDP), а то во вторую сетку далеко бежать...

[sirjoga]

вы если вдруг паче чаяния найдёте, как это сделать средствами коробочек-роутеров, делитесь )

[sirjoga]

Кто поможет протестировать настройки (полазить по моему компу через RDP), а то во вторую сетку далеко бежать...

прямо-таки rdp портфорвардом наружу? не страшно? )

[Pulsar]

вы если вдруг паче чаяния найдёте, как это сделать средствами коробочек-роутеров, делитесь )

я бы на dlink вшил прошивку openWRT.. ))
А там уже проблем не было. с SSH-туннелем.