Спрятать RDP сервер... а как?

Собственно, паранойя не знает пределов... Я попал под паранойю своего коллеги... Хочет следующее:

Имеется офис, в котором стоят голые моноблоки и модем. Соответственно нам нужно чтобы на самих офисных компах не было ничего, от слова совсем, кроме RDP клиента, который есть в любой Windows.

Где-то в определенном дата-центре в РФ стоит и вертится сервер терминалов, на который работники и подключаются.

Разумеется, подключаются они по IP, который принадлежит дата-центру, то есть IP палится, где сервер стоит - узнать не проблема.

Товарищ хочет реализовать следующее:
Арендовать сервер в Европе, который будет выполнять роль как-бы прокси или что-то вроде того для RDP сервера, который стоит в России. То есть я так понимаю, нам нужно как-то пробросить порты на сервере в Европе, чтобы подключаясь к нему, соединение RDP шло сразу в РФ.

То бишь таким образом мы спрячем реальный сервер.

Это вообще возможно? Как? 3proxy? ProxyMapper? Socks4/5 ???

P.S: В гугле нашелся сервис безопасного RDP, там предлагают арендовать такой сервис. Но арендовать мы не хочим, надо свое блин...
  • Вопрос задан
  • 10970 просмотров
Решения вопроса 4
@dronmaxman
VoIP Administrator
Что тут сложного? Достаточно 2х правил в iptables. Минус конечно есть - не будет видно IP клиента, на терминальном сервере все будут сидеть с IP VPS сервера (WAN_IP).

RDP_IP='192.43.76.78'
WAN_IP='54.23.45.43'
WAN_INTERFACE=ens33
SRC_PORT_FORWARD=3389
DST_PORT_FORWARD=3389
echo 1 > /proc/sys/net/ipv4/ip_forward
sudo iptables -t nat -A PREROUTING -i $WAN_INTERFACE -p tcp  --dport $SRC_PORT_FORWARD -j DNAT --to-destination $RDP_IP
sudo iptables -t nat -A POSTROUTING -d $RDP_IP -p tcp  --dport $DST_PORT_FORWARD -j SNAT --to-source $WAN_IP
Ответ написан
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Да, это возможно, и делается очень просто.
Арендуете промежуточный сервер, настраиваете на нем проброс портов на сервер терминалов и все.
В общем VDS за 200-300рублей в месяц, и три строчки в iptables для проброса портов на нем. Делается за 15минут.
Никаких прокси, VPN, и прочего городить не нужно совсем в данной ситуации.

Но я крайне не рекомендую арендовать сервер далеко ибо задержки приличные, работать неудобно. Арендуйте в том же регионе где сервер терминалов.
Ответ написан
hugeous
@hugeous
Системный администратор
Ещё один вариант решения для грязных извращенцев может выглядеть так:
Арендуете "секретный" сервер
На нем поднимаете впн сервер
С терминальника в РФ цепляетесь к впн на "секретном" сервере
С рабочих мест также цепляетесь к впн на "секретном" сервере
К терминалке ходите по впн
Схема:
Терминалка в РФ >> впн на "секретном" сервере
Рабочее место >> впн на "секретном" сервере
Рабочее место >> впн >> Терминалка в РФ
Профит, входящие порты на терминалке в РФ закрыты напрочь, "секретный" сервер светит в мир только порт для впн.
З.Ы.
Данную схему можно упростить не используя клиентские впн подключения с рабочих мест:
На "секретном" сервере, пробросив входящий порт, сразу на интерфейс впн и подцепленный с терминалки IP адрес.
В данном случае, схема получается примерно такой:
Терминалка в РФ >> впн на "секретном" сервере
Рабочее место >> {любой_порт} на "секретном" сервере >> проброс порта к IP:3389 прицепленной по впн Терминалки в РФ >> Терминалка в РФ
Ответ написан
@domres Автор вопроса
Друзья спасибо всем за советы и мнения! Очень рад что тема нашла отклик. Надеюсь все написанное пригодится не только мне.

Самостоятельно пришел к следующему решению:

Решил не возиться пока с Linux ввиду недостатка опыта работы с оным, а взял в Финляндии виртуалку с Windows Server 2016 за 3$ в мес. На арендованном забугорном сервере поднята SoftEther VPN Server с SecureNAT. Виртуальная машина с сервером терминалов, расположенная в РФ коннектится через L2TP VPN к этому серверу. А юзеры терминалов коннетятся к нему же таким же образом через L2TP VPN.

Получилась схема: Клиент RDP через VPN -> Сервер в Финляндии (SoftEtherVPN Server) > VPN до сервера в РФ.

Приятно порадовала скорость подключения, лагов нет, качество согласно индикатору RDP 8.1 хорошее.

Более того, покуда в свойствах VPN подключения российского сервера ставим галочку шлюза удаленной сети, удалось дать пользователям RDP сервера доступ в сеть через тот же Финский сервак. Тепеперь у наших RDP юзеров в офисе на сервере терминалов есть еще и интернет, который так же анонимизирован насколько возможно (финский IP).

Всем спасибо!
Ответ написан
Пригласить эксперта
Ответы на вопрос 12
fox_12
@fox_12
Расставляю биты, управляю заряженными частицами
Пробрасываете VPN до своего сервера терминалов - и вперед...
Можно пробросить VPN на сервере в Европе до сервера терминалов, и наружу прокинуть RDP
Ответ написан
@Sukubus
Я уже лет 5 занимаюсь подобной работой для бухгалтерий и могу сказать, что у вы много чего делаете не так
1) сервер в РФ сразу идёт лесом, т.к. любой обэп или отдел к сможет легко нагнуть вашего хостера. Сервер должен находиться в Европе. Причем некоторые типа хэцнера тоже сотрудничают с нашими и просто могут закрыть вам доступ.
2) скорее всего ваш сервер сидит в интернете что называется голой опой(порт rdp открыт). И даже если вы измените порт рдп, то он все равно просканиваться ботами и у вас постоянно будет идти подбор паролей. В качестве временного решения можно получить на работе постоянный ip у провайдера и настроить фаерволл сервера на подключение по rdp с этого ip. Но это отменит возможность подключения с разных мест... Best practics - это использование варитуальных машин на сервере, которые будут сидеть за виртуальным роутером. Далее делается шифрованный туннель между роутером в вашем офисе и виртуальным роутером и подключаются люди по рдп уже внутри этого туннеля по серым ip-адресам. Я предпочитаю использовать оборудование mikrotik. Виртуалки также удобны тем, что их легко можно бэкапить, а также переносить на другие сервера в случае расширения.
Ответ написан
@MechanID
Админ хостинг провайдера
берете виртуалку, ставите haproxy, вам нужен режим tcp
Ответ написан
Sanes
@Sanes
Арендовать сервер в Европе, который будет выполнять роль как-бы прокси или что-то вроде того для RDP сервера, который стоит в России.

Больно не будет из-за задержек по сети?
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Сервер в Европе - промежуточный VPN сервер, к которому будет идти VPN из офиса (openvpn\wiregurd c каждого моноблока или общий VPN на выходе из офиса), от которого будет идти VPN к конечному серверу. Никакого NAT, только маршруты и в подключении RDP будет адрес сервера из серой подсети.
И да - будут подлагивания.
Ответ написан
eapeap
@eapeap
Сисадмин, Беларусь
Перед тем, как это мутить, нужно четко понимать, кто, что и для чего прячет, что вы или ваш товарищ с этого будете иметь и пр.
Учтите, с помощью термо-ректального дешифратора легко вскрываются все пароли, ищется и сервер в Европе, и Терминал в России, и даже находится убийца Кеннеди.
Ответ написан
@ChMikhail
Как вариант. Ограничить вход по ИП, поднять pritunl. Добавить его ИП в разрешенные, через pritunl делаем маршруты до rdp сервера.
На выходе можем контролировать пользователей vpn через веб интерфейс (если уволился удаляем и он не подключится больше). Доступ до сервера только через vpn шлюз, инет через обычный шлюз.

На сервер кроме как с подключеным vpn не попасть никак, так как стоит ограничение по ip, если есть ad то можно приобрести enterprise версию pritunl и сделать синхронизацию с ad. Не надо будет вручную пользователей создавать в pritunl.
Ответ написан
Комментировать
@turone
Я думаю что если параноить то по полной, точнее нужно обезопасить себя на всех участках соединения. Но и чтобы решение не слишком мудреное было и без глюков.
Предлагаю следующее:
на арендуемом сервере ставим mikrotik chr, или простой линух и port knocking там настраиваем по аналогии статьи про port knocking, далее пробрасываем там желательно нестандартный rdp порт на ip в вашем дата центре, а в сетевых настройках в дата центре указываем принимать соединения только с ip арендуемого сервера на выбранный нами порт и пробрасываем на наш RDP сервер.
конечная схема выглядит так:
Клиент из офиса стучится по port knocking на арендуемый сервер, ему открывается определенный порт для RDP, потом этот порт прокидывается на ваш сервер в дата центре, устанавливается соединение, клиент спокойно работает, а порт на арендуемом сервере закрывается (кроме установленных соединений).
Ответ написан
Комментировать
sashkets
@sashkets
Прекратил отвечать после 24.02.2022
если захотят - найдут и впн не поможет
логичнее всего соединятся по rdp на сервер физически находящийся в др стране
Ответ написан
@MadMarik
У Гугла можно взять бесплатный впс. На firstvds 55 руб мес, 1 ядро, 512 мб
Ответ написан
Комментировать
@HomeMan
Пошагово.
1. Любой vps в европе. Для теста бесплатные гугл или амазон.
2. Ставим любой линукс.
3. Ставим на него pritunl. Выбираем подсеть для впн. Важно: pritunl по умолчанию весь траффик от клиентов заворачивает в себя. Поэтому в pritunl меняем маску 0.0.0.0 на маску своей придуманной подсети. Разрешаем соединения между клиентами.
4. Делаем в притунле аккаунт для сервера. Прибиваем его IP гвоздями (например 10.0.10.250) Забираем конфиг .ovpn
5. На сервере ставим OpenVPN клиент как сервис. Заливаем конфиг. Правим сервис для запуска конфига по умолчанию.
6. Запускаем на сервере овпн. Проверяем, что и после перезагрузки овпн работает.
7. В притунле создаем клиентов и рассылаем им конфиги. И сообщаем, что рдп сервер теперь 10.0.10.250
Ну и как вишенка в датацентре где сервер запрещаем все входящие. Ну почти все.
Просто задача, как конь в вакуме.
Ответ написан
Комментировать
@SubZero77
IT PRO
После настройки проброса портов на промежуточном серваке крайне рекомендую поставить на rdp сервер прогу ipban. Этим вы избавите себя от брут-форс атак (перебор логинов-паролей), коих, уж поверьте мне, будет очень много (но это работает только для серверов начиная с 2012).
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы