Fórumok
Olyan VPN megoldast keresek, mint pl amit a Juniper, Fortinet, Baracuda, F5, stb kinal, csak valami open source-ban.
Egy web-es portalon belepes utan a bongeszoben csatlakozik a VPN szerverhez es amig az el, uj ablakban lehet nyitogatni belso cimen elerheto szerverek WEB es feluleteit.
Ami fontos, hogy ne kelljen klienst letolteni kulon es tanusitvanyokat telepitgetni.
OpenVPN-en nem lattam ilyen funkciot.
OpenConnect-en sem talaltam kliens nelkuli megoldast.
Valakinek van valami otlete?
Koszi
Hozzászólások
Szia!
Már több topikban is említették:
-apache guacamole (HTML5 alapú RDP/SSH/VNC kliens)
Két megoldás van:
-Kirakod public- https-re,
-VPN-en keresztűl.
Szia!
Megneztem.
Ez tok jo, csak nem egesszen ez kellene. ILO-t kellene elerni, es az nem VNC vagy SSH hanem a sajat kis Javas szarja amit elindit. Junipernek van/volt regebben SSL web VPN es megoldasa, amin ha beleptel, tudtal uj ablakban belso oldalakat megnyitni. Nekem is kb ugyan ez kene, csak valami ingyenes megoldassal.
Nekem egyebkent, ez a dolog tobb helyen santit. Attol, hogy az egyik tabon betoltok valamit, annak nem kellene kihatassal lennie egy masik tab/masik process dolgara. Ez max akkor lehetseges, ha telepitve van valami, ami a bongeszo sandboxan kivul tud futni es a bongeszo csak vezerli ezt. Van errol barmilyen linked, ami igy mukodik? Mert ha a Juniper meg tudta csinalni, akkor ez egy akkora ordenare biztonsagi problema, hogy nem lehet szavakkal leirni.
Szerintem ő itt arra gondolt, hogy a tabon belül nyitogatsz tabokat, esetleg a tabról nyitsz tabokat amik megkapnak bizonyos paramétereket.
Igen! Koszi a pontositast. Ez lenne az elkepzeles.
Miért kellene ehhez biztonsági rés? https://vpnszerver/auth -on belépsz, majd https://vpnszerver/belsooldal_url -en kapod a távoli tartalmat. Illetve B verzió, hogy az eredeti tab-on belül kapsz beágyazva belső http(s) tartalmat, stb... Egyébként sehol nem írta, hogy új tabot nyit, de szerintem azzal is megoldható lenne (lásd az előbbit).
Mert ez így nem VPN :)
És egyébként tippre Apache alap gyári modulokkal (kb. mod_auth, mod_auth_form, mod_proxy és mod_proxy_html) össze lehetne rakni, de attól még nem lesz VPN, csak egy sima proxy :)
Szerk.: és egyébként a "Java-s szarnál" bukik ez a megoldás, mert a Java-s szar simán a böngészőn kívül fogja küldeni a requestjeit, ráadásul a mod_proxy_html nélkül nincsenek átírva a címek...
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Az eredeti kiirasban szerepel az "Egy web-es portalon belepes utan a bongeszoben csatlakozik a VPN szerverhez es amig az el, uj ablakban lehet nyitogatni belso cimen elerheto szerverek WEB es feluleteit." mondat. Ennek a megvalositasahoz (uj ablakban, belso cimet beirva) mindenkeppen biztonsagi res kihasznalasa szukseges. Az authentikacio utan elerhetove valo tartalomra mindent lehet mondani, csak azt nem, hogy VPN.
+ BlackY: bocsi, tök jogos, nagyon leragadtam a "csak biztonsági réssel lehetséges" állításon :)
Szia!
Juniper: https://www.google.com/search?q=juniper+sa2500
Barracuda: https://www.barracuda.com/products/sslvpn
F5: https://www.f5.com/services/resources/glossary/ssl-vpn
A leirasokbol, amik itt vannak, nekem nem derul ki, hogy ez barmilyen modon VPN lenne. Ez nekem inkabb tunik egy authentikaciora kepes, majd authentikacio utan siman proxykent mukodo megvalositasnak, amivel ezek utan el tudsz erni olyan protokollokat (pl. rdp, vnc, ssh), amelyekhez a hasznalt megoldas szallit javascriptes klienst. Ezzel a megoldassal nem fogod tudni atvinni a JAVA klienst hasznalo dolgokat (pl, az emlitett iLO). Ha tenyleg at kell vinni a Javas iLO-t, akkor csak olyan megoldast tudsz hasznalni, ami tenyleges szoftver telepitessel (es vagy konfiguralassal jar).
Hat ne mond mar... Benne van a neveben :)
>> Leiras <<
VPN Features
• Intranet web site forwarding
• Network file system browsing
• Single Sign-On
• SSL VPN agent for clientless deployment
• Network Connector: VPN client for IP connectivity
• Local Windows Explorer drive mapping
• Configurable SSL tunnels
• Multiple user logon realms
Nade, ez KULON klienst hasznalo klasszikus VPN, nem egy reverz proxy meg egy authentikacio moge rejtett megoldas, amit VPN-nek akarunk eladni. A bongeszoben mukodo megoldasod mas retegben mukodik, mint ez a barracudas megoldas.
Milyen Kliens?
"SSL VPN agent for clientless deployment"
De Ok! Nem az! :) En vagyok a vak es csak almodtam :) Es itt Feladtam! :D
Dehat, te irod, hogy VPN Connector, for IP Connectivity. Ha ilyet akarsz (marpedig fenn irod a Javat, akkor neked kell kliens). Ha csak a webet kell atvinni, mindenfele plugin/java webstart/stb nelkul, akkor jo a reverse proxys "VPN" is, amihez nem kell kliens, mert az minden, csak nem VPN. Valamilyen kliens nelkul nem leszel kepes tetszoleges, mas programbol kezdemenyezett kommunikacio atvitelere.
Guacamole-n keresztül belépsz a jumphostra, onnan pedig eléred az ILO-t.
subscribe
Szia,
Olvastam ezt a választ és utánnajártam.
Este fel is tettem az 1.0.0-es verzióját és szépen fut.
De be kell vallanom megilyesztett egy kicsit.
Mert igaz, hogy "csuda jó" de vajon mennyire biztonságos?
Merem én ezt publikus IPre tenni?
Van tapasztalatod ezen a téren?
Köszönöm,
Cs
https://zero.pritunl.com/ ?
szerk.: de amugy belegondolva, hogy mire kell neked, meg a SSL VPN-nel is egyszerubb megoldas, mi pont igy hasznaljuk: fogsz egy szervert, ami eleri az ipmi halozatot, es ssh-zni is tudsz ra, utana meg https://sshuttle.readthedocs.io/en/stable/
Megadod parameterbe a tartomanyt amit el akarsz erni a gepeden, a java-s IPMI appok is tokeletesen mennek vele.
Az otlet jo, csak valahogy web-en kellene az ILO elerest publikalni adott felhasznalo fele ugy, hogy masik gep ILO-jat ne nagyon erje el.
Ne kelljen SSH-val kapcsolodnia, mert bena es nem tudja mi az, nem tudja hasznalni a putty-t. :-)
Csak kattintani kelljen, hogy GEP ADMIN ELERES -> ITT <- es uj ablakban kapja az ILO-t vagy IPMI-t vagy IDRAC-ot. es az ablakban ha atbazbirigalja a cimet (mondjuk a programozo hajlamokkal rendelkezo kicsi fia), akkor ne kapja meg egy masik gep ILO-jat.
** Egyre inkabb kezdem azt erezni, hogy nem SSL VPN megoldas lesz, hanem valami "ugrodeszka" proxy gep **
Ertem mar. A doclernetnel pont ilyen van, ha van ott ismerosod akkor lehet erdemes lehet futni veluk egy kort, hogy hogyan csinaljak.
Sajns nincs ismerosom.
De ha van valaki aki olvassa es ott dolgozik... :)
Szia!
Te mit értesz ILO alatt?
Az ILO web felületét vagy a KVM console-t? (Szerintem a KVM console-t)
A, verzió
Letöltöd a jar fájlt az adott gép ILO-ból, amit kiraksz egy VirtuálisGép-be (VM) parancsikonként.
Felhasználó belép a webes apache guacamole -n,majd belép a VM-be elindítja a parancsikont, indul a kvm console.
B, verzió
Oda adod neki a jar fájlt, VPN-el csatlakozik, saját gépén indítja a jar fájlt, indúl a kvm console.
Tűzfal szabályokkal mind a két verzióban, megoldható milyen ip/port-ra mehet, ha jól emlékszek a java KVM console 2db TCP portot használ, azt kell átengedni.
"Az ILO web felületét vagy a KVM console-t? (Szerintem a KVM console-t)" - Mind a kettot.
A felhasznalot nem szeretnem virtualis gepre ratenni, mert folosleges dolgokat/inrastrukturat kell kezelni, es feltelelezem hogy Full bena az illeto, aki meg a jelszavat is alig tudja megjegyezni.
Ha beengedem egy feluletre ahol ikon van, biztos hogy amit lehet megtalal, es elb@sz. Meg akkor is ha nem lehet... :) es akkor reklamal, hogy miert nem mukodik, vegy miert ilyen szar a megoldas.
ILO alatt egy szerver management feluletet ertem. Lehet iDRAC, iLO, IPMI, aminek hivni szeretnenk. De egy valamilyen ip cim, amint weben keresztul el lehet erni.
VPN azert nem jo, mert altalaban full benak es nem tudnak feltelepiteni egy open VPN-t, importalni cert-eket, stb... erted... Elb@sznak valami szokozt es mas lesz a cert, nem fog kapcsolodni, talald meg, hogy mi a baja, mit rontott el azert mert kimasolta a cert-et es word-be copyzott es minden sorra rakott veletlenul egy tab ot amikor atformalta a szoveget. Persze ez csak pelda. de pont ezeket akarom kiszurni ha lehet.
Szoval valami proxy megoldas lenne ?
Szia!
..., es feltelelezem hogy Full bena az illeto, aki meg a jelszavat is alig tudja megjegyezni.
Ilyen embereket ne engedj ILO/IPMI/iDRAC/.. közelébe, azt állít be, amit nem akar.
Jobban jársz ha marad a hagyományos email/telefon - elmondja mit akar, utána beállítod neki kézzel.
Egyet ertek, de a szabalyokat nem en irom.
Kell nekik elerest adni, aztan hogy ott mit mahinalnak az mar nem az en doglom.
Nekem csak annyi a feladatom, hogy amit en adok, ott ne tudjanak majd semmit szakerteni :)