Безопасный вход в терминал
7485
30
Вопрос к знающим людям. Есть у нас на работе серверок под win2003, работаем на нем под терминалом. Сейчас нужно зацепить еще один офис, не в нашей локалке. Тоже нужно будет организовать вход по терминалу. Вопрос в том, как сделать его более секьюрным. Пароли, есть, конечно, но на них надежды мало, как только засветятся на нашем сервере доступные порты, народ будет ломиться к нам, а этого не хотелось бы. Пока посматриваем в сторону OpenVPN. Может есть еще какие-либо простые решения типа этого?
В брендмауере разрешить доступ на порт терминал-сервера только с IP удаленного офиса (скорее всего - он один у них внешний). Доступ с остальных IP - запретить.
Если IP у них динамический - пусть купят статический, это копейки.
KSergey
IP там будет динамический, работают через они USB-GPRS-модемы. Насчет покупки статических ай-пи при таком раскладе затрудняюсь что-то сказать. Это даже не офис, а наши директора, они хотят с ноутбуков залезать в нашу локалку. И я еще почитал про мобильные модемы, есть мнение, что провайдеры режут протокол gre. Так ли это? Если так, то VPN отпадает. А что тогда остается?
есть мнение, что провайдеры режут протокол gre. Так ли это? Если так, то VPN отпадает
OpenVPN использует свой протокол и может использовать свой порт
Это даже не офис, а наши директора, они хотят с ноутбуков залезать в нашу локалку.
То офис, то директора с канар. Прямо на ходу меняете показания :улыб:Тогда только VPN остается, с ключами.
Как-то я сомневаюсь, чтобы VPN не работало в таком раскладе. Теми же клиент-банками пользуются, успешно. Там часто VPN всякий.
Андрей Прошин
Вы им лучше страшилки расскажите "А вот представьте кто нибудь Ваш пароль узнает и на Вашу почту зайдёт" - сразу у директоров желание отпадёт.
kmm
Вы им лучше страшилки расскажите
Страшилки не надо. Это непрофессионально.
Сильно страшно - тогда VPN и ключи на аппаратных USB-брелках, решений таких - много.
KSergey
Вам не приходилось ночью на отдыхе за городом получать звонок от директора "я просрал token, но хочу прям щас доступ получить и нее**т"
kmm
и нее**т"
1) Я стараюсь не задерживаться в компаниях с директорами детсадовского возраста

Вам не приходилось ночью на отдыхе за городом
2) Я не вижу в этом проблемы, т.к. понимаю, что у компании, благодаря работе в которой я отдыхаю c текущим уровнем комфортности, бывают действительно неотложные дела, в том числе, пусть и косвенно, влияющие на комфортность моего отдыха как нынешнего, так и будущего.

Ну и до кучи:
3) Всегда можно найти альтернативное временное решение, не слишком противоречащее необходимому уровню безопасности.
kmm
Такого у нас, конечно, не предвидится, но директор может захотеть залезть локалку просто из разных мест, с ноутбука, с офисного компа, либо с домашнего. И везде доступ должен работать одинаково. Тут вот у нас еще возникла мысль насчет VPN на аппаратном роутере типа D-link-804. Такое решение будет работать? Ему ведь и целого компа для сервера не нужно, только сам роутер.
Для VPN-соединения, тем более единичного, выделять "отдельный сервер" - вообще как-то странно... Кучеряво слишком:улыб:
Достаточно поднять сервер VPS на любом сервере из имеющихся и пробросить требуемый порт через файервол/роутер.
С другой стороны, если есть аппаратные решения - наверное есть в них плюсы... Может кто и расскажет.
Андрей Прошин
На самом деле - сколько связывались с подобными задачами, действительно провайдеры, особенно "славятся" моб операторы, криво натят pptp и gre, в связи с тем в одной из организаций, где счастливилось работать исторически туннели подняты на kerio vpn. там обычный проброс 4090 tcp\udp. Железка конечно хорошо, но опять же pptp\gre в большинстве своем. Можно поставить циску в головной офис, а на комп повесить cisco vpn клиент. Он работает по udp (ЕМНИП). Ну а можно по банзайски использовать шифрование rdp
KSergey
От железки пока отказались, надо поднимать на сервере. Пытаюсь пока поднять pptp, что-то не выходит. Подскажите кто-нибудь, обязательно на сервере две сетевые карты или и одной хватит. Вроде все делал по инструкции, а не впахивает, даже телнет на порт 1723 не проходит, хоть порт вовнутрь открыт. Что может быть это такое?:хммм:
ADmitry
По ходу это не провайдер режет протокол gre, а наш новый чудо-роутер DIR-120, потому как изнутри впн работает, а порты снаружи не видны. Можно ли завести впн через этот роутер? Кто что посоветует в данной ситуации? Предлагались различные безумные версии решения проблемы, вплоть до установки мне под стол системника с фри-бсд. Кстати, это самый приемлемый для меня вариант, там уж нагородить можно много чего, а pptpd работает с полпинка, mpd начинает работать после пары пинков. Самое интересное, что стоить этот системник будет как этот вот роутер. Пока склоняюсь к такому варианту.
Андрей Прошин
такс - минуточку, насколько я в курсе 120й - это сотый только с принт сервером и это маршрутизатор, впн-сервера у него нет (опять же ЕМНИП), и проброс у него кажется только tcp и\или udp, теоретически можно на нем взвести дмз и перенаправить трафик этот куда нить где уже будет впн сервер. ну либо какой нить dlink dfl-210 из длинков, либо все уже озвучено выше было.
Андрей Прошин
открыть доку на Dir-120 и прочитать.
страница 41
Advanced configuration.
изнутри впн работает, а порты снаружи не видныА вы нужные порты наружу пробросили?
А вы нужные порты наружу пробросили?
Андрей Прошин
так VPN pass through это никто не отменял - это и есть. и будет ходить. просто snat отличается от dnat.
ADmitry
Да мне не надо, чтобы он сам vpn организовывал, мне надо, чтобы хотя бы порты открывал и протокол пропускал через себя. А у него там только tcp, udp и any (any - это tcp+udp, так мне пояснили в СЦ D-link). Порты, конечно, открыл, почта же работает, rdp снаружи тоже, даже некий хитрый порт 3052 открывается, это для управления UPS-ником снаружи. Но вот такое же самое правило для порта 1723 работать почему-то не хочет. Вывод - протокол где-то режется. Потому что этот роутер купили до того, как понадобился vpn, тогда просто нужно было как-то организовать выход в интернет и выбрали самое дешевое решение. А теперь из-за этого у нас проблемы, вот она - дешевизна -то.
kmm
открываю мануал - читаю: бла, бла, бла - Port forwarding rules - PPTP . Есть преднастроенное правило. Вы в port forwarding rules делали или application rules?
ADmitry
Это вы тут чего по-нерусски сказали? Перевести можно?
Андрей Прошин
такс согласно тут он умеет и если прочитать про vpn pass through

Поддержка VPN (VPN pass through)
VPN (Virtual Private Network - виртуальная частная сеть) - технология, которая позволяет создавать виртуальный защищенный канал через интернет от главного офиса к удаленному офису или к домашней сети. При этом пользователь удаленного офиса может работать с локальной сетью главного офиса точно так же, как если бы он был подключен к ней напрямую. Для создания виртуальных частных сетей используется один из следующих протоколов: IPSec (Internet Protocol Security), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
Подключиться к главному офису через VPN можно двумя способами: с помощью маршрутизатора или с помощью специального программного обеспечения, установленного на компьютере пользователя. Для подключения по второму способу необходимо, чтобы маршрутизатор локальной сети удаленного офиса имел возможность пропускать данные, созданные с помощью протоколов VPN (эту функцию в англоязычной литературе называют "VPN pass through"). Большинство современных маршрутизаторов обладают такой возможностью.

Поддержка VPN-туннелей (VPN Endpoint)
Возможность организации VPN-туннелей маршрутизатором. Подробнее о VPN см. в разделе "Поддержка VPN (VPN pass through)".
При создании виртуального туннеля маршрутизатором локальной сети удаленного офиса пользователи этой сети автоматически получают доступ к локальной сети головного офиса без установки дополнительных программ и паролей на своих компьютерах. В таких маршрутизаторах в качестве стандарта VPN используется набор протоколов IPSec. Протоколы IPSec позволяют автоматически шифровать передаваемые данные, проверять их целостность и обмениваться ключами.
Использование маршрутизаторов с поддержкой VPN-туннелей (VPN Endpoint) дает возможность соединять удаленный офис с основным через интернет, не уменьшая при этом защищенность данных или удобство работы с сетью.

сие значит что впн сервер в сети иметь надо, длинк пробрасыват до него сможет.
Андрей Прошин
Вы user manual открывали? Цитаты - оттуда.
kmm
Конечно делал! Этот роутер при установке в ADVANCE PORT FORWARDING RULES правила с именем PPTP расшаривает порт 1723TCP, но это ведь другой совсем протокол, так не работает. Ставлю в Traffic Type значение ANY - один хрен не работает.
ADmitry
всё что надо - есть в этой железке. судя по описанию и руководству пользователя.
Андрей Прошин
что значит другой? PPTP по TCP/1723 - работает.
kmm
дада, уже увидел, пост поправил, вернее перенаписал:улыб:хотя опять же, а как он с gre обходится.. кстати было дело приходилось руками mtu крутить на рабочих станциях, чтоб трафик нормально шел внутри впн.
Андрей Прошин
"протокол где-то режется"
поставьте на границе сети устройство, вместо DIR-120, которое даст возможность увидеть в онлайн есть снаружи запросы по этому порту. нет - к провайдеру, есть - копайте внутрисеть.
как вариант - неверно настроен сам VPN-сервер, а до него всё "доезжает"
kmm
Ну, в локалке же работает, доступ d kjrfkrt делаю на тот же интерфейс, что и снаружи. Внутри сети впн работает. Не работает снаружи. Насчет железки, заменяющей наш свич уже писал, есть такой вариант.