openvpn (подойдет ли?)

[oziris]

Здравствуйте. Техническая сторона:
имеем две сети в разных конторах, обе сети имеют доступ наружу через шлюзы на линуксе (slackware), которые в свою очередь сидят за натом adsl-модемов, то есть с обеих сторон имеем эдакий двойной нат.
Теперь я получил задание обеспечить админу удаленный доступ к серверу AD. тут проще нарисовать.

вот такая схемка.
не знаю, подойдет ли для этого случая openvpn, или здесь нужно что-то другое, ведь оба шлюза не являются участниками доменов, или это не имеет значения?
Спасибо.

[gesigor]

Должно подойти. Главное чтобы порт openvpn был виднен админу. А уж способ получения доступа к самому домену, является дело вкуса: vnc или rdesktop.

[oziris]

Должно подойти. Главное чтобы порт openvpn был виднен админу. А уж способ получения доступа к самому домену, является дело вкуса: vnc или rdesktop.

теперь понятно. я как раз не понимал, каким образом админ собирается цепляться к гую венды, про удаленные рабочие столы не подумал =)
еще хочется спросить, на какой из сторон лучше ставить впн-сервер или это снова не имеет значения?
ну надо пологать, что сервер будет на одном из шлюзов.
очень смутно представляю себе работу openvpn, у меня в этих конторах другие обязанности, с впн сталкиваюсь впервые.

[gesigor]

По большому счету все равно на какой стороне будет находиться сервер.

[alex_suse]

Теперь я получил задание обеспечить админу удаленный доступ к серверу AD. тут проще нарисовать.

Если стоит только такая задача, то незачем городить vpn, просто пробросте ему rdp порт до этого сервера.

[gesigor]

openvpn просто средство универсальное. Админу сегодня скажут доступ к серверу, завтра еще куда. Если контора еще и должна оберегать личные данные, могут обязать щифровать поток по ГОСТу.

[SLEDopit]

openvpn просто средство универсальное. Админу сегодня скажут доступ к серверу, завтра еще куда. Если контора еще и должна оберегать личные данные, могут обязать щифровать поток по ГОСТу.

Да теперь что шифруй, что не шифруй, все бестолку.

[oziris]

изначально и хотели цепляться просто удаленным рабочим столом, но на обеих сторонах у нас динамика, по этому как-то проблематично разрешить цепляться только с такого-то айпишника, а доступ по паролю видите-ли не достаточно надежен. решили пилить впн.
лично я сам не считаю парольную защиту такой уж не надежной, но как говорится - "имеешь партнера - имеешь хозяина".

[drBatty]

Да теперь что шифруй, что не шифруй, все бестолку.

По мнению исследователей, производители web-браузеров в скором времени добавят в свои продукты обходной путь блокирования подобных атак, но так как суть проблемы кроется в недоработке архитектуры TLS и SSL, полноценным решением проблемы может быть только переход на новый протокол. Например, проблеме не подвержены уже доступные протоколы TLS 1.1 или TLS 1.2

кто мешает использовать TLS 1.2?

изначально и хотели цепляться просто удаленным рабочим столом, но на обеих сторонах у нас динамика, по этому как-то проблематично разрешить цепляться только с такого-то айпишника, а доступ по паролю видите-ли не достаточно надежен. решили пилить впн.

почему не OpenSSH?

[Serega86]

еще хочется спросить, на какой из сторон лучше ставить впн-сервер или это снова не имеет значения?

со стороны ad нужен сервер к нему же будут цеплятся

[oziris]

именно SSH и пользуюсь для администрирования своих шлюзов, на которых у меня и бинд и сквид и много чего еще ибо линукс. но тут венда. я знаю, что и для оффтопика есть ssh, но говорят, что куцый он, к тому-же администрированием AD занимаюсь не я, а один мышевоз. поди, переучи человека от "далее".
-------------------
хотя если подумать, то он мог-бы цепляться к шлюзу посредством putty и там уже запускать rdesktop. мысль вроде здравая, но какая-то костыльная...

[SemKA]

винде и не нужен ssh, просто через ssh на шлюзах сделать тунель. Примерно вот так.

[drBatty]

но тут венда. я знаю, что и для оффтопика есть ssh, но говорят, что куцый он

для венды есть неплохой ssh-клиент, putty(консольный). А вот сервер, или графический клиент - без понятия...

винде и не нужен ssh, просто через ssh на шлюзах сделать тунель. Примерно вот так.

ага. тоже вариант.

[oziris]

винде и не нужен ssh, просто через ssh на шлюзах сделать тунель. Примерно вот так.

а вот это интересно, возьму на вооружение, может для многого пригодится. спасибо

[sash-kan]

винде и не нужен ssh, просто через ssh на шлюзах сделать тунель. Примерно вот так.

для чего ставить какие-то левые программы?
ровно то, что там описано, как «уникальные возможности супер-программы sleepshell», т.е, socks-сервер, делает команда:
$ ssh -D 9090 gw.example.com

[SemKA]

для чего ставить какие-то левые программы?

про левые проги, и мысли не было, там просто с картинками описанно как putty и софт настроить.

ровно то, что там описано, как «уникальные возможности супер-программы sleepshell», т.е, socks-сервер, делает команда:

слово "уникальн" в том тексте не нашёл

SleepShell - это программка, которая после логина удаленного пользователя по SSH, вместо стандартного приглашения " $ " выводит каждые 10-ть секунд звездочки " * ". Это очень удобно, пользователь прошел авторизацию, но не может ввести ни одну команду.

на самом деле мне кажется что мы говорим об одном и том же

[oziris]

да перестаньте, решение в любом случае полезное. я вот давеча думал как тырить рабочий трафик из дома (внутри диапазона провайдера трафик не учитывается) а этот ssh-туннель будет мне очень кстати.
PS "спасибо" не туда сказал, извините. хотя все, вы, хорошие.

[drBatty]

для чего ставить какие-то левые программы?
ровно то, что там описано, как «уникальные возможности супер-программы sleepshell»

из "уникальных возможностей" как я понял, там только вывод звёздочек каждые 10сек. ну захотелось так автору :)
никто не заставляет делать _в точности также_ как этот автор. сама идея - must have, и хаутушка вполне годная.

[sash-kan]

из "уникальных возможностей" как я понял, там только вывод звёздочек каждые 10сек. ну захотелось так автору

$ cat /usr/local/bin/stars
#!/bin/bash
while true; do sleep 10; echo '*'; done

$ sudo chsh /usr/local/bin/stars <user>

а то придумают… скачайте без смс, распакуйте архив, запустите make… нда…

сама идея - must have

«идея» заключается в том, что продемонстрированный на скриншоте браузер умеет ходить через socks-proxy·

хаутушка вполне годная

может быть… только зачем там так много написано?
вполне достаточно двух пунктов:
1. запустите $ ssh -D <порт> <user@host>
2. в браузере укажите socks-proxy "localhost:<порт>"

[drBatty]

а то придумают… скачайте без смс, распакуйте архив, запустите make… нда…

о...
ну чтож вы так :(
вот вся "программа":
http://www.mariovaldez.net/software/sleeps...=sleepshell.txt

Код: Выделить всё

26 #include <unistd.h>
27 #include <stdio.h>
28 #include <stdlib.h>
29
30 #define SS_SLEEPTIME 10
31
32 main() {
33   char *ssh_connection;
34   char *ssh_client;
35   char *ssh_tty;
36
37   ssh_connection = getenv ("SSH_CONNECTION");
38   ssh_client = getenv ("SSH_CLIENT");
39   ssh_tty = getenv ("SSH_TTY");
40   printf ("\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n");
41   if (ssh_connection && ssh_client) {
42     printf ("Connection: %s\nClient: %s\nTerminal: %s\n\n", ssh_connection, ssh_client, ssh_tty);
43   }
44   while (1) {
45     sleep (SS_SLEEPTIME);
46     printf ("*");
47     fflush (NULL);
48   }
49 }

(:

[sash-kan]

вот вся "программа"

почувствуйте разницу:

while true; do sleep 10; echo '*'; done

p.s. и не требуется компилятор c и даже make…

upd. ах, да, ещё одна строка очень-очень нужна:
[ "$SSH_CONNECTION" -a "$SSH_CLIENT" ] && echo -e "Connection: $SSH_CONNECTION\nClient: $SSH_CLIENT\nTerminal: $SSH_TTY"

[drBatty]

почувствуйте разницу:

да знаю я...
ну ниасилил человек bash, приходится ему собирать программки на С... Каждый сходит с ума по своему. Кстати, make он тоже ниосилил (:


sash-kan

и да:
printf ("\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n");
вы тоже забыли (: