Взять кинетик, настроить sstp через их облако (не нужен публичный адрес, не говоря про динамический), просто и относительно безопасно.
Альтернативно универсальный вариант - со своей виртуалкой где-нить в аренде, туннель до неё из дома и с планшета/ноутбука.
А ваш вариант подойдёт в редких случаях когда имеем публичный адрес на оьорудовании, но и да, есть варианты более простые, без велосипеда. Но с открытым рдп наружу как минимум используйте fail2ban решения и нестандартный порт (всё равно будут брутфорсить и проверять на уязвимости:) ). Не лишним будет подумать про MFA на rdp. Но и потом усё равно перейти на впн:)
Решения типа шарли реализуют mitm - при включении “проксирования ssl” переподписывают ответы своим сертом. Поэтому собственно корневой серт и ставится у ТС.
на полноразмерных bose (35) я заменил амбюшуры только с полгода назад, отож доволен качеством. не, соньки хороший выбор - но когда я выбирал они чуть проигрывали по звуку и шумодаву (для моих ушей, это индивидуально, последние не слушал) + не было мультипоинта + управление тачем. кстати в босе мультипоинт в целом чотенько работает, накладки есть - но очень редкие.
там силикон на обруче увеличивается в размере и слезает (ну, у меня). думаю на тему клеевого пистолета\термоусадки\ещё чего, потому что вменяемой альтернативы пока не подобрал:( яблочные tws неплохи, но всё ж вываливаются + нет мультипоинта
Оно очень индивидуально, но лично мне больше зашёл шумодав bose (пользуюсь qc35 лет наверное 4-5). Звук мне тоже больше нравится чем у сонек + механическое управление.
Всё хуже летом - в полноразмерах жарковато. Пока bose qc30 пользую, но потихоньку разлагается:) tws не особо заходит.
И да, попользовавшись ушами с хорошим, годным шумодавом понимаешь уровень звукового загрязнения в городе, и всё-таки (хоть и громковато звучит) уровень жизни меняется с хорошими ушами.
openconnect server практикую. это по сути реверс эниконнекта цисковского, только опенсорсного (они между собой совместимы). на комп ток клиента поставить и урл вбить, а дальше конфиг тянется с сервака, пушить маршрутыи прочий сплит туннеленг умеет, клиент мне цисковский больше нравится.
Мне кажется realmd ощутимо проще (он делает всё вот это вот), да и можно работать автономно без доступа к кд разок залогинившись. Буквально realm join domain.com и всё, остаётся по вкусу разрешить ssh/sudo ну и накидать немношк в sssd.conf как будет выглядеть логин и создаваться домашние папки
Девайсина прикольная (емнип только usb там не скоростные, под капотом линукс-сервер). Мне вот глянулось софтовое решение, usb virtual here, недорого и вкусно.
А вот процессы - капец, как уже отметили выше. Токен - это решения для мультифакторки, который символизирует фактор обладания. Подобными решениями этот фактор убивается. Не говоря про риски - потому что да, это прям должно отпечататься в голове, в том числе у бизнеса и бэкофиса, что токены с эцп, особенно с каким-нить УКЭП - это тоже самое, что синяя печать и реальная подпись. И по-хорошему токен должен быть личный, у каждого кому нужно право подписи. Если копеечки жалко всем по токену - то хотя бы в сейф под наблюдение, ну и удалённому буху все ж выдать (и обмазать СЗИ).
Были случаи, когда эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится, или делали общий комп с постоянно воткнутыми токенами.. компы троянились, платёжки подписывались, бабки улетали.
меньше стало, но вероятно в пределах погрешности (знаю несколько контор, что переехало на "альтернативно-лицензированную" или "вечнотриальную" жиру не в связи с уходом из России и санкциями). но есть и такие, которые "ну ладно, придёццо плотить, што делоть", так что денежки они себе тоже подняли.
..на самом деле, в случае атласа больше абыдно за небольшие конторы, которым нужна онпрем версия. капитализм капитализмом, но на тридцать человек не охота брать конфлю на 500 рыл.
жира-сервер всё. для онпрем - датасентер, от 500 пользователей, за скромные 42 килобакса по подписке [что кстати дешевле решения представленного в статье].
возвращается.. а ему не рады. например, я трижды подумаю если циска вернётся - рассматривать ли её решения (требующие смарт-лицензий, да и вообще) при проектировании архитектуры.
спорное. атлассиан вот похоронили лайфтаймы и словили мешок ненависти :) другой отечественный вендор, что прочно стоит на рынке импортозамещения наоборот, планирует убрать подписочную модель (не пользуется спросом), оставив лайфтайм + саппорт\обновы. в тоже время менеджеры многие любят опекс вместо капекса. ну или любили, до тех пор, когда опексное не превратилось в тыкву. в любом случае лучше когда есть выбор ;)
Прикольное, удачи вам в начинаниях. жаль прайс пока выглядит довольно кусачим.. и после финта ушами атлассиана очень хочется видеть лайфтайм-лицензию, с платным саппортом\обновлениями по вкусу
Взять кинетик, настроить sstp через их облако (не нужен публичный адрес, не говоря про динамический), просто и относительно безопасно.
Альтернативно универсальный вариант - со своей виртуалкой где-нить в аренде, туннель до неё из дома и с планшета/ноутбука.
А ваш вариант подойдёт в редких случаях когда имеем публичный адрес на оьорудовании, но и да, есть варианты более простые, без велосипеда. Но с открытым рдп наружу как минимум используйте fail2ban решения и нестандартный порт (всё равно будут брутфорсить и проверять на уязвимости:) ). Не лишним будет подумать про MFA на rdp. Но и потом усё равно перейти на впн:)
Решения типа шарли реализуют mitm - при включении “проксирования ssl” переподписывают ответы своим сертом. Поэтому собственно корневой серт и ставится у ТС.
Tcpdump такого не умеет.
Не очень удобно ковырять ssl с tcpdump-ом в отличие от решений упомянутых ТС, особенно не имея приватного ключа сервера..
Syspass, для ценителей - teampass, пара плагинов к nextcloud… чистый опенсорц, без бесплатных версий на 5 человек и без ldap:)
ну тарифы же не повышали :D
на полноразмерных bose (35) я заменил амбюшуры только с полгода назад, отож доволен качеством. не, соньки хороший выбор - но когда я выбирал они чуть проигрывали по звуку и шумодаву (для моих ушей, это индивидуально, последние не слушал) + не было мультипоинта + управление тачем. кстати в босе мультипоинт в целом чотенько работает, накладки есть - но очень редкие.
а что есть дешевые? хуавеевские freelace pro или как-то так были неплохи (но не босе, не босе..)
там силикон на обруче увеличивается в размере и слезает (ну, у меня). думаю на тему клеевого пистолета\термоусадки\ещё чего, потому что вменяемой альтернативы пока не подобрал:( яблочные tws неплохи, но всё ж вываливаются + нет мультипоинта
Оно очень индивидуально, но лично мне больше зашёл шумодав bose (пользуюсь qc35 лет наверное 4-5). Звук мне тоже больше нравится чем у сонек + механическое управление.
Всё хуже летом - в полноразмерах жарковато. Пока bose qc30 пользую, но потихоньку разлагается:) tws не особо заходит.
И да, попользовавшись ушами с хорошим, годным шумодавом понимаешь уровень звукового загрязнения в городе, и всё-таки (хоть и громковато звучит) уровень жизни меняется с хорошими ушами.
openconnect server практикую. это по сути реверс эниконнекта цисковского, только опенсорсного (они между собой совместимы). на комп ток клиента поставить и урл вбить, а дальше конфиг тянется с сервака, пушить маршрутыи прочий сплит туннеленг умеет, клиент мне цисковский больше нравится.
ага. есть каталожек веб-аппов, но есть и такое https://iapps.ir (мне кажется что это через мдм и какбе корп ПО работает)
в Иране по сути есть так сказать сторонний магазин:)
Мне кажется realmd ощутимо проще (он делает всё вот это вот), да и можно работать автономно без доступа к кд разок залогинившись. Буквально realm join domain.com и всё, остаётся по вкусу разрешить ssh/sudo ну и накидать немношк в sssd.conf как будет выглядеть логин и создаваться домашние папки
Девайсина прикольная (емнип только usb там не скоростные, под капотом линукс-сервер). Мне вот глянулось софтовое решение, usb virtual here, недорого и вкусно.
А вот процессы - капец, как уже отметили выше. Токен - это решения для мультифакторки, который символизирует фактор обладания. Подобными решениями этот фактор убивается. Не говоря про риски - потому что да, это прям должно отпечататься в голове, в том числе у бизнеса и бэкофиса, что токены с эцп, особенно с каким-нить УКЭП - это тоже самое, что синяя печать и реальная подпись. И по-хорошему токен должен быть личный, у каждого кому нужно право подписи. Если копеечки жалко всем по токену - то хотя бы в сейф под наблюдение, ну и удалённому буху все ж выдать (и обмазать СЗИ).
Были случаи, когда эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится, или делали общий комп с постоянно воткнутыми токенами.. компы троянились, платёжки подписывались, бабки улетали.
меньше стало, но вероятно в пределах погрешности (знаю несколько контор, что переехало на "альтернативно-лицензированную" или "вечнотриальную" жиру не в связи с уходом из России и санкциями). но есть и такие, которые "ну ладно, придёццо плотить, што делоть", так что денежки они себе тоже подняли.
..на самом деле, в случае атласа больше абыдно за небольшие конторы, которым нужна онпрем версия. капитализм капитализмом, но на тридцать человек не охота брать конфлю на 500 рыл.
жира-сервер всё. для онпрем - датасентер, от 500 пользователей, за скромные 42 килобакса по подписке [что кстати дешевле решения представленного в статье].
возвращается.. а ему не рады. например, я трижды подумаю если циска вернётся - рассматривать ли её решения (требующие смарт-лицензий, да и вообще) при проектировании архитектуры.
стильно, олдскульно:)) зачем менять опенсорс на иглу от вендора? полушутка, конечно. и да, олдскулы мне свело в болевом спазме:)
спорное. атлассиан вот похоронили лайфтаймы и словили мешок ненависти :) другой отечественный вендор, что прочно стоит на рынке импортозамещения наоборот, планирует убрать подписочную модель (не пользуется спросом), оставив лайфтайм + саппорт\обновы. в тоже время менеджеры многие любят опекс вместо капекса. ну или любили, до тех пор, когда опексное не превратилось в тыкву. в любом случае лучше когда есть выбор ;)
Прикольное, удачи вам в начинаниях. жаль прайс пока выглядит довольно кусачим.. и после финта ушами атлассиана очень хочется видеть лайфтайм-лицензию, с платным саппортом\обновлениями по вкусу