Народ, а накидайте мыслей как чтото соорудить. Суть минимально ограничить доступ к "серверу". Переучить с РДП на что-то другое - забудьте, все "а нам так не удобно", "а мы так не будем", "а мы не хотим". Звиздец полный. При этом лазят откуда угодно - с левых офисов через шаровой инет, через мобилки и т.п. Принято решение ограничить доступ только с известных статических адресов. В приказном порядке. Это на уровне провайдера, практически бесплатно. Да, главное - денег на это нет, делай как хочеш.
Ладно все-бы ничего. Но как всегда нашлась одна "особенная" которая ничего не знаю, у меня на даче интернета нет, я через телефон толоько умею. И так далее. Я с ней бороться уже устал, мне проще уволиться. Со временем наверное так и сделаю. Но вопрос не об этом. Вторая за границей и там статика жалуется что дорого, но ей 3-4 раза в месяц надо всего зайти.
1. говорят что есть на мобильном инете тоже статика. Или это про "домашний" интернет тема? 2. развернуть "терминальный сервер" на каком-то удаленном компе "в облаке" (типа ПКшка в кладовке где-то) на котором навернуть авторизацию и прокинуть уже с него типа шифрованого канала до реальной машины.
В общем сделать что-то забесплатно жтим двум креветкам, что-бы с их точек доступа нельзя было отследить конечную точку. Я понимаю что это полная муть и хрень собачья. Но денег на железо и софт не дадут, старенький "псевдосервак" у меня есть. Какую-то ось на него накатить не вопрос. Вопрос какую? Я виндовозник. Железо зеон в 775 сокете, 16 мозгов, ссдшка вроде мелкая типа на 128.
а якийсь ОпенВПН підняти не варіант? в нього не складно логінитися. Бо РДП наружу це в цілому хрінова практика. Підключились до ВПН, і тоді вже пішли на РДП.
а якийсь ОпенВПН підняти не варіант? в нього не складно логінитися. Бо РДП наружу це в цілому хрінова практика. Підключились до ВПН, і тоді вже пішли на РДП.
Может и вариант, я просто такого не робив, тому послухаю спочатку думки. Головна біда що ці обидві - бугалтерши. А я тупий Ім іноді треба заходити одночасно. То ось якусь серверну накручувати чи як? Статичний ІП та гігабіт в мене вдома є. Я-б навіть щось з двофакторкою замутив. на всяк випадок.
Як альтернативу rdp, я б наприклад, Anydesk спробував. За багато рокiв користування нарiкань нема, i вiд статики не залежить.
Як альтернативу rdp, я б наприклад, Anydesk спробував. За багато рокiв користування нарiкань нема, i вiд статики не залежить.
Згоден, яле не для всього він годиться, особливо коли юзер тупіший за мене І суть в тому щоб не давати ім з будь чого прямий доступ, бо я ловив вже на входах з лівих компів навіть. А проміжний сервер буде під постійним наглядом.
Я с ней бороться уже устал, мне проще уволиться. Со временем наверное так и сделаю.
Роботодавець сильно ризикує поки це не станеться. Бо...
Может и вариант, я просто такого не робив, тому послухаю спочатку думки. Головна біда що ці обидві - бугалтерши. А я тупий
... адмін, який не вміє в vpn - це скоріш рівень бугалтерши. Повна дискваліфікація.
Твої авторитетні думки мене не бентежать
*** Ви занесли цього користувача в ігнор ***
ну простіше всього якусь убунту, на неї серверну частину, а клієнт вже на вінді випускаєш для них профілі(сертифікати) і вони потім з ними конектяться.
там може вже десь застарілий гайд, але загальний напрямок зрозумілий.
Як альтернативу rdp, я б наприклад, Anydesk спробував. За багато рокiв користування нарiкань нема, i вiд статики не залежить.
Згоден, яле не для всього він годиться, особливо коли юзер тупіший за мене І суть в тому щоб не давати ім з будь чого прямий доступ, бо я ловив вже на входах з лівих компів навіть. А проміжний сервер буде під постійним наглядом.
Так вище писали що краще vpn зробити, щоб пiдключатись до роутера(якщо дозволить), за яким сервер, а потiм вже по ip енiдеском, rdp чи чимось iще. I серверна вiсь не потрiбна, можна термiнальнi сервicи патчити задля одночасного доступу.
ось тут гайд з посиланнями на ОпенВПН сервер під Вінду.
там може вже десь застарілий гайд, але загальний напрямок зрозумілий.
не получится что-то проще буду что-то думать с єтим. Хотя смотря сколько начальство за єти танці готово накинуть
Як альтернативу rdp, я б наприклад, Anydesk спробував. За багато рокiв користування нарiкань нема, i вiд статики не залежить.
Згоден, яле не для всього він годиться, особливо коли юзер тупіший за мене І суть в тому щоб не давати ім з будь чого прямий доступ, бо я ловив вже на входах з лівих компів навіть. А проміжний сервер буде під постійним наглядом.
Так вище писали що краще vpn зробити, щоб пiдключатись до роутера(якщо дозволить), за яким сервер, а потiм вже по ip енiдеском, rdp чи чимось iще. I серверна вiсь не потрiбна, можна термiнальнi сервicи патчити задля одночасного доступу.
Який роутер... якщо ти думаєш що там стоїть роутер - помиляєшся. Тп-лінк 940 Ні, ті патчі до першої обнови - потім злітає. Я вже задовбався ці патчі накатувати ( там де це мені треба - 8ма вінда). Ні. Мабуть спробую заморочитись, хоча зовсім не хочу це робити.
...
Згоден, яле не для всього він годиться, особливо коли юзер тупіший за мене І суть в тому щоб не давати ім з будь чого прямий доступ, бо я ловив вже на входах з лівих компів навіть. А проміжний сервер буде під постійним наглядом.
Так вище писали що краще vpn зробити, щоб пiдключатись до роутера(якщо дозволить), за яким сервер, а потiм вже по ip енiдеском, rdp чи чимось iще. I серверна вiсь не потрiбна, можна термiнальнi сервicи патчити задля одночасного доступу.
Який роутер... якщо ти думаєш що там стоїть роутер - помиляєшся. Тп-лінк 940 Ні, ті патчі до першої обнови - потім злітає. Я вже задовбався ці патчі накатувати ( там де це мені треба - 8ма вінда). Ні. Мабуть спробую заморочитись, хоча зовсім не хочу це робити.
я тебе еще на карантине советовал rdp defender https://www.google.com/search?q=rdp+defender Не умеют статику, сидят в блоке пока не появится время их оттуда извлечь и разбанить после 3 ошибок. При отсутствии желания у руководства денег на нормальное не будет, а потому... По красоте конечно это впн на железе или ссш туннель с ключевым доступом, fail2ban и другими пасочками но...
Який роутер... якщо ти думаєш що там стоїть роутер - помиляєшся. Тп-лінк 940 Ні, ті патчі до першої обнови - потім злітає.
А на роутері немає підтримки вбудованої openvpn бо деякі тплінк guide таке вміють. ну або купити на olx якийсь мікротік і на ньому підняти openvpn, або wireguard або ще щось.. зекономиш на електриці, тримати ЛИШЕ під vpnserver залізний сервер така собі ідея...
Не умеют статику, сидят в блоке пока не появится время их оттуда извлечь и разбанить после 3 ошибок. При отсутствии желания у руководства денег на нормальное не будет, а потому... По красоте конечно это впн на железе или ссш туннель с ключевым доступом, fail2ban и другими пасочками но...
Так с тех пор и стоит. Просто на уровне провайдера надежнее в два раза.
Який роутер... якщо ти думаєш що там стоїть роутер - помиляєшся. Тп-лінк 940 Ні, ті патчі до першої обнови - потім злітає.
А на роутері немає підтримки вбудованої openvpn бо деякі тплінк guide таке вміють. ну або купити на olx якийсь мікротік і на ньому підняти openvpn, або wireguard або ще щось.. зекономиш на електриці, тримати ЛИШЕ під vpnserver залізний сервер така собі ідея...
Условие задачи - без денег
[ 25 березня 2025 р. 18:09 ] ⁨ШЕФ⁩: Давай с философией заканчивай [ 25 березня 2025 р. 18:10 ] ⁨ШЕФ⁩: Бюджета нет на это
Тому шукаю як викрутитися. Комп полудохлик из остатков всякого есть. Джонни в курсе на каком хламе все сидит, он пару раз смотрел когда глюки конкретніе біли. Да и сейчас не лучше - бекапы не делаются, всс не дышит - на запуски адма тупо висит сутками и нет ощибок.
впн підіймай, все інше таке...
можно в виртуалке поднять микрот и на нем впн.
1. Як вже сказали OpenVPN - маст хев. Грошей не вимагає. Достатньо маленької віртуалки на FreeBSD з мінімумом ресурсів, наприклад для іншої задачі у мене стоїть в Azure на самій дешевій їх машині (1 ядро 512Мб) та обробляє сотні гігабайт трафіку в день.
2. Статичні адреси так, але це геморой для всіх. 3. В нашому випадку за вимогою власника бізнесу доступ тільки з конторських ноутів. Це дозволило максимально обмежити права користувачів, вони не мають прав адміна на них, більш того в якості explorer у них запускається RDP і вони більш нічого зробити не можуть. Щоправда остання партія Lenovo для цих потреб має суттєву ваду, комбінація кнопок на клавіатурі викликає браузер з HelpDesk Lenovo, звідки далі можна йти куди завгодно. Початковий варіант робили через Kiosk-mode (там окремий "плиточний" RDP-client) але 2020 чи 2021-му році Microsoft його зламав черговим Windows update, воно то є, але в Kiosk-mode не працює. Втім через це кіоск клієнт не працюють USB-токени, а ми зараз без КЕП ніяк. 4. Всі ноути знаходяться під централізованим керуванням (але будь-який Endpoint вимагає грошей). Використовуємо здебільшого для віддаленої заміни ключів OpenVPN.
P.S. Спостерігав нещодавно ноут держслужбовця з доступом в КСЗІ систему. Плакав. З того самого ноута, який призначений виключно для цієї системи, службовець може ходити куди завгодно, хоч на Порнохаб.
1. Як вже сказали OpenVPN - маст хев. Грошей не вимагає. Достатньо маленької віртуалки на FreeBSD з мінімумом ресурсів, наприклад для іншої задачі у мене стоїть в Azure на самій дешевій їх машині (1 ядро 512Мб) та обробляє сотні гігабайт трафіку в день.
2. Статичні адреси так, але це геморой для всіх. 3. В нашому випадку за вимогою власника бізнесу доступ тільки з конторських ноутів. Це дозволило максимально обмежити права користувачів, вони не мають прав адміна на них, більш того в якості explorer у них запускається RDP і вони більш нічого зробити не можуть. Щоправда остання партія Lenovo для цих потреб має суттєву ваду, комбінація кнопок на клавіатурі викликає браузер з HelpDesk Lenovo, звідки далі можна йти куди завгодно. Початковий варіант робили через Kiosk-mode (там окремий "плиточний" RDP-client) але 2020 чи 2021-му році Microsoft його зламав черговим Windows update, воно то є, але в Kiosk-mode не працює. Втім через це кіоск клієнт не працюють USB-токени, а ми зараз без КЕП ніяк. 4. Всі ноути знаходяться під централізованим керуванням (але будь-який Endpoint вимагає грошей). Використовуємо здебільшого для віддаленої заміни ключів OpenVPN.
P.S. Спостерігав нещодавно ноут держслужбовця з доступом в КСЗІ систему. Плакав. З того самого ноута, який призначений виключно для цієї системи, службовець може ходити куди завгодно, хоч на Порнохаб.
1. віртуалка = кошти. Якщо піду шляхом будівництва опенвпн - то це буде стрий комп в мене в кладовці. Проте я не бачу для себе особистого сенсу займатися цим заради періодичного доступу всього двох креведко. 2. тому мені це і подобається - затрат 0, адміністрування 0 3-4. ну я таке навіть пропонувати не буду, я новий тазік під сервак третій рік прошу.
да закрити нафіг віддалений доступ. Якісь креветки хочуть з дачі коннектитись. Тільки адміна напрягають. Нехай в офіс їздять.
зі У нас віддаленка організована через ВПН для доступу до внутрішньої мережи. Далі ремоутом до своїх персоналок.
Відповісти
Поперед.
Зміст
Наступ.
Гілками
