LINUX.ORG.RU
решено ФорумAdmin

rdesktop || tunnel + rdesktop


0

0

Есть необходимость сделать доступ с вин-клиента извне на вин-сервер в локальной сети. Шлюз на linux.

Рассматриваются два варианта:

1) пробросить порт на rdp на сервер. Не знаю как у rdp с секурностью внутри, поэтому кажется более разумным вариант 2:

2) поднять какойнибудь vpn сервер, и уже через туннуль заворачивать rdp. Какие варианты возможны тут? Как у них с секурностью?

★★
Ответ на: комментарий от HolyBoy

для этого на виндовс-клиенте придется делать телодвижения. кстати, какие? Ни разу не задавался таким вопросом.

azure ★★
() автор топика
Ответ на: комментарий от HolyBoy

Ммм... ssh позволит установить секурный туннель на linux-шлюз, а надо на вин-сервер, который за шлюзом.

azure ★★
() автор топика
Ответ на: комментарий от HolyBoy

подключаешься к ссш через putty и пробрасываешь порт средствами putty
получится секурный тунель

Kiteman
()
Ответ на: комментарий от HolyBoy

Пожалуйста, объясните, как это будет делать то, что мне надо? В указаном мане мало что полезного. Может, вы имели ввиду man ssh? Там да, есть проброс порта через ssh:

$ ssh -L 5190:my.external.ip.addres:5190 local.win.server

Будет ли это нормально работать при наличии нескольких клиентов? И какой софт в винде нужен чтоб установить такой туннель? putty?

azure ★★
() автор топика
Ответ на: комментарий от Kiteman

я чего-то не понимаю.

             insecure               secure
win-сервер  <--------->  linux-gw  <------> win-client
  *:5190                  ?????             putty .....????

Выглядеть это, по-видимому, должно так. Ткните в ман\руководство, где расписано как это реализовать. С ssh -L я что-то запустался: где этот форвардинг надо настроить?

azure ★★
() автор топика
Ответ на: комментарий от Kiteman

Вроде как понял. Проброс ssh-туннеля возможен без предоставления шелла? Как?

azure ★★
() автор топика
Ответ на: комментарий от Kiteman

и порт на винде 3389 =)

да-да, это меня жутко глюкнуло. Мало того что хотел написать порт vnc так еще и написал порт аськи. Надо поспать подольше, видимо :)

azure ★★
() автор топика
Ответ на: комментарий от nnz

Впринципе, тоже вариант, причем, как по мне, более предпочтительный (openvpn сервер уже есть), надо только на виндовс-клиенте настроить подключение. А вот такого опыта у меня нет. Еще как жизнеспособный вариант - pptp, правда, с ним я дела вообще пока не имел, не приходилось. Но, насколько знаю, для виндового клиента это как бы удобнее что-ли, проще, нативнее. Что будет лучше в плане безопасности - хз.

azure ★★
() автор топика
Ответ на: комментарий от anton_jugatsu

Человек не хочет читать ман, не хочет сам всё попробовать, несмотря на то, что ему уже ясно всё сказали.

Просто, одно дело, когда кто-то что-то пробует и не получается, тут не грех помочь, покопаться, уточнить. Ну а другое — когда человек ничего не делает и только покрикивает: «А ну, подскажите! Я вообще маленький и ничего не знаю, не умею.»

HolyBoy
()
Ответ на: комментарий от HolyBoy

ясно всё сказали.

Да где же ясно. По-моему вы предлагаете не слишком жизнеспособный вариант.

Просто, одно дело, когда кто-то что-то пробует и не получается, тут не грех помочь, покопаться, уточнить.

Вот вы высказались на счет ssh. Может, еще подскажите, как из putty можно пробросить туннель, не давая при этом пользователю шелла? в клиентской реализации openssh можно указать ключ

-N      Do not execute a remote command.  This is useful for just forwarding ports (protocol version 2 only).
Аналога для putty я, к сожалению, не нашел. Давать шелл для проброса туннеля - это как-то чересчур. Может, есть еще какие ssh клиенты для виндовс, который могут просто пробросить порт не запуская шелл на удаленном сервере?

Пока склоняюсь к openvpn. Судя по докам, виндовый клиент требует привилегий администратора для поднятия туннеля. Скорее всего это не будет большой проблемой.

azure ★★
() автор топика
Ответ на: комментарий от azure

рекомендую ipsec c ike2 на сертификатах
самое чоткое из тоннелей
инфа 100%

guyvernk
()
Ответ на: комментарий от azure

> Да где же ясно. По-моему вы предлагаете не слишком жизнеспособный вариант.

Вы хотите, чтобы вам ещё и разжевали?

Вот вы высказались на счет ssh. Может, еще подскажите, как из putty можно пробросить туннель, не давая при этом пользователю шелла?

Не буду подсказывать. Скажу, что у меня это работает. Аутенфицированный пользователь не имеет шелла и получает проброс внутрь сети.

Можете и опенвпн использовать, если с ним у вас проблем нет. Просто, в данной ситуации это примерно как из пушки по воробьям. Работать будет, но инструмент для этого не самый подходящий.

HolyBoy
()
Ответ на: комментарий от azure

> > опенвпн - г**но

Почему?


не слушайте его, делайте на openvpn, включаете сжатие, и RDP становится намного приятнее (по отклику) чем например ssh -X && rdesktop. OpenVPN ставится на винду влет (что там OpenVPNGui2 называется) ставится как отдельное приложение и заставить работать как сервис. Настройка банальная - через conf файл.

vadv ★★
()
Ответ на: комментарий от HolyBoy

Не буду подсказывать.

Просто, одно дело, когда кто-то что-то пробует и не получается, тут не грех помочь, покопаться, уточнить. Ну а другое — когда человек ничего не делает и только покрикивает: «А ну, подскажите! Я вообще маленький и ничего не знаю, не умею.»

мне кажется, имеет место противоречие.

azure ★★
() автор топика
Ответ на: комментарий от vadv

так и сделал. Сертификаты еще вчера подготовил. Только что на виндовой машине установил openvpn (гуи в комплекте с версии 2.1 идет), сделал конфиг, проверил, работает. Всем удобен вариант, окромя требования в административных привилегиях. Но в конкретном случае это не проблема.

azure ★★
() автор топика
Ответ на: комментарий от guyvernk

pptp гораздо проще

Там шифрование такое, что можно смело считать, что его и нет вовсе =).

ipsec гораздо надежнее

И гораздо сложнее в настройке. А ещё возможно возникновение проблем, есл и между точками будет хитрый NAT.

и да опенвпн - г**но

Говно - это то, что у тебя в голове =).

Deleted
()
Ответ на: комментарий от azure

> мне кажется, имеет место противоречие.

Никакого противоречия. Но может быть вы однажды это поймёте, когда будете также кому-то помогать.

HolyBoy
()

для этой цели поднял pptp - пока все нормально. Поднимается буквально за пару минут.

drakmail ★★★★
()
Ответ на: stunnel от ansky

спасибо, на будущее буду иметь ввиду. Остановился на openvpn с ключами. Под виндой становится почти без проблем, под линухом тоже все пучком.

azure ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.