Sziasztok!
Van egy belső hálózat, ahol van 1 ubuntu szerver, és több windowsos kliens gép realvnc-vel. Otthonról a felhasználók el is érik a gépüket vnc kliensel portátirányítással.
Ezt a kapcsolatot szeretném biztonságosabbá tenni mivel a naplózásból látom, hogy valaki kívülről próbálkozik az egyik géppel, és be akar jutni rá.
Én egy vpn-s kapcsolatra gondoltam. Aminek létrejöttével már rá tudjon kapcsolódni a vnc kliens a megfelelő szerverre. Ennek hiányában legyen elutasítva a kapcsolat.
A szerverre már feltettem az openvpn-t. Ami gondot okoz, hogy nem fix ipről csatlakoznak a kliensek. Olvastam, hogy ilyenkor érdemes MAC cím alapján szűrni a tűzfalban.
A kérdésem az lenne, hogy mennyire biztonságos, esetleg felesleges dolog ez a megoldás. Ha valakinek van más ötlete szívesen fogadom. Illetve, hogy milyen routolást kellene megadnom. A szerver a 10.0.0.10/10.8.0.1 ip címen van. A kliensek a 10.0.0.0 tartományban vannak a belső hálózaton.
- 1878 megtekintés
Hozzászólások
az openvpn kliensen kell adni ssl-es fileokat, es anelkul nem tud csatlakozni ra, ez nemjo?
- A hozzászóláshoz be kell jelentkezni
Esetleg sima PPTP VPN nem lenne jó ? LInux-on semmi pillanat alatt be tudod állítani a szerveren, és ha bentvagy már mehetsz bármelyik gép VNC-re...
Segítség: http://pigtail.net/nicholas/pptp/
- A hozzászóláshoz be kell jelentkezni
Nálunk is OpenVPN van, a MAC szűrést nem használom, csak username/password kell nekik.
VNC helyett a "Távoli Asztal" sokkal jobban használható.
- A hozzászóláshoz be kell jelentkezni
Maradnék az openvpn mellett. Belső hálózaton tökéletesen ment a kapcsolat előre legyártott kulcsokkal. A username/password mikor kell?
- A hozzászóláshoz be kell jelentkezni
A VPN kapcsolat kezdeményezésekor.
- A hozzászóláshoz be kell jelentkezni
Segítenétek a routolásban?
Szóval a szerverbe 2 hálókártya van(eth0=külső publikus fix ip, eth1=belső ip 10.0.0.0/255.255.255.0).
server config:
local xxxxx
port xxxx
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0. 255.255.255.0
ifconfig-poolpersist ipp.txt
push "route 10.0.0.0 255.255.255.0"
keepalive 10 120
compl-lzo
max-clients 10
persist-key
persist-tun
log /var/log/openvpn/openvpn.log
verb 3
client config:
client
remote xxxxx
port xxx
proto udp
ca c:\\Progra~1\\openvpn\\config\\ca.crt
cert c:\\Progra~1\\openvpn\\config\\clienthl.crt
key c:\\Progra~1\\openvpn\\config\\clienthl.key
dev tun
comp-lzo
verb 3
mute 10
ns-cert-type server
persist-key
persist-tun
Hogyan állítsam be a szervert, hogy a felhasználó kívülről elindítja a vpn kapcsolatot, utánna a vnc kliensel meg tudja nézni a belső hálózaton(10.0.0.0) lévő vnc gépet?
- A hozzászóláshoz be kell jelentkezni
ssh? minden port tiltva, juzer beeseshazik, oszt ssh+tunnel. linuxos vnc kliensek out-of-the-box tudjak ezt (-via szerver), es asszem az ujabb putty-okban is par klikk, es be van allitva (masoknak tanacsoltam igy vakon, win hianyaban, es elegedettek voltak az eredmennyel). vpn szerintem agyu egy ilyen problemara.
- A hozzászóláshoz be kell jelentkezni
+1
működik jól.
- A hozzászóláshoz be kell jelentkezni
MAC szűrés felejtős szerintem, ha NAT mögül próbálkoznak (otthoni wifi router) akkor már szopó.
Én is valami titkosítást javaslok, a fentebb említett openvpn, ssh, vagy még egy tipp: az stunnel, ami konkrétan SSL tunnel-t épít ki, van neki windows-os kliense is, stb.
A próbálkozókra pedig fail2ban
- A hozzászóláshoz be kell jelentkezni
Bocs a késői válaszért!
Megnézem az stunnelt.
- A hozzászóláshoz be kell jelentkezni