Valentin Barbolin

Проблема стара как мир, но люди никак не могут найти решение...
https://habr.com/ru/articles/107267/
https://habr.com/ru/articles/117620/

В теории можно загрузиться с LiveCD или recovery mode, подмонтировать корень и поправить права.

mount -o remount, rw /dev/sda1 /media/root
chmod 755 /media/root

/dev/sda1 - это как пример диск с корнем, у тебя может быть другое имя

https://github.com/drakkan/sftpgo

Мега гибкая штука. У себя поднял в docker.

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

Посмотреть можно так
https://learn.microsoft.com/en-us/sysinternals/dow...

Мой пример.

[internal]
 same => _XXX.,Dial(SIP/${EXTEN},60,WwtTrU(sub-mixmonitor,${CALLERID(num)},${EXTEN},${UNIQUEID}))
 same => n,HangUp() 

[sub-mixmonitor]
exten => s,1,Noop(------------MixMonitor---------------)
; same => n,DumpChan()
; same => n,NoCDR()
 same => n,Noop(DIALEDPEERNUMBER ${DIALEDPEERNUMBER} )
 same => n,Set(FILE_UNIQUEID=${ARG3})
 same => n,Noop(UNIQUEID = ${FILE_UNIQUEID})
 same => n,GotoIf($[${DB_EXISTS(RECORD/${ARG1})}]?go-record)
 same => n,GotoIf($[${DB_EXISTS(RECORD/${ARG2})}]?go-record)
 same => n,Goto(end_sub)
 same => n(go-record),Set(WAV=/var/spool/asterisk/monitor/${FILE_UNIQUEID})
 same => n,Set(filedate=${STRFTIME(${EPOCH},,%Y%m%d_%H-%M-%S)})
 same => n,Set(foldername=${STRFTIME(${EPOCH},,%Y/%m)})
 same => n,Set(filename=${filedate}_${ARG1:-10}_${ARG2:-10}_${FILE_UNIQUEID})
 same => n,Set(MP3=/var/spool/asterisk/monitor/mp3/${foldername}/${filename})
 same => n,System(mkdir -p /var/spool/asterisk/monitor/mp3/${foldername})
 same => n,Set(monopt=nice -n 19 /usr/bin/lame -b 32  --silent "${WAV}.wav"  "${MP3}.mp3" && rm -rf "${WAV}.wav" && chmod o+r "${MP3}.mp3")
 same => n,Noop(${CDR(record)})
 same => n,Noop(CHANNEL ${CHANNEL(exten)})
 same => n,Set(CDR(realdst)=${ARG2});
 same => n,Set(CDR(record)=${FILE_UNIQUEID})
 same => n,Set(CDR(recordingfile)=${filename}.mp3)
 same => n,MixMonitor(${WAV}.wav,b,${monopt})
 same => n(end_sub),return

Судя по всему тебе вообще не нужен ip-kvm
а нужен что из
steam, moonlight, parsec

BertiK0_0, Для соблюдения доверия необходимо несколько придерживаться нескольких правил.
1) Должна быть валидна дата окончания сертификата, у ключа нет срока действия, только у сертификата.
2) Уровень шифрование не ниже SHA256
3) Длина ключа не меньше 2048 bits.
4) CN в сертификате должен совпадать с доменным именем, можно указать несколько CN (alternative name) в том числе IP.
5) Использовать необходимо 443 порт
6) В системе или браузере должен быть установлен рутовый сертификат, ключем которого был подписан сертификат сервера.

Сертификат устанавливается в систему кроме некоторорых исключений (firefox), все популярые ОС имеют встроенный инструмент для установки сертификата (double click). Скрок действия сертификат может быть 10 и 30 лет, не критично, но некоторым браузерм не нравятся сертификаты со сроком жизни более 2х лет.
Не стоит сразу поднимать подключение с сертификатом. Пусть пользователь после установки ПО зайдет на 80 порт, и укажет необхимые параметры сертификата (доменное имя и срок службы), скачает рутовый сертификат и после этого сервер активирует редирект на 443 порт.

В некоторых организациях есть свой центр сертификации, можно запросить сертификат у них, ПК в домене будут автоматически подтягивать сертификат рута с сервера сертификации и доверять твоему серверу. Соответственно так же стоит предусмотреть механизм импорта стороннего сертификата на твой сервер.

Посмотри как это делают другие, например PfSence, Fortigate, они из коротби тоже идут с самоподписанными сертификатами и предлагают скачать и установить свой рут.

curl_setopt( $ch, CURLOPT_SSLCERT, 'https://interotkos.ru/admin/SSL/certificate_fbb854...' );

Following store locations are supported: CurrentUser, LocalMachine, CurrentService, Services, CurrentUserGroupPolicy, LocalMachineGroupPolicy, LocalMachineEnterprise.

certificate_fbb85415-7416-4a5d-aa54-93321dc2306d.p12

Schannel also support P12 certificate file, with the string P12 specified with CURLOPT_SSLCERTTYPE.

https://curl.se/libcurl/c/CURLOPT_SSLCERT.html

sudo ip tuntap add tap0 mode tap
sudo ip link set tap0 up
sudo ip addr add 192.168.2.2/24 dev tap0
sudo ip route add default via 192.168.2.1

/etc/systemd/network/10-tap0.netdev

[NetDev]
Name=tap0
Kind=tap

/etc/systemd/network/20-tap0.network

[Match]
Name=tap0

[Network]
Address=192.168.2.2/24
Gateway=192.168.2.1
DNS=8.8.8.8
DNS=8.8.4.4

cmd

net use \\192.168.1.105\Learn /delete

klist purge

Настраиваеш групповую политику, четко определяеш список Exe которые можно запускать, все остальное в лес.

По доступу, блокировка через DNS оптимальный выбор. Можно поставить какой нибудь PiHole или AdGuard DNS и через них банить все запросы на левые сайты.

Остает еще дыра с DOH для самых продвинутых, но адреса DOH известны и их можно заблокировать на Firewall.