Безопасный вход в терминал
7487
30
Андрей Прошин
experienced
Вопрос к знающим людям. Есть у нас на работе серверок под win2003, работаем на нем под терминалом. Сейчас нужно зацепить еще один офис, не в нашей локалке. Тоже нужно будет организовать вход по терминалу. Вопрос в том, как сделать его более секьюрным. Пароли, есть, конечно, но на них надежды мало, как только засветятся на нашем сервере доступные порты, народ будет ломиться к нам, а этого не хотелось бы. Пока посматриваем в сторону OpenVPN. Может есть еще какие-либо простые решения типа этого?
KSergey
guru
В брендмауере разрешить доступ на порт терминал-сервера только с IP удаленного офиса (скорее всего - он один у них внешний). Доступ с остальных IP - запретить.
Если IP у них динамический - пусть купят статический, это копейки.
Если IP у них динамический - пусть купят статический, это копейки.
Андрей Прошин
experienced
IP там будет динамический, работают через они USB-GPRS-модемы. Насчет покупки статических ай-пи при таком раскладе затрудняюсь что-то сказать. Это даже не офис, а наши директора, они хотят с ноутбуков залезать в нашу локалку. И я еще почитал про мобильные модемы, есть мнение, что провайдеры режут протокол gre. Так ли это? Если так, то VPN отпадает. А что тогда остается?
Mad_Dollar
guru
есть мнение, что провайдеры режут протокол gre. Так ли это? Если так, то VPN отпадаетOpenVPN использует свой протокол и может использовать свой порт
KSergey
guru
Это даже не офис, а наши директора, они хотят с ноутбуков залезать в нашу локалку.То офис, то директора с канар. Прямо на ходу меняете показания Тогда только VPN остается, с ключами.
Как-то я сомневаюсь, чтобы VPN не работало в таком раскладе. Теми же клиент-банками пользуются, успешно. Там часто VPN всякий.
kmm
veteran
Вы им лучше страшилки расскажите "А вот представьте кто нибудь Ваш пароль узнает и на Вашу почту зайдёт" - сразу у директоров желание отпадёт.
Вы им лучше страшилки расскажитеСтрашилки не надо. Это непрофессионально.
Сильно страшно - тогда VPN и ключи на аппаратных USB-брелках, решений таких - много.
Сейчас читают
красота и материнство (часть 33)
156862
1000
Дозор ПрощальноЗимнеМорозный....
129437
1000
Апрельский дозор
83915
1000
Вам не приходилось ночью на отдыхе за городом получать звонок от директора "я просрал token, но хочу прям щас доступ получить и нее**т"
и нее**т"1) Я стараюсь не задерживаться в компаниях с директорами детсадовского возраста
Вам не приходилось ночью на отдыхе за городом2) Я не вижу в этом проблемы, т.к. понимаю, что у компании, благодаря работе в которой я отдыхаю c текущим уровнем комфортности, бывают действительно неотложные дела, в том числе, пусть и косвенно, влияющие на комфортность моего отдыха как нынешнего, так и будущего.
Ну и до кучи:
3) Всегда можно найти альтернативное временное решение, не слишком противоречащее необходимому уровню безопасности.
Андрей Прошин
experienced
Такого у нас, конечно, не предвидится, но директор может захотеть залезть локалку просто из разных мест, с ноутбука, с офисного компа, либо с домашнего. И везде доступ должен работать одинаково. Тут вот у нас еще возникла мысль насчет VPN на аппаратном роутере типа D-link-804. Такое решение будет работать? Ему ведь и целого компа для сервера не нужно, только сам роутер.
KSergey
guru
Для VPN-соединения, тем более единичного, выделять "отдельный сервер" - вообще как-то странно... Кучеряво слишком
Достаточно поднять сервер VPS на любом сервере из имеющихся и пробросить требуемый порт через файервол/роутер.
С другой стороны, если есть аппаратные решения - наверное есть в них плюсы... Может кто и расскажет.
Достаточно поднять сервер VPS на любом сервере из имеющихся и пробросить требуемый порт через файервол/роутер.
С другой стороны, если есть аппаратные решения - наверное есть в них плюсы... Может кто и расскажет.
ADmitry
veteran
На самом деле - сколько связывались с подобными задачами, действительно провайдеры, особенно "славятся" моб операторы, криво натят pptp и gre, в связи с тем в одной из организаций, где счастливилось работать исторически туннели подняты на kerio vpn. там обычный проброс 4090 tcp\udp. Железка конечно хорошо, но опять же pptp\gre в большинстве своем. Можно поставить циску в головной офис, а на комп повесить cisco vpn клиент. Он работает по udp (ЕМНИП). Ну а можно по банзайски использовать шифрование rdp
Андрей Прошин
experienced
От железки пока отказались, надо поднимать на сервере. Пытаюсь пока поднять pptp, что-то не выходит. Подскажите кто-нибудь, обязательно на сервере две сетевые карты или и одной хватит. Вроде все делал по инструкции, а не впахивает, даже телнет на порт 1723 не проходит, хоть порт вовнутрь открыт. Что может быть это такое?
Андрей Прошин
experienced
По ходу это не провайдер режет протокол gre, а наш новый чудо-роутер DIR-120, потому как изнутри впн работает, а порты снаружи не видны. Можно ли завести впн через этот роутер? Кто что посоветует в данной ситуации? Предлагались различные безумные версии решения проблемы, вплоть до установки мне под стол системника с фри-бсд. Кстати, это самый приемлемый для меня вариант, там уж нагородить можно много чего, а pptpd работает с полпинка, mpd начинает работать после пары пинков. Самое интересное, что стоить этот системник будет как этот вот роутер. Пока склоняюсь к такому варианту.
ADmitry
veteran
такс - минуточку, насколько я в курсе 120й - это сотый только с принт сервером и это маршрутизатор, впн-сервера у него нет (опять же ЕМНИП), и проброс у него кажется только tcp и\или udp, теоретически можно на нем взвести дмз и перенаправить трафик этот куда нить где уже будет впн сервер. ну либо какой нить dlink dfl-210 из длинков, либо все уже озвучено выше было.
kmm
veteran
открыть доку на Dir-120 и прочитать.
страница 41
Advanced configuration.
страница 41
Advanced configuration.
KSergey
guru
изнутри впн работает, а порты снаружи не видныА вы нужные порты наружу пробросили?А вы нужные порты наружу пробросили?
ADmitry
veteran
так VPN pass through это никто не отменял - это и есть. и будет ходить. просто snat отличается от dnat.
Андрей Прошин
experienced
Да мне не надо, чтобы он сам vpn организовывал, мне надо, чтобы хотя бы порты открывал и протокол пропускал через себя. А у него там только tcp, udp и any (any - это tcp+udp, так мне пояснили в СЦ D-link). Порты, конечно, открыл, почта же работает, rdp снаружи тоже, даже некий хитрый порт 3052 открывается, это для управления UPS-ником снаружи. Но вот такое же самое правило для порта 1723 работать почему-то не хочет. Вывод - протокол где-то режется. Потому что этот роутер купили до того, как понадобился vpn, тогда просто нужно было как-то организовать выход в интернет и выбрали самое дешевое решение. А теперь из-за этого у нас проблемы, вот она - дешевизна -то.
открываю мануал - читаю: бла, бла, бла - Port forwarding rules - PPTP . Есть преднастроенное правило. Вы в port forwarding rules делали или application rules?
Андрей Прошин
experienced
Это вы тут чего по-нерусски сказали? Перевести можно?
ADmitry
veteran
такс согласно тут он умеет и если прочитать про vpn pass through
Поддержка VPN (VPN pass through)
VPN (Virtual Private Network - виртуальная частная сеть) - технология, которая позволяет создавать виртуальный защищенный канал через интернет от главного офиса к удаленному офису или к домашней сети. При этом пользователь удаленного офиса может работать с локальной сетью главного офиса точно так же, как если бы он был подключен к ней напрямую. Для создания виртуальных частных сетей используется один из следующих протоколов: IPSec (Internet Protocol Security), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
Подключиться к главному офису через VPN можно двумя способами: с помощью маршрутизатора или с помощью специального программного обеспечения, установленного на компьютере пользователя. Для подключения по второму способу необходимо, чтобы маршрутизатор локальной сети удаленного офиса имел возможность пропускать данные, созданные с помощью протоколов VPN (эту функцию в англоязычной литературе называют "VPN pass through"). Большинство современных маршрутизаторов обладают такой возможностью.
Поддержка VPN-туннелей (VPN Endpoint)
Возможность организации VPN-туннелей маршрутизатором. Подробнее о VPN см. в разделе "Поддержка VPN (VPN pass through)".
При создании виртуального туннеля маршрутизатором локальной сети удаленного офиса пользователи этой сети автоматически получают доступ к локальной сети головного офиса без установки дополнительных программ и паролей на своих компьютерах. В таких маршрутизаторах в качестве стандарта VPN используется набор протоколов IPSec. Протоколы IPSec позволяют автоматически шифровать передаваемые данные, проверять их целостность и обмениваться ключами.
Использование маршрутизаторов с поддержкой VPN-туннелей (VPN Endpoint) дает возможность соединять удаленный офис с основным через интернет, не уменьшая при этом защищенность данных или удобство работы с сетью.
сие значит что впн сервер в сети иметь надо, длинк пробрасыват до него сможет.
Поддержка VPN (VPN pass through)
VPN (Virtual Private Network - виртуальная частная сеть) - технология, которая позволяет создавать виртуальный защищенный канал через интернет от главного офиса к удаленному офису или к домашней сети. При этом пользователь удаленного офиса может работать с локальной сетью главного офиса точно так же, как если бы он был подключен к ней напрямую. Для создания виртуальных частных сетей используется один из следующих протоколов: IPSec (Internet Protocol Security), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
Подключиться к главному офису через VPN можно двумя способами: с помощью маршрутизатора или с помощью специального программного обеспечения, установленного на компьютере пользователя. Для подключения по второму способу необходимо, чтобы маршрутизатор локальной сети удаленного офиса имел возможность пропускать данные, созданные с помощью протоколов VPN (эту функцию в англоязычной литературе называют "VPN pass through"). Большинство современных маршрутизаторов обладают такой возможностью.
Поддержка VPN-туннелей (VPN Endpoint)
Возможность организации VPN-туннелей маршрутизатором. Подробнее о VPN см. в разделе "Поддержка VPN (VPN pass through)".
При создании виртуального туннеля маршрутизатором локальной сети удаленного офиса пользователи этой сети автоматически получают доступ к локальной сети головного офиса без установки дополнительных программ и паролей на своих компьютерах. В таких маршрутизаторах в качестве стандарта VPN используется набор протоколов IPSec. Протоколы IPSec позволяют автоматически шифровать передаваемые данные, проверять их целостность и обмениваться ключами.
Использование маршрутизаторов с поддержкой VPN-туннелей (VPN Endpoint) дает возможность соединять удаленный офис с основным через интернет, не уменьшая при этом защищенность данных или удобство работы с сетью.
сие значит что впн сервер в сети иметь надо, длинк пробрасыват до него сможет.
kmm
veteran
Вы user manual открывали? Цитаты - оттуда.
Андрей Прошин
experienced
Конечно делал! Этот роутер при установке в ADVANCE PORT FORWARDING RULES правила с именем PPTP расшаривает порт 1723TCP, но это ведь другой совсем протокол, так не работает. Ставлю в Traffic Type значение ANY - один хрен не работает.
всё что надо - есть в этой железке. судя по описанию и руководству пользователя.
kmm
veteran
что значит другой? PPTP по TCP/1723 - работает.
дада, уже увидел, пост поправил, вернее перенаписалхотя опять же, а как он с gre обходится.. кстати было дело приходилось руками mtu крутить на рабочих станциях, чтоб трафик нормально шел внутри впн.
kmm
veteran
"протокол где-то режется"
поставьте на границе сети устройство, вместо DIR-120, которое даст возможность увидеть в онлайн есть снаружи запросы по этому порту. нет - к провайдеру, есть - копайте внутрисеть.
как вариант - неверно настроен сам VPN-сервер, а до него всё "доезжает"
поставьте на границе сети устройство, вместо DIR-120, которое даст возможность увидеть в онлайн есть снаружи запросы по этому порту. нет - к провайдеру, есть - копайте внутрисеть.
как вариант - неверно настроен сам VPN-сервер, а до него всё "доезжает"
Андрей Прошин
experienced
Ну, в локалке же работает, доступ d kjrfkrt делаю на тот же интерфейс, что и снаружи. Внутри сети впн работает. Не работает снаружи. Насчет железки, заменяющей наш свич уже писал, есть такой вариант.