Как соединенить компьютеры по RDP через сервер?

Question

[Yaaaan]

Есть клиент №1, клиент №2 и сервер. Клиенты на Windows Prof. (7-10). OS сервера может быть любая. Что можно ЗАПУСТИТЬ без установки на клиентах (установка программ и смена OS запрещена правами от админа) и установить на сервере (здесь может быть любой VPS с любыми прогами и OS, сам настрою), чтобы через сервер клиентам соединяться между собой по протоколу RPD, через стандартную прогу винды "Подключение к удаленному рабочему столу", учитывая что все клиенты за маршрутизаторами (перенастроить роутеры и проч. тоже нельзя от админа) ? Ооооочень хочется работать из дома, а не сидеть в офисе до ночи, но на нашем предприятии легких путей не ищут. Т.к. IP клиентов может периодически меняться по DHCP, NAT и проч. и прямого подключения между ними нет, то предполагаю, что без сервера не обойтись. Один клиент в домене.

Comments

[SunTechnik]

Если на нужном рабочем месте уже включён удалённый рабочий стол, то достаточно ssh и туннелирования портов.

Если удалённый рабочий стол не включён, то остаётся anydesk итд. Но для подключения без локального подтверждения потребуется их установка, что противоречит условию.

Оцените риски: какие будут последствия, если о ваших действиях узнают. Не сделают ли козлом отпущения, на которого повесят взлом сети предприятия с утечкой коммерческой или хуже гостайны...

[aleks-th]

Убеди начальство и админа дать тебе удаленный доступ.
И все.
Админ все сделает за тебя .
И ничего делать будет не нужно.

[Ziptar]

Уволят, когда (не если, а когда) обнаружат.

[Максим Ярошевич]

Не стОит НАСТОЛЬКО подставляться. В описанной задаче просто гора нарушений безопасности, можно очень неплохо отгрести за такое.

В данной ситуации решение задачи находится в организационной сфере - служебная записка о необходимости и настройка админом всего нужного.

Все предлагаемые решения упрутся в одно условие - а почему рабочий комп не выключен с уходом сотрудника?

Answer 1

[Сергей Сахаров]

Выучи уже, что такое DHCP-резервирование. Это позволит иметь на клиентах постоянные IP - по сути статические. С сервера заходишь на клиент 1, с клиента 1 заходишь на клиент 2 и... Вот тебе "соединение без установки программ".
Неужто админ запретит DHCP-резервирование?

P.S. А вообще я предполагаю, что твоя проблема вовсе не техническая, а организационная. Кто тебя заставляет сидеть в офисе до ночи? Тебя к креслу приковали?

и прямого подключения между ними нет

Это как? У них разные сети и разные серверы DHCP?

А вообще странно, конечно. Внутри конторы жёсткие правила, на клиентах админских прав нет... но свои серверы в конторе поднимать можно.
------------------------
P.S. Если я правильно понял, ты хочешь поднять свой сервер ЗА пределами предприятия. Тогда самый простой вариант - сделать его сервером PPTP/L2TP. Клиенты уже встроены в Windows, главное перед уходом с работы включить VPN Тогда с сервера клиенты будут тебе доступны, пробросить до сервера туннель из дома и настроить маршрутизацию - тоже не проблема. Хотя админ при желании может просмотреть, какие соединения идут с предприятия - и куда. А за некоторые вещи ты и сам можешь загреметь за решётку. Не проще с начальством и админом порешать?

Comments

[Nikopol25]

Надо еще в брендмауре прописать доступ, а то не даст подключиться. Можно дома микрот поставить и поднять vpn. Как вариант в планировщике задач прописать подключение к впн.

Answer 2

[CityCat4]

Нихрена не понял, но такие проблемы обычно решаются служебной запиской о необходимости удаленной работы.

Answer 3

[Quqas]

ответ №1 никак - ибо не сможешь на нужном клиенте разрешить входящие rdp

ответ №2 оба клиента подключаются к серваку на котором разрешено shadow rdp. и пока подключение активно с кл1 может рулить кл2 и наеборот - но только в рамках этих сессий на серваке - но не самими клиентами

ответ№3 если "запрещена" установка прог то подключения на твой сервак не запрещены? опятьже установка понятие растяжимое и ammyy и прочие anydesk можно "просто запустить"

Answer 4

[TheAim]

Поднимаешь на сервере WireGuard, WG-Easy тебе в помощь

На клиентах ставишь WGTunnel
Выбираешь только .exe RDP

Можешь подключаться по внутреннему IP на сервере, они будут статикой. Через сайт можешь поменять когда захочешь

Готово, трафик идёт только у выбранных запускаемых файлов

Answer 5

[chifth]

Принеси на работу роутер на OpenWRT.
Настрой себе туннель из дому на роутер.
Ходи на рабочий ІР, как будто из офиса.

//Также можно отхватить звиздюлей от Начальника или Сисадмина. Но если подделать МАС адрес на роутере, и имя устройства, то возможно пронесёт.
Главное WiFi не раздавать.

Comments

[CityCat4]

Принеси на работу роутер на OpenWRT.
Настрой себе туннель из дому на роутер.

Каким образом он настроит NAT на конторском маршрутизаторе? Или "туннель" с воздуха, то есть мобильной связи? Тогда каким образом он избежит внимания админа, которое непременно возникнет при появлении в сети незнакомого устройства?

[chifth]

CityCat4, Имя роутера и МАС- ставим такое же, как у офисного ПК.
МАС адрес WiFi сети роутера меняем тоде. админ ничего не заметит. Ну, кроме того, что "ПК" постоянно онлайн :)

Поднимаем дома на белом IP (или на VPS) какой-нибудь туннель (Wireguard\OpenVРN), подключается из офтмного роутера как климент.
Настратваем маршрутизацию как хотим.
Ходим через туннель на рабочий ПК, хоть по RDP.

[CityCat4]

chifth,

админ ничего не заметит.

Наивное чукотское дитя...

C чего ты решил, что юзерский комп имеет прямой доступ в тырнет? Юзерский комп - имеет доступ только на корпоративное прокси. Все.

Хотя скорее всего будет вот так:

Опрос службы мониторинга... невозможно подключиться.
Попытка восстановить мониторинг... невозможно подключиться.
nmap - показывает что это роутер
"ага, это опять умники программимсты в сети шалят"
Идем ногами к рабочему месту, выясняем обстановку, читаем лекцию.
При малейшей попытке юзера буреть - вызываем его непосредственного начальника и читаем лекцию уже ему.
(дальше начальник уже сам обьясняет юзеру кто есть ху)

[chifth]

C чего ты решил, что юзерский комп имеет прямой доступ в тырнет?

В вопросе автора это не указано

Опрос службы мониторинга... невозможно подключиться.
Попытка восстановить мониторинг... невозможно подключиться.
nmap - показывает что это роутер
"ага, это опять умники программимсты в сети шалят"
Идем ногами к рабочему месту, выясняем обстановку, читаем лекцию.
При малейшей попытке юзера буреть - вызываем его непосредственного начальника и читаем лекцию уже ему.
(дальше начальник уже сам обьясняет юзеру кто есть ху)

Вы работаете там же где и автор вопроса? :)
Если там действительно все через прокси и с зондами мониторинга на юзерских ПК - вопросов нет, будет как вы и написали.
Но опять же, в вопросе это не указано.

При должной сноровке - можно и через прокси прокинуть нужный траффик. Главное иметь доступ внутрь помещения и свободный ethernet-порт.
Любая информация поступаемая от устройства - легко подделывается. в т.ч и ответ nmap.
Даже с включением-выключением можно решить проблему чтобы не светить ночью активное подключение.
Ну разве что мониторинг системы не подделать. Но можно же и с другой стороны подойти.
Тут всё зависит от условий и цели.

И вообще, зачем что-то друг другу доказывать, если автор скорее всего ЭТО использовать не будет.
А если и будет - значит он уже знает как оно всё работает и возможно у него будут более удачные идеи

[CityCat4]

chifth,

Вы работаете там же где и автор вопроса? :)

Нет, скорее всего - у нас нет проблем с удаленкой после того, как отработал испытательный срок можешь выбрать режим 2 дня в офисе + 3 дня дома, обращаещься к начальнику, он пишет мне служебку, я как правило согласовываю и выдаю комплект инструкций и всего остального.

Но опять же, в вопросе это не указано.

В вопросе сказано примерно так:

установка программ и смена OS запрещена правами от админа)

се клиенты за маршрутизаторами (перенастроить роутеры и проч. тоже нельзя от админа

на нашем предприятии

То есть это таки предприятие, у юзеров прав админа нет, сеть отделена маршрутизатором. Насчет прокси и мониторинга правда не сказано ничего - вполне может быть что их и нет.

При должной сноровке - можно и через прокси прокинуть нужный траффик.

Каким образом?

Главное иметь доступ внутрь помещения и свободный ethernet-порт.

Доступ есть, дальше что? Прав админа на рабочем компе нет :)

Любая информация поступаемая от устройства - легко подделывается. в т.ч и ответ nmap.

Теоретически - да. Практически - как? Прав админа на компе нет, учетка Администратор заблокирована политиками. Грузить hiren, разлочивать админа и менять ему пароль? По факту - потянет на полноценный инцидент безопасности со всякими там административными последствиями.

Но можно же и с другой стороны подойти.

С какой? Тут всего две стороны - локалка и внешняя сеть :)

Answer 6

[Dupych]

Тут уже было описано выше. Как сделано у меня.
1. Сервер к которому есть доступ из интернета та по RDP.
2. У всех доменных пользователей настроен профиль хранить Рабстол и Документы на Файловом сервере. Отсюда за какой пк пользователь не сел, то подгрузится его рабстол и доки. Удобно. Пользователь не привязан сильно к пк и не теряет доки когда пк сдох. Поэтому удобно пускать на сервер там подгрузится его раб стол и доки нет нужды держать пк включенным
3. По DHCP фиксируется аренда IP за ПК и Пк более не меняет IP. Это иногда нужно чтобы Бухи могли по VNC подключиться сисвоему раб пк в котором вставленые ключи и работать из дому.. RDP не имеет большого смысла тк Rutoken видит что это RDP и отказывается работать.
4. НО RDP на всех ПК включено доменной политикой и добавлена группа IT для доступа к ПК Ппо RDP.
Резюмируя.....
1..Админ фиксит в DHCP за вашим ПК IP. Адрес более менятся ге будет.
2. На маршрутизаторе деоает проброс порта.
Напоимер.
45.28.255.58:10080 до 192.168.1.56:3389
Те стучимся на внешний и порт. Попадаем на ваш ПК.
3. На вашем ПК Админ добавляет вашу учетку доменную иои локальную в группу ПОЛЬЗОВАТЕЛИ УДАЛЕННОГО РАБОЧЕГО СТОЛА
Все.

Comments

[chifth]

Ну так пробросом RDP от админа - так каждый может:)

А вот пробить "glory hole" внутрь закрытого контура, и не порвать свою - это другое :))

Answer 7

[GBR-613]

По тому, как Вы описываете (клиенты за разными раутерами, никакие настройки менять нельзя, устанавливать на компьютерах клиентов ничего тоже нельзя), то и сделать ничего нельзя.
Если хотя бы все клиенты за одним раутером и Вы можете там же завести сервер (или, хотя бы, по серверу за каждым раутером), тогда уже что-то сделать можно. Например, на каждом сервере и у Вас дома запускается VPN, чтобы Вы с серверами как бы в одном VPS оказались, к серверам подключаетесь по VNC, а уже с них к клиентским компьютерам по RDP. Но есть ещё проблема: это может работать так медленно, что Вы и сами будете не рады работе из дома.

Answer 8

[xol174]

меня, скорее всего, закидают помидорами, но я все же специально зарегался для ответа тебе) просто подними туннель ngrok на рабочем компе. и сможешь по выданному ngrok'ом адресу подключаться через rdp, даже без посредников в виде отдельного сервера, и без возни с ip, портами, роутерами и т.д. из минусов - туннель придётся переподнимать после каждой перезагрузки (либо прописать в автозагрузку, если есть возможность), и при этом будет меняться адрес ngrok'а (но его ты всегда сможешь увидеть в дашборде). вообще, не понимаю, чем тебе банальный anydesk не устраивает, его не надо устанавливать, с офиц сайта портабельная версия скачивается по умолчанию. скачал, настроил авторизацию по паролю - и кайфуй (ну или работай :D)

Answer 9

[zh_sanek]

Anydesk.

Answer 10

[Вальдемар Маяковцев]

IP клиентов может периодически меняться по DHCP

Серьезно? А доменное имя твоего офисного ПК тоже по DHCP меняется? Предельно странный вопрос. Я из дома устанавливаю сеанс VPN до корпоративной сети, на туннельный интерфейс получаю нужные маршруты и адреса офисных серверов DNS. После этого подключаюсь к любому ПК по полному доменному имени (FQDN), и знать ничего не хочу про их адреса IP. Если же работодатель не хочет, не считает необходимым организовывать удаленную работу из дома, значит у него на это есть причины. Какие-то странные, на уровне предубеждения о том, что работники удаленно хуже работают, но он имеет на них право, так как трудовой кодекс не обязывает работодателей предостпвлять возможность удаленной работы. Как и у тебя есть право выбора: работать как есть, добиваться принятия технических мер по организации удаленной работы, или найти работу с лучшими для тебя условиями. А если ты решишь мудрить с удаленным доступом без ведома работодателя, тебе пришьют неправомерное получение доступа в информационной системе. Вот же мамкин кулхацкер.