Собственно, паранойя не знает пределов... Я попал под паранойю своего коллеги... Хочет следующее:
Имеется офис, в котором стоят голые моноблоки и модем. Соответственно нам нужно чтобы на самих офисных компах не было ничего, от слова совсем, кроме RDP клиента, который есть в любой Windows.
Где-то в определенном дата-центре в РФ стоит и вертится сервер терминалов, на который работники и подключаются.
Разумеется, подключаются они по IP, который принадлежит дата-центру, то есть IP палится, где сервер стоит - узнать не проблема.
Товарищ хочет реализовать следующее:
Арендовать сервер в Европе, который будет выполнять роль как-бы прокси или что-то вроде того для RDP сервера, который стоит в России. То есть я так понимаю, нам нужно как-то пробросить порты на сервере в Европе, чтобы подключаясь к нему, соединение RDP шло сразу в РФ.
То бишь таким образом мы спрячем реальный сервер.
Это вообще возможно? Как? 3proxy? ProxyMapper? Socks4/5 ???
P.S: В гугле нашелся сервис безопасного RDP, там предлагают арендовать такой сервис. Но арендовать мы не хочим, надо свое блин...
vpn до сервера в европе а на нем впн до сервера терминалов в рф. элементарно
чекисты будут видеть что в офисе компы подключаются на адрес 192.168.3.2 и на роутере что он подключается к серверу в европе и у него есть маршрут к 192.168.3.2 через этот сервер
что происходит на сервере в европе им не видно
hint000, ну, что делать. Мое дело солдатское. Можете раскрыть схему, очень любопытно, тем более что "защита" такого вида - это скорее для продвинутых юзеров, а не для шпионов))
Ты путаешь понятия. Прокси сервер - это кешируюший данные сервер, для того чтобы их потом быстрее отдавать. А тебе нужно тупо проброс портов и все (например 55555 на 3389) https://losst.ru/probros-portov-iptables-v-linux Для этого можно арендовать самый простой linux сервак. Но для пущей безопасности у данного узла не должны работать ping'и и как следствие не должна работать трассировка пакетов. p.s. Городить огород с vpn не вижу смысла - у rdp достаточно сильное шифрование, а если уж совсем захочется можно сделать tls с сертификатом ))
Andrey Duplitsky, ну пробросите вы порты в линуксовую машину, стоящую в Европе. И потом что? Как вы с линукса потом пробросите rdp трафик дальше? Нужен vpn, кидающий rdp трафик через европу на RDP сервер.
Andrey Lutsenko, Андрей какой VPN? Зачем???
Стоит задача - спрятать RDP. Так? То есть нам фактически нужно поменять ip адрес конечного сервера на любой другой. Для этого достаточно иметь сервак с пробросом порта по которому пойдет RDP трафик. Точка!
Единственный минус такого решения в том,что на конечном сервере в логах у всех подключающихся будет один и тот же ip адрес.
Andrey Duplitsky, Андрей, мне кажется есть некое недопонимание. Проброс порта - это когда вы стучитесь на порт 1234 роутера, а роутер кидает трафик данного порта на порт 9876 на другую машину. dst-nat извне на комп внутри сети. А вот пустить трафик извне через некий узел на другой комп так же где-то в другом месте - это vpn или прокси.
Мне так кажется :)
Этот вариант в голову пришел сразу же, но... Хотелось бы сделать по другому, ибо в перспективе у нас будет на один, а два терминальных сервера в РФ, соответственно на сервере в Европе надо сделать так:
IP_ЗА_БУГРОМ:6088 > проброс на > IP_RDP_СЕРВЕРА_#1_В_РФ:3389
IP_ЗА_БУГРОМ:6099 > проброс на > IP_RDP_СЕРВЕРА_#2_В_РФ:3389
Владимир Куц, Городить VPN для этой задачи совершенно излишне, он вообще не нужен и не решает никаких задач.
Зачем делать VPN и пробрасывать порты, если можно просто пробросить порты?
АртемЪ, цель - "Спрятать RDP сервер". Через VPN мы скрываем все сервисы сервера наружу. Кроме VPN, подключаясь по которому - получаем требуемое - и RDP и что угодно еще.
Чтобы просто пробросить порт - нужно светить открытым RDP портом на терминальном сервере наружу.
Как?
VPN это виртуальная частная сеть. Она ничего не скрывает.
Все неиспользуемые сервисы блокируются файерволом.
Используемый сервис - RDP прячем за другим сервером.
Чтобы просто пробросить порт - нужно светить открытым RDP портом на терминальном сервере наружу.
Разумеется.
Во первых без этого никак не обойтись.
Во вторых что в этом такого?
VPN совершенно излишнее нагромождение в данном случае.
Его вполне уместно применять когда нужно создать изолированную сеть, или шифровать трафик в сети например.
Как?
VPN это виртуальная частная сеть. Она ничего не скрывает
Странно что вам приходится это разжевывать:
Внешний интерфейс терминального сервера - на неком адресе x.x.x.x
Вешаем на этом терминальном сервере RDP-сервер слушать на адрес 10.0.1.1. Прокидываем VPNом доступ в сеть 10.0.1.0/24 снаружи с нашего сервера в Нидерландах.
Снаружи адрес 10.0.1.1 не виден - виден только x.x.x.x через который мы соединяемся с сервера в Нидерландах.
RDP-сервер спрятан внутри сервера на 10.0.1.1 и не виден снаружи как следует из заголовка вопроса.
Во первых без этого никак не обойтись
Легко - выше я все описал
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
