[ОТВЕТИТЬ]
Опции темы
04.10.2016 14:42  
OlegON
Периодически ставлю людям Linux, когда им, наконец, надоедает возиться с вирусами и глюками винды. Забавно, проблемы исчезают в принципе, т.е. для серфинга и подобных мелочей вещь незаменимая.

Однако остаются проблемы вида "где у меня вход в почту" или "как пароль вводить", когда Gmail в очередной раз обрывает старые сессии.

Хочу удаленку, причем, большинство будет за NAT, сервер у меня. Нет, можно, конечно, поставить тимвьювер, но я им очень брезгую. Есть ли какие-то идеи, как можно зацепить клиентов за меня?

Первая идея была сделать OpenVPN, но, во-первых, не хочу их траффик через себя гонять, во-вторых, просто не хочу возиться.

Вторая мысль - через ssh обратно порт пробросить, но не очень хочу заводить хоть какого-то пользователя у себя, поскольку коннект от них ко мне будет.

Еще идеи есть?
 
05.10.2016 12:07  
mamont
про OpenVPN - зря отказываешься. если при подключении не прописывается новый дефолтный шлюз, то в инет они сами будут ходить, а не через тебя. зато уже сможешь на их комп хоть ssh хоть vnc. я как то так админил одну сетку у которой выход в инет был только через строгий прокси. так поднял OpenVPN на 443 порту по TCP на своем сервере и клиент через прокси всегда нормально соединялся.
 
05.10.2016 12:13  
OlegON
Тут еще проблема в том, что я у себя еще одну настолько большую дырку ставить не хочу... И, как писал - возиться... Хотя, вроде на рутере был, можно туда... Но влом :) Оставлю на крайний случай, спасибо за мотивацию.
 
05.10.2016 12:27  
mamont
почему дырка? подключения настраиваешь по сертификатам, один клиент- один сертификат, поругался - отозвал сертификат. принимаешь подключения в отдельную подсеть. в настройках OpenVPN-сервера запрещаешь общаться клиентам между собой. ну и с помощью iptables настраиваешь правила для виртуального адаптера OpenVPN-сервера, на какой порт они могут постучаться после подключения(если надо наоборот от них к тебе по ssh например подключиться).
443 порт с TCP это еще и маскировка, говорят OpenVPN умеет делить https на пару с веб-сервером, вешаешь страничку заглушку "на реконструкции" и все.
 
05.10.2016 12:38  
mamont
а для параноиков еще можно засунуть OpenVPN-сервер в контейнер LXC. на него пробросить порт. запретить контейнеру выход куда либо, только прием подключений. даже если в OpenVPN сервере найдется уязвимость позволяющая получить доступ, то покинуть LXC контейнер и добраться до основной машины отдельная нетривиальная задача.

Последний раз редактировалось mamont; 05.10.2016 в 12:39. Причина: орфография
 
05.10.2016 12:49  
OlegON
Дырка с той точки зрения, что при взломе (а это популярный сервис с большим количеством включенных библиотек, т.е. эксплоит может быть доступен многим) доступ будет на мою ключевую машину и в подсеть, да и ресурсов на этой машине не так много. Боязно, в общем :) Это и шлюз, поэтому правил iptables там уже страницы на две...

Шарить порт OpenVPN умеет, да, но просто выступая ретранслятором, что в условиях, когда я бьюсь за каждую миллисекунду отклика, достаточно неинтересно :) Но шаринг не проблема, открою порт какой-нибудь очень высокий, да и все...

Долго я писал :) LXC у меня не влезет на вебсервер, он достаточно скромный... Как уже говорил, попробую, наверное, пробросить на рутер, где подниму сервер.
 
08.10.2016 21:03  
OlegON
Кстати, кто еще не пробовал (я не успел пока), есть фича - gitso, обратное подключение по VNC
 
11.11.2016 10:14  
EugeneT
для исходной задачи можно юзать Chrome Remote Desktop
если тимвивер не подошел
 
 
Опции темы



Часовой пояс GMT +3, время: 11:08.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.