Удаленное управлениями чайниками на Linux : Linux

Периодически ставлю людям Linux, когда им, наконец, надоедает возиться с вирусами и глюками винды. Забавно, проблемы исчезают в принципе, т.е. для серфинга и подобных мелочей вещь незаменимая.

Однако остаются проблемы вида "где у меня вход в почту" или "как пароль вводить", когда Gmail в очередной раз обрывает старые сессии.

Хочу удаленку, причем, большинство будет за NAT, сервер у меня. Нет, можно, конечно, поставить тимвьювер, но я им очень брезгую. Есть ли какие-то идеи, как можно зацепить клиентов за меня?

Первая идея была сделать OpenVPN, но, во-первых, не хочу их траффик через себя гонять, во-вторых, просто не хочу возиться.

Вторая мысль - через ssh обратно порт пробросить, но не очень хочу заводить хоть какого-то пользователя у себя, поскольку коннект от них ко мне будет.

Еще идеи есть?

про OpenVPN - зря отказываешься. если при подключении не прописывается новый дефолтный шлюз, то в инет они сами будут ходить, а не через тебя. зато уже сможешь на их комп хоть ssh хоть vnc. я как то так админил одну сетку у которой выход в инет был только через строгий прокси. так поднял OpenVPN на 443 порту по TCP на своем сервере и клиент через прокси всегда нормально соединялся.

Тут еще проблема в том, что я у себя еще одну настолько большую дырку ставить не хочу... И, как писал - возиться... Хотя, вроде на рутере был, можно туда... Но влом :) Оставлю на крайний случай, спасибо за мотивацию.

почему дырка? подключения настраиваешь по сертификатам, один клиент- один сертификат, поругался - отозвал сертификат. принимаешь подключения в отдельную подсеть. в настройках OpenVPN-сервера запрещаешь общаться клиентам между собой. ну и с помощью iptables настраиваешь правила для виртуального адаптера OpenVPN-сервера, на какой порт они могут постучаться после подключения(если надо наоборот от них к тебе по ssh например подключиться).
443 порт с TCP это еще и маскировка, говорят OpenVPN умеет делить https на пару с веб-сервером, вешаешь страничку заглушку "на реконструкции" и все.

а для параноиков еще можно засунуть OpenVPN-сервер в контейнер LXC. на него пробросить порт. запретить контейнеру выход куда либо, только прием подключений. даже если в OpenVPN сервере найдется уязвимость позволяющая получить доступ, то покинуть LXC контейнер и добраться до основной машины отдельная нетривиальная задача.

Дырка с той точки зрения, что при взломе (а это популярный сервис с большим количеством включенных библиотек, т.е. эксплоит может быть доступен многим) доступ будет на мою ключевую машину и в подсеть, да и ресурсов на этой машине не так много. Боязно, в общем :) Это и шлюз, поэтому правил iptables там уже страницы на две...

Шарить порт OpenVPN умеет, да, но просто выступая ретранслятором, что в условиях, когда я бьюсь за каждую миллисекунду отклика, достаточно неинтересно :) Но шаринг не проблема, открою порт какой-нибудь очень высокий, да и все...

Долго я писал :) LXC у меня не влезет на вебсервер, он достаточно скромный... Как уже говорил, попробую, наверное, пробросить на рутер, где подниму сервер.

Кстати, кто еще не пробовал (я не успел пока), есть фича - gitso, обратное подключение по VNC

для исходной задачи можно юзать Chrome Remote Desktop https://chrome.google.com/webstore/detail/chrome-remote-desktop/gbchcmhmhahfdphkhkmpfmihenigjmpp?hl=ru
если тимвивер не подошел