Скрыть IP адрес сервера от пользователей?

Question

[LuckyMan]

Итак есть офис в котором все клиенты работают с документами на Windows 2003 Server через RDP.

Сервер территориально находится в другом месте.

Каким образом организовать работу, чтобы выполнялось 2 условия:

1. Пользователи не могли определить IP адрес сервера

2. При переносе сервера (изменении его IP адреса) не было необходимости перенастраивать всех клиентов.

Подскажите в какую сторону копать, чтобы организовать данную систему.

Answer 1

[WikiLeaks]

Как вариант, вы можете установить перед сервером в другой стране поставить гейт.
Ну а сам скрытый сервер не пускать в интернет (т.е чтобы он был подключен только к гейту).
Далее делается VPN тоннель от гейта до клиентов.

В итоге клиенты будут видеть IP адрес гейта, а к целевому скрытому серверу они будут обращаться по локальному IP.

Comments

[LuckyMan]

не туда ниже написал:

А можно поподробнее?
клиент-vpn-шлюз-vpn-сервер? так насколько я понимаю?

[WikiLeaks]

Да, именно такая схема.
Т.е если оба VPN сервера будут выши, то клиент вообще не будет знать где находится даже гейт к скрытому серверу.

[LuckyMan]

«выши»?

[WikiLeaks]

Извиняюсь, ваши конечно. :)

[LuckyMan]

Может еще посоветуете на чем проще VPN развернеть для человека который не сильно дружит с Linux?

[WikiLeaks]

Проще всего развернуть с помощью наёмного сисадмина, услуга стоит не дорого. :)

Но по сути вам хватит простой схемы:
0 — Запретить коннекты от изолированного сервера к гейту.
1 — Поднять на изолированном сервере VPN.
2 — Пробросить порт VPN с изолированного сервера на гейт (о том как — написали ниже).
3 — Подключаться к VPN через гейт.
Т.е и VPN сервер (на изолированной машине) и клиент (то место куда будут потом коннектиться ваши клиенты) могут крутиться под Windows.
Но я бы просто заплатил админу, и попросил сделать все правильно, и перепроверить чтобы изолированный сервер никак-никак не мог получить доступ к интернету (что гарантирует его анонимность).

Answer 2

[tentakle]

DNS. WINS.

Comments

[LuckyMan]

ну насколько я понимаю при таком варианте nslookup и человек увидит реальный IP

[tentakle]

По-моему для того, кто знает, что есть nslookup и знает как этой командой пользоваться не проблема узнать IP и в других случаях.

Answer 3

[Lampus]

Поставить сервер за шлюзом, а на шлюзе тупо пробросить порт?
Мне кажется SNAT + DNAT вас спасут, если я вас правильно понял.

Comments

[Максим]

Даже проброс одного порат 3389 решит эту проблему

Answer 4

[inakrin]

Купите еще один сервер с тем ip который вы готовы показать пользователям и пробросьте порт с него так, чтобы 3306 порт на внешнем ip нового сервера пробрасывался на старый.
В случае переезда сервера просто смените настройки проброса.
В частности на вдс с Linux c помощью ssh это делается таким образом:
ssh -L внешний_ип_вдс:3306: ип_сервера_с_рдп:3306 127.0.0.1

Answer 5

[compressor64]

арендуйте любой дешевый VDS,
запустите на нём любой портмап, например tcppm из набора 3proxy,
запуск прост — в автозагрузку суём:
/tcppm -d -t 3389 адрес_настоящего_сервера_rdp 3389