deliri5 янв в 17:42

Удалённый рабочний стол через ssh туннель

Простой

3 мин

21K

Windows * Linux * Системное администрирование *

Из песочницы

+16

Комментарии 26

igrblkv 5 янв в 18:17

Compare NetBird to other network security solutions

ZeroTier
Tailscale
OpenVPN
FirtiClient ZTNA
Twingate
SonicWall SSL VPN

zurapa 5 янв в 20:36

Краткость - сестра таланта?
Весь этот список к чему? Я правильно понял, что это альтернативы решения?
Если я понял, они точно в сегодняшних реалиях работают?
Сейчас блокируют всё и всё провайдеры, и порой, чтобы соорудить свой VPN обычных технологий не достаточно OpenVPN блокируют, L2TP/IPsec, блокируют, IPsec блокируют, Wireguard блокируют, SSTP блокируют, SSL блокируют. И вот иной раз только SSH остаётся открытым, потому что это база для хоть какого-то доступа к серверам VPS, и вот это может оказаться одним из самых простых банальных решений, которые в *nix системой одной строчкой устанавливается.
А эта статья полезна тем, что описывает, как на powershell это сделать в windows.

igrblkv 5 янв в 21:23

Краткость - сестра таланта?

А ссылку открыть?

Весь этот список к чему? Я правильно понял, что это альтернативы решения?

Это даже больше чем альтернативные решения, но для случая, описанного автором статьи и похожих - более чем.

Если я понял, они точно в сегодняшних реалиях работают?

Да, вполне.

Сейчас блокируют всё и всё провайдеры, и порой, чтобы соорудить свой VPN обычных технологий не достаточно

Это когда он у Вас зарубеж лезет.

А эта статья полезна тем, что описывает, как на powershell это сделать в windows.

Но лучше так делать в крайнем случае, когда остальные решения проверили и они не заработали.
Если есть паранойя - у первых трёх есть вариант самохостинга разной степени пердолинга.

enamchuk 6 янв в 11:34

Это когда он у Вас зарубеж лезет.

Наверное, вы ещё не сталкивались с "белыми списками", когда подключение доступно только к разрешённым ресурсам. В таком режиме недоступны ни ssh, ни стандартные VPN - "пинги" не ходят, порты закрыты.

igrblkv 6 янв в 11:40

Наверное, если будут настоящие "белые списки", то из списка:

OpenVPN блокируют, L2TP/IPsec, блокируют, IPsec блокируют, Wireguard блокируют, SSTP блокируют, SSL блокируют. И вот иной раз только SSH остаётся открытым, потому что это база для хоть какого-то доступа к серверам VPS

вообще ничего не поможет, только включение нужного ИП-адреса в "белый список".

Или у Вас какие-то другие "белые списки"?

CmpeJ1ok 8 янв в 06:55

А я смотрю вы батенька хотите научить зеленого юнца думать головой? Бессмысленно - он свято верит, что умнее вас

kujoro 7 янв в 18:18

ssh режут на нескольких килобайт, как пару килобайт использовать для rdp понятия не имею

navion 6 янв в 10:45

Только первые два и они могут не работать в РФ из-за блокировки WG или управляющих серверов. Плюс есть devtunnel, но там проброс через Европу по TCP и скорость почти как у AnyDesk.

igrblkv 6 янв в 11:42

У меня в РФ все три работают, но в одной точке есть рабочий IPv6.

EmmGold 5 янв в 21:27

рудеск )

min8 11 янв в 08:19

А он вообще как будто не сетях растдеска, айди у всех компов такой же как у раст. Но вообще самый убогий это рудеск. Виртуальную коавиатуру не передает, с масштабами проблема, если дисплей больше вашего то пробоема с перемешением. Будто его на хотят дорабатывать

garwall 6 янв в 06:51

А для Remmina это вообще штатная функциональность

Litemanager_remoteadmin 6 янв в 06:54

Не совсем понял, если Анидеск можно использовать то что мешает пользоваться им или его аналогом Litemanager , т.е. исходящие соединения все таки разрешены ?

Хорошо если внешнего доступа нет , кроме SSH тунель,тогда вы сделали что то вроде проброса порта через этот тунель?

Вообще спасибо больше за пост! с наступившим Вас!

deliri 7 янв в 19:57

Спасибо! Соорудить эту связь меня побудила именно нестабильная работа Anydesk, плюс риск, что очередному чиновник приспичит прикрыть доступ к Anydesk 'у

tarantula58910 6 янв в 08:35

Разрешить удалённое подключение к рабочему столу runas /user:userAdministrator "reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f"

перед этим этим я считаю необходимым перевешать любимый порт 3389/tcp на 127.0.0.1.

основание: безопастность, плохая репутация RDP, ssh туннель будет дотянут до целевого хоста так или иначе.

есть идеи как это сделать быстро, без ковыряний в потрохах реестра (оно там есть но место и настройки неочевидны и трудно вычисляемы) и по возможности без фаерволла ?

пока идей нет - используем VNC, он на 127.0.0.1 вешается легко.

NutsUnderline 6 янв в 12:55

Сдается мне что у службы ИБ которая перекрыла это все должны быть большие вопросы к автору этой статьи, он по сути явку с повинной оформил публично. И аргумент что это безопасно через ssh будет отягтяющим ...

tarantula58910 6 янв в 13:31

а точно перекрыто специально ? я и не заметил.
тогда стоило написать служебку "в связи с производственной необходимостью прошу предоставить безопасный удаленный доступ ... " и дать взятку в ИБ чтобы предоставили а не послали с ходу.

NutsUnderline 6 янв в 13:37

а точно перекрыто специально

да тут возможны варианты, включая что автору было лень писать служебную записку, но судя по некоторым материалам здесь - обычно это специально

KonstantinTokar 7 янв в 18:51

Если цель сделать связку remmina/linux - ssh/linux - rdp/windows, то проще всего использовать sshuttle.

deliri 7 янв в 20:12

Где же вы были месяц назад?! Только я недопонял: он весь трафик перенаправляет?

KonstantinTokar 7 янв в 20:54

Tcp, dns, и в первой опции в мане написано как указать порты

Abyss777 9 янв в 14:28

А можно просто сделать ssh -D и использовать нормальный RDP клиент (а не из винды) типа xfreerdp который умеет подключаться через socks5 прокси из коробки.

diksrv 12 янв в 14:11

Даже не знаю что это за работа такая, где нет контроля прав пользователей, доступа их в инет, и нормального VPN доступа. А если все настолько дико, почему просто не пробросить 3389 на улицу?

igrblkv 12 янв в 20:49

Ну, серьёзно, если кто-то носит короткую юбку...

нет контроля прав пользователей, доступа их в инет, и нормального VPN доступа

...это ещё не повод вешать ярлык "шлюха"!

просто не пробросить 3389 на улицу?

Фу таким быть!

tarantula58910 13 янв в 09:02

почему просто не пробросить 3389 на улицу?

вы будете смеяться, но есть один провайдер облачной 1С из топ-5, называть не буду чтобы не рекламировать бесплатно, он дает в т.ч. rdp-доступ 3389/tcp (и кажется 3389/udp) своим клиентам (на самом деле порты открыты всему Интернету, клиент имеет право подключиться откуда угодно) и ничего не боится.

либо там какое-то кастомное решение типа "балансировщик + нормализатор трафика + отсекатель ботов-безопастников" либо я не знаю.

DoctorCat92 13 янв в 11:33

Автор открыл для себя ssh форвардинг :). Поздравим его.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий