Вопрос к знающим людям. Есть у нас на работе серверок под win2003, работаем на нем под терминалом. Сейчас нужно зацепить еще один офис, не в нашей локалке. Тоже нужно будет организовать вход по терминалу. Вопрос в том, как сделать его более секьюрным. Пароли, есть, конечно, но на них надежды мало, как только засветятся на нашем сервере доступные порты, народ будет ломиться к нам, а этого не хотелось бы. Пока посматриваем в сторону OpenVPN. Может есть еще какие-либо простые решения типа этого?
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
В брендмауере разрешить доступ на порт терминал-сервера только с IP удаленного офиса (скорее всего - он один у них внешний). Доступ с остальных IP - запретить.
Если IP у них динамический - пусть купят статический, это копейки.
IP там будет динамический, работают через они USB-GPRS-модемы. Насчет покупки статических ай-пи при таком раскладе затрудняюсь что-то сказать. Это даже не офис, а наши директора, они хотят с ноутбуков залезать в нашу локалку. И я еще почитал про мобильные модемы, есть мнение, что провайдеры режут протокол gre. Так ли это? Если так, то VPN отпадает. А что тогда остается?
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
В ответ на: Это даже не офис, а наши директора, они хотят с ноутбуков залезать в нашу локалку.
То офис, то директора с канар. Прямо на ходу меняете показания Тогда только VPN остается, с ключами.
Как-то я сомневаюсь, чтобы VPN не работало в таком раскладе. Теми же клиент-банками пользуются, успешно. Там часто VPN всякий.
1) Я стараюсь не задерживаться в компаниях с директорами детсадовского возраста
В ответ на: Вам не приходилось ночью на отдыхе за городом
2) Я не вижу в этом проблемы, т.к. понимаю, что у компании, благодаря работе в которой я отдыхаю c текущим уровнем комфортности, бывают действительно неотложные дела, в том числе, пусть и косвенно, влияющие на комфортность моего отдыха как нынешнего, так и будущего.
Ну и до кучи:
3) Всегда можно найти альтернативное временное решение, не слишком противоречащее необходимому уровню безопасности.
Такого у нас, конечно, не предвидится, но директор может захотеть залезть локалку просто из разных мест, с ноутбука, с офисного компа, либо с домашнего. И везде доступ должен работать одинаково. Тут вот у нас еще возникла мысль насчет VPN на аппаратном роутере типа D-link-804. Такое решение будет работать? Ему ведь и целого компа для сервера не нужно, только сам роутер.
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
Для VPN-соединения, тем более единичного, выделять "отдельный сервер" - вообще как-то странно... Кучеряво слишком
Достаточно поднять сервер VPS на любом сервере из имеющихся и пробросить требуемый порт через файервол/роутер.
С другой стороны, если есть аппаратные решения - наверное есть в них плюсы... Может кто и расскажет.
На самом деле - сколько связывались с подобными задачами, действительно провайдеры, особенно "славятся" моб операторы, криво натят pptp и gre, в связи с тем в одной из организаций, где счастливилось работать исторически туннели подняты на kerio vpn. там обычный проброс 4090 tcp\udp. Железка конечно хорошо, но опять же pptp\gre в большинстве своем. Можно поставить циску в головной офис, а на комп повесить cisco vpn клиент. Он работает по udp (ЕМНИП). Ну а можно по банзайски использовать шифрование rdp
От железки пока отказались, надо поднимать на сервере. Пытаюсь пока поднять pptp, что-то не выходит. Подскажите кто-нибудь, обязательно на сервере две сетевые карты или и одной хватит. Вроде все делал по инструкции, а не впахивает, даже телнет на порт 1723 не проходит, хоть порт вовнутрь открыт. Что может быть это такое?
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
По ходу это не провайдер режет протокол gre, а наш новый чудо-роутер DIR-120, потому как изнутри впн работает, а порты снаружи не видны. Можно ли завести впн через этот роутер? Кто что посоветует в данной ситуации? Предлагались различные безумные версии решения проблемы, вплоть до установки мне под стол системника с фри-бсд. Кстати, это самый приемлемый для меня вариант, там уж нагородить можно много чего, а pptpd работает с полпинка, mpd начинает работать после пары пинков. Самое интересное, что стоить этот системник будет как этот вот роутер. Пока склоняюсь к такому варианту.
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
такс - минуточку, насколько я в курсе 120й - это сотый только с принт сервером и это маршрутизатор, впн-сервера у него нет (опять же ЕМНИП), и проброс у него кажется только tcp и\или udp, теоретически можно на нем взвести дмз и перенаправить трафик этот куда нить где уже будет впн сервер. ну либо какой нить dlink dfl-210 из длинков, либо все уже озвучено выше было.
Да мне не надо, чтобы он сам vpn организовывал, мне надо, чтобы хотя бы порты открывал и протокол пропускал через себя. А у него там только tcp, udp и any (any - это tcp+udp, так мне пояснили в СЦ D-link). Порты, конечно, открыл, почта же работает, rdp снаружи тоже, даже некий хитрый порт 3052 открывается, это для управления UPS-ником снаружи. Но вот такое же самое правило для порта 1723 работать почему-то не хочет. Вывод - протокол где-то режется. Потому что этот роутер купили до того, как понадобился vpn, тогда просто нужно было как-то организовать выход в интернет и выбрали самое дешевое решение. А теперь из-за этого у нас проблемы, вот она - дешевизна -то.
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
открываю мануал - читаю: бла, бла, бла - Port forwarding rules - PPTP . Есть преднастроенное правило. Вы в port forwarding rules делали или application rules?
такс согласно тут он умеет и если прочитать про vpn pass through
Поддержка VPN (VPN pass through)
VPN (Virtual Private Network - виртуальная частная сеть) - технология, которая позволяет создавать виртуальный защищенный канал через интернет от главного офиса к удаленному офису или к домашней сети. При этом пользователь удаленного офиса может работать с локальной сетью главного офиса точно так же, как если бы он был подключен к ней напрямую. Для создания виртуальных частных сетей используется один из следующих протоколов: IPSec (Internet Protocol Security), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
Подключиться к главному офису через VPN можно двумя способами: с помощью маршрутизатора или с помощью специального программного обеспечения, установленного на компьютере пользователя. Для подключения по второму способу необходимо, чтобы маршрутизатор локальной сети удаленного офиса имел возможность пропускать данные, созданные с помощью протоколов VPN (эту функцию в англоязычной литературе называют "VPN pass through"). Большинство современных маршрутизаторов обладают такой возможностью.
Поддержка VPN-туннелей (VPN Endpoint)
Возможность организации VPN-туннелей маршрутизатором. Подробнее о VPN см. в разделе "Поддержка VPN (VPN pass through)".
При создании виртуального туннеля маршрутизатором локальной сети удаленного офиса пользователи этой сети автоматически получают доступ к локальной сети головного офиса без установки дополнительных программ и паролей на своих компьютерах. В таких маршрутизаторах в качестве стандарта VPN используется набор протоколов IPSec. Протоколы IPSec позволяют автоматически шифровать передаваемые данные, проверять их целостность и обмениваться ключами.
Использование маршрутизаторов с поддержкой VPN-туннелей (VPN Endpoint) дает возможность соединять удаленный офис с основным через интернет, не уменьшая при этом защищенность данных или удобство работы с сетью.
сие значит что впн сервер в сети иметь надо, длинк пробрасыват до него сможет.
Конечно делал! Этот роутер при установке в ADVANCE PORT FORWARDING RULES правила с именем PPTP расшаривает порт 1723TCP, но это ведь другой совсем протокол, так не работает. Ставлю в Traffic Type значение ANY - один хрен не работает.
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
дада, уже увидел, пост поправил, вернее перенаписалхотя опять же, а как он с gre обходится.. кстати было дело приходилось руками mtu крутить на рабочих станциях, чтоб трафик нормально шел внутри впн.
"протокол где-то режется"
поставьте на границе сети устройство, вместо DIR-120, которое даст возможность увидеть в онлайн есть снаружи запросы по этому порту. нет - к провайдеру, есть - копайте внутрисеть.
как вариант - неверно настроен сам VPN-сервер, а до него всё "доезжает"
Ну, в локалке же работает, доступ d kjrfkrt делаю на тот же интерфейс, что и снаружи. Внутри сети впн работает. Не работает снаружи. Насчет железки, заменяющей наш свич уже писал, есть такой вариант.
Мы люди простые. Малевичами не торгуем, мы ими дыры на асфальте закрываем.
Тогда только VPN остается, с ключами.
