Sziasztok,
Adott egy windowsos gép ami a mikrotik által routolt helyi hálón található. Ide kellene megoldani remote desktop hozzáférést (windows RDP). Erre mit ajánlotok?
Arra gondolok első felindulásból, hogy mivel a helyi hálóra a mikrotik OpenVPN serverével lehet távolról hozzáférést megvalósítani, ennek segítségével lehetne csatlakozni a windows-os gép 3389-as portjára. Ez estben hogy lehet lekorlátozni, hogy az adott OpenVPN user csak egy adott gép portjához férjen hozzá, de semmi máshoz a helyi hálón? (Más, rendszergazda szintű openvpn userek az egész helyi hálót el akarják érni változatlanul..)
Esetleg valami teljesen más ötlet a probléma megoldására? Van esetleg a microsoftnak szolgáltatása, amivel biztonságosan (2FA) meg lehet oldani ezt a problémát (esetleg a remote desktop cél gép beregisztrál valamiféle MS szerverre és azon keresztül megy a remote desktop?)
Minden ötletet szívesen veszek, köszi!
- 373 megtekintés
Hozzászólások
Milyen a pontos típusa a router-nek?
- A hozzászóláshoz be kell jelentkezni
Egy Mikrotik routerboard (RB9xx, fejből most nincs meg), legujabb firmware-re frissitve. OpenVPN már be van üzemelve rajta, a kérdés, hogy lehet-e "per user" tűzfalszabályokkal lekorlátozni, hogy csak adott géphez férjen hozzá ez a felhasználó.
- A hozzászóláshoz be kell jelentkezni
Lehet. Amikor a kliens felcsatlakozik, akkor létrejön egy dinamikus ovpn server binding interface, amikor lecsatlakozik eltűnik, azaz dinamikus. Ha ugyanilyen néven felveszed kézzel az interface-t, akkor nem csinál dinamikusan interface-t csatlakozáskor, hanem ezt a kézzel létrehozottat használja.
A tűzfalon pedig erre a statikus interface-re definiálsz olyan szabályt amilyet csak szeretnél.
- A hozzászóláshoz be kell jelentkezni
Van esetleg a microsoftnak szolgáltatása, amivel biztonságosan (2FA) meg lehet oldani ezt a problémát (esetleg a remote desktop cél gép beregisztrál valamiféle MS szerverre és azon keresztül megy a remote desktop?)
Az Apache Guacamole elvileg tud 2FA-t (https://guacamole.apache.org/doc/gug/totp-auth.html), ha meg az RDP szerverre teszel egy puttyot, ami csinál egy reverse portforwardot, akkor bárhova teheted a guacot...
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
- A hozzászóláshoz be kell jelentkezni
Köszi!
Irodai munka + windows esetén mennyire használható ez a guacamole? Gondolok arra, hogy pl a hotkey-k excelben, böngészésnél, windows-gomb, stb.
- A hozzászóláshoz be kell jelentkezni
hogy lehet lekorlátozni, hogy az adott OpenVPN user csak egy adott gép portjához férjen hozzá, de semmi máshoz a helyi hálón?
Az adott VPN felhasználónak dedikált OpenVPN kliens IP címet adsz, és azt az IP címet csak a megfelelő cél felé engedélyezed a tűzfalon.
- A hozzászóláshoz be kell jelentkezni
Két kérdés:
1. Ez mennyire biztonságos abból a szempontból, hogy nem lehet valahogy kliens oldalon overrideolni valamiféle beállítással?
2. A konfigba ezt hogy állítom be? Létrehozok egy másik PPP profilet és az adott userhez azt állítom be?
- A hozzászóláshoz be kell jelentkezni
minden mas openvpn ipt is tiltasz. ha meg utkozes van akkor ugyis szakadozik mindenkinel (flappingol)
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
-
- A hozzászóláshoz be kell jelentkezni
10 userig a DUO securitynek van ingyenes 2FA megoldasa RDP-hez. Evek ota hasznalom nagyon jo cucc.
- A hozzászóláshoz be kell jelentkezni