Fórumok
Sziasztok!
Szeretnék egy virtuális hálózatot csinálni és ebben kérem a segítségeteket:
Mivel még nem csináltam ilyet, így lehet már az elméleti alapjaim rosszak így leírom mire gondoltam.
---|user1|---INTERNET KAPCSOLAT---|ssh szerver|----|openvpn szerver|---|samba megosztás|----
Az ssh szerver port forward az openvpn szerverre.
Illetve fontos dolog a beépített XP tudja e kezelni az openvpn kapcsolatot mert olvastam olyasmit, hogy az ipsec alatt dolgozik a másik meg ssh alapú...? Ha nem tudja mit javasoltok ??
Utánna még csatlakoztatni kell a hálózati meghajtókat azt hogyan tudom elkövetni?
Köszi a segítséget!
Hozzászólások
Szerintem olvass többet utána itt, és gondold át megint:
http://openvpn.net/
Szoval szerintem is utánna kellene olvasni a dolgoknak.
Az ssh val lehet 1 - 1 portot tunelezni.
Openvpn nel lehet virtuális halót létrehozni ez azt jelenti hogy minden portot ami arra van routolva (mind tcp mind udp) át fog küldeni a csatornán.
Tévedés az XP gyárilag PPTP tunelt tud, (legjobb emlékeim szerint) ez nem IPSEC kompatibilis VPN.
Az OpenVPN teljesen normálisan megy XP -vel.
Készit egy virtuális interfacet és annak rendes ipje lesz stb...
Ha megvan a vpn tunel akkor rá kell venni hogy a tunel felé routolja a samba szerver ipcime felé menő csomagokat.
utánna vagy ipvel hivatkozol a samba szerverre, vagy host/lmhost file megfelelő kitöltésével akár nevesitheted is a dolgot.
xp nek kell egy openvpn kliens.
az openvpn szervernek csak az ssh portja van nyitva? vagyis arra gondolsz, hogy a szerveren elindítasz egy openvpn szervert és ezt a tcp portot átrántod az xp kliens -re.
tehát.
putty és openvpn cliens telepítés az xp re.
lehet, hogy félreértelek.
XP a kliens putty éa a legjobb ha a beépített PPTP idáig értem :-)
Szerver1:
egy közbülső ssh szerveren megy át ami más szolgáltatás nem is csinál, de alkalmas port forwardra.
Szerver2:
Openvpn szerver telepítve Ő csinálná a virtuális hálót.
ide jelentkezne be az xp kliens és innen kerülne át a samba megosztás felmeppelésre.
Remélem így már világosan fogalmaztam mit szeretnék nem biztos, hogy jó amit írtam de ezt szeretném megcsinálni ha lehet.
Remélem ennek mennie kell ...
Köszi !!
az a része nem tiszta a dolognak minek kevered a dolgoba az ssh-t(putty)
windowsxp -> openvpn -> samba
pl ha csal az az 1db ssh port ami nyitva van ezen keresztül tunelezi áz az egészet
tcp-n
ez az amit szeretnél? és emiatt?
Ez az ssh nekem se volt tiszta hogy mit keres ott. Ha csupán port forward kell, azt egy route-olással iptables-ből meg tudod oldani. De annak nem látom sok értelmét, hogy a VPN tunnelt még beletolni egy SSH tunnel-ba, mert akkor aztán minden lesz a VPN csak használható nem. :-) TCP over TCP gond, bővebben itt.
Az XP-re meg lehet telepíteni GUI-s openvpn klienst, amivel közvetlenül lehet csatlakozni az OpenVPN szerverhez, az smb.conf-ban pedig felveszed a VPN IP-alhálózatát az engedélyezett IP-címek közé és kész.
Ajánlom figyelmedbe ezt is.
nekem jól működött............
Igen kifele csak az ssh él semmi más nyitott port nincs.
Én ezt gondoltam a lehető legbiztonságosabbnak :-)
Lehet tévedek de minél kevesebb a megnyitott port annál kevésbé sérülékeny. :-)
gorgo75 jól írta mit szeretnék :-)
Elvileg akkor így működhet ?
Ha elakadok még írok.
Köszi a gyors válaszokatés összefoglalnám még egyszer:
1 szerver csak ssh megy rajta.
2 szerver1 openvpn megy rajta ide jelentkezik be az openvpn kliens, putty és port forward segítségével.
3 samba beállítása az ip tartomány elfogadására.
Remélem most már érthető...
Köszi !!
Az ssh esetében figyelj nagyon oda hogy csak jelszóval ne lehessen belépni a gépre távolról!
Fontos: az ssh ne a 22 porton figyeljen
és limitálva legyen a kapcsolodások száma (idő alapján)
Sajnos instant cuccok vannak ilyen gépek törésére.
Köszi a tippet :-)
De a 22 es port áthelyezése máshova csak első szándékú védelem mivel egy sima portscan megmondja melyik porton van az ssh. :-(
Kiegészítészeném a rootként való belépés tiltásával. és a jelszavak bonyolultsága is jól jöhet.
De a limitet idő alapján megköszönném ha segítenél hol kell beállítani a configban melyik paraméter ?
Köszi !
iptables:
-A INPUT -i ! lo -p tcp -m tcp --dport sshportja -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -i ! lo -p tcp -m tcp --dport sshportja -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
Ahogyan mondod. Sajnos tapasztaltam hogy az ilyen lehetőségek felkutatására is már robotokat használnak.
A portscan ellen a portsentry vagy/és knockd segithet.
Nagyon elkanyarodunk lassan a támátol.:)
Szerintem meg tök feleslegesen bonyolítod a dolgot.
Ha ssh-t használsz, akkor tunnelezd be a samba portjait (137-139, 445), puttyban is beállítható.
Ha meg openvpn-t akarsz, azt meg ne csomagold ssh-ba, amúgy az a 1194-es UDP portot használja default.
nu megy?
na muxik?
subscribe