Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Tom K 04. 05. 2016, 15:49:26
-
Potřebovoval bych dát uživatelům možnost přístupu (RDP, SMB) na 1PC (dále PC-PRACE), připojené k internetu přes NAT bez možnosti promapování portů.
Jedno z řešení: Pomocný OpenVPN server někde v internetu, na PC-PRACE OpenVPN v módu klient, u uživatele taktéž OpenVPN v módu klient, na serveru povolit client-to-client connections.
Máte nějaký lepší tip? (PC-PRACE i uživatelé jsou stroje s Windows)
-
Nesel by ssh tunel, eventuelne pomoci reverse ssh? Jinak n2n, Hamachi.
-
pokud nad tim nechces moc dumat a jsou to Wokna s ne totalne tajnyma datama, tak TeamViewer....
-
jo, ten teamviewer umi i vpn, takze klient si bud vezme soubory pres teamviewer nebo se pripoji do vpn
-
Jo, a vecne to pada, a pro komercni ucely to zadarmo neni (a pada to i zaplaceny).
Mimochodem, prijde mi to jako nejaka cernota, protoze pokud by nekdo neco takovyho chtel provozovat ofiko, tak rozhodne nema problem s verejnou IP/portfowardem. A pak nezbyva nez poprat prijemne hledani noveho zamestnani se znaznamem "vyhozen pro hrube poruseni pracovni kazne".
-
@j: Hele, znas ty moderni IT pohadky? Zacina to obvykle: "Za devatero firewally, za devatero NATy....".
-
Ne, to OpenVPN mi přijde jako dobrý nápad.
j: bohužel i firmy jsou občas připojeny přes strašné pseudoISP, třeba proto, že je to autoservis v HorníDolní, kde mají jeden počítač, místního wifináře z garáže a OuTů s nejbližším DSLAMem 3 kilometry.
Nesel by ssh tunel, eventuelne pomoci reverse ssh?
Spíš ne, protože to ti na tom počítači, ze kterého se chceš připojovat, otevře ty porty na localhost:139 a localhost:445, jenže pokud už tam Samba běží, tak s tím nic nenaděláš.
A jestli jsi myslel že bys tyhle porty vystrčil na serveru s veřejnou IP do netu, tak bych se chtěl otázat na tvé duševní zdraví, vystrkovat windowsí Sambu do netu.
-
A co IPv6 tunel třeba přes HE na obou strojích? Skrz šestkovou síť se pak uvidí napřímo. A pak už s VPN nebude problém. Je to sice rovnák na ohybák...
-
A co IPv6 tunel třeba přes HE na obou strojích? Skrz šestkovou síť se pak uvidí napřímo. A pak už s VPN nebude problém. Je to sice rovnák na ohybák...
Na to potrebujes verenou IPv4.
@j: Hele, znas ty moderni IT pohadky? Zacina to obvykle: "Za devatero firewally, za devatero NATy....".
Ale jo, znam, jen bych se takovy zhuverilost neodvazoval nazvat pripojenim k internetu, natoz je realizovat (ani duchodci co ho zajima precteni mainpage seznamu). O jakymkoli firemnim vyuziti vubec nemluve.
-
Nesel by ssh tunel, eventuelne pomoci reverse ssh?
Spíš ne, protože to ti na tom počítači, ze kterého se chceš připojovat, otevře ty porty na localhost:139 a localhost:445, jenže pokud už tam Samba běží, tak s tím nic nenaděláš.
A jestli jsi myslel že bys tyhle porty vystrčil na serveru s veřejnou IP do netu, tak bych se chtěl otázat na tvé duševní zdraví, vystrkovat windowsí Sambu do netu.
Aha. Tak tohle jsem vubec nepochopil. Zejmena tu druhou cast, ktera je opravdu krypticka. Prosim o objasneni pomoci barevnych obrazku a nejakych jednoduchych didaktickych pomucek. Snad pak, navzdory memu dusevnimu zdravi, konecne pochopim, jakym zpusobem ssh tunel vystrkuje porty sdileni Widli na verejnou adresu do Internetu.
BTW, i kdyby se ti podarilo vystrcit sambu na verejnou adresu, nejblizsi ISP na ceste ti provoz na jeji porty nejspis zablokuje, takze i kdybys byl tak blby, ze ti nevadi bezpecnostni implikace, stejne si nepomuzes. Tohle se dela uz od sereho davnoveku Internetu. A pak jeste bys mel jisty problem s tim, jak donutit Widle/Sambu, aby do browseru site zahrnuly stroj nekde v Hornich Praskolesich, za devaterymi Internety a devaterymi backbony.
-
Aha. Tak tohle jsem vubec nepochopil. Zejmena tu druhou cast, ktera je opravdu krypticka. Prosim o objasneni pomoci barevnych obrazku a nejakych jednoduchych didaktickych pomucek. Snad pak, navzdory memu dusevnimu zdravi, konecne pochopim, jakym zpusobem ssh tunel vystrkuje porty sdileni Widli na verejnou adresu do Internetu.
Tak popiš, jak by sis ten SSH tunel představoval. Pokud něco jako že klient udělá
ssh -L 139:localhost:139 -L 445:localhost:445 user@remote
tak to nebude fungovat, protože na Windows už na localhost:139 a 445 něco poslouchá. A používat Sambu na nestandardních portech podle mě Windows neumí.
BTW, i kdyby se ti podarilo vystrcit sambu na verejnou adresu, nejblizsi ISP na ceste ti provoz na jeji porty nejspis zablokuje, takze i kdybys byl tak blby, ze ti nevadi bezpecnostni implikace, stejne si nepomuzes. Tohle se dela uz od sereho davnoveku Internetu.
Právě že ne, například z UPC do Eurosignalu (přes cz-prg01a-ra4-vla2156.net.upc.cz, nix.2connect.cz, v21-j1r.sit.prg.uvt.cz, v4008-eurosignal.2connect.cz) to prochází.
A pak jeste bys mel jisty problem s tim, jak donutit Widle/Sambu, aby do browseru site zahrnuly stroj nekde v Hornich Praskolesich, za devaterymi Internety a devaterymi backbony.
Mluvil jsem o SSH tunelu, který vystrčí ty porty na serveru s veřejnou IP. A pak stačí do Windows zadat \\server\share.
-
Tak popiš, jak by sis ten SSH tunel představoval. Pokud něco jako že klient udělá
ssh -L 139:localhost:139 -L 445:localhost:445 user@remote
tak to nebude fungovat, protože na Windows už na localhost:139 a 445 něco poslouchá. A používat Sambu na nestandardních portech podle mě Windows neumí.
Tak on by ten sshd nemusel bezet na Widlich, ze, ale treba na RPi nebo necem linuxovem, co uz tam treba maji. Mozna ale, ze to jde rozjet i tak, ze sshd bezi v cygwinu primo na Widlich. Ale protoze to sam nepotrebuju, tak to nehodlam prilis googlovat a testovat. Nicmene strucne hrabnuti do Googlu napovida, ze resenim by patrne byl MS Loopback Adapter: http://www.nusphere.com/products/remote_file_ssh.htm . Nic by tedy nemelo branit vytvoreni ssh tunelu do cygwinu na stroji, jehoz data chci sdilet. A vzhledem k tomu, ze ten stroj je zaNATovany, bude nutne si vypomoci pomoci reverse ssh. Tedy za predpokladu, ze aspon druha strana ma verejnou ip a tam budou muset mit stroj, ze ktereho se iniciuje ten tunel a odkud se pak bude poskytovat pristup ke vzdalenym sdilenim ostatnim strojum. To by asi mohl zase byt cygwin.
BTW, i kdyby se ti podarilo vystrcit sambu na verejnou adresu, nejblizsi ISP na ceste ti provoz na jeji porty nejspis zablokuje, takze i kdybys byl tak blby, ze ti nevadi bezpecnostni implikace, stejne si nepomuzes. Tohle se dela uz od sereho davnoveku Internetu.
Právě že ne, například z UPC do Eurosignalu (přes cz-prg01a-ra4-vla2156.net.upc.cz, nix.2connect.cz, v21-j1r.sit.prg.uvt.cz, v4008-eurosignal.2connect.cz) to prochází.
Na coz se nemuzes spolehnout, protoze jinde to zase neprochazi. Porty Widlich sdileni jsou casto blokovany a s ohledem na patologickou deravost Widli nebudou samy. A to jiz od doby prvnich "Internetovych" pripojek, kde clovek v Network Neighbourhood videl stovky pocitacu a s klidem mohl lezt na cizi data nebo tisknout na cizi tiskarne na druhe strane mesta.
Mluvil jsem o SSH tunelu, který vystrčí ty porty na serveru s veřejnou IP. A pak stačí do Windows zadat \\server\share.
Ano, to je jiste dobry napad. To by mne ani ve snu nenapadlo a ze se mi obcas zdaji pekne kraviny.
-
Mimochodem, prijde mi to jako nejaka cernota, protoze pokud by nekdo neco takovyho chtel provozovat ofiko, tak rozhodne nema problem s verejnou IP/portfowardem. A pak nezbyva nez poprat prijemne hledani noveho zamestnani se znaznamem "vyhozen pro hrube poruseni pracovni kazne".
Musim Vas uklidnit - zadna cernota, jen RDP pristup na PC pripojene k internetu pres pronajimatele prostor, dva NATy bez moznosti promapovani.
-
Tak vzhledem k tomu, že jsem toto docela aktivně řešil tu můžu prakticky popsat různá řešení a úskalí.
OpenVPN - client-to-client
Poměrně zajímavé řešení, sám ho mám naimplementované. Nevím co bylo myšleno stylem "povolím komunikaci mezi klienty", ale prakticky OpenVPN nabízí "subnet topologii", která to defaultně povolené má. Klíčové je správně nakonfigurovat ccd, aby to klientům vždy přidělilo stejnou IP adresu v závislosti na jménu certifikátu.
Pro komunikaci je obecně doporučeno UDP spojení, ale je možné použít i TCP a dokonce je možné i tunelovat přes proxy server.
Konfigurace vypadá nějak takto:
server 192.168.1.0 255.255.255.0
topology subnet
client-config-dir ccd
A pak ccd soubory podle jména, třeba ccd/client1
ifconfig-push 192.168.1.2 255.255.255.0
OpenVPN - server a iptables
Další možností - ale spíše jen přes RDP, je připojit Windows server jako VPN klient a na serveru pomocí iptables a DNAT přesměrovat příchozí port 3389 co jde na server někde v Amazonu přímo do VPN. U RDP klientů pak není vůbec třeba vpn, výsledná konfigurace vypadá takto:
RDP klient --> AWS server:3389 --> IPTables DNAT --> VPN Server:3389 --> NAT --> VPN Klient (RDP Server)
Cena
U AWS je výhodné, že se platí jenom za skutečně využitý čas. Je tak možné třeba naskriptovat zapnutí mašiny jenom v čase, kdy je VPN potřeba. To lze udělat například přes Lambda funkce, nebo aws-cli...
Úroveň komentujících
Trošku mě to sere, ale dovolím si rýpnout. Většina lidí to tu komentuje, ale nevidím tu nikoho, kdo by s tímhle měl praktickou zkušenost s realizací, což je trošku smutné.
-
Úroveň komentujících
Trošku mě to sere, ale dovolím si rýpnout. Většina lidí to tu komentuje, ale nevidím tu nikoho, kdo by s tímhle měl praktickou zkušenost s realizací, což je trošku smutné.
Já jsem to realizoval.
-
Úroveň komentujících
Trošku mě to sere, ale dovolím si rýpnout. Většina lidí to tu komentuje, ale nevidím tu nikoho, kdo by s tímhle měl praktickou zkušenost s realizací, což je trošku smutné.
Popravde většina tech, kteří resi nastaveni VPN do firmy, ma i pristup k routeru ven (nebo aspoň moznost ovlivnit nastaveni) a veřejnou IP adresu, takze vůbec netusim proc se divis. Co jsem potkal podobne pripady s pristupem na RDP dovnitr, tak se resily bud standardni VPNkou do firmy, ukončenou na routeru, nebo RDP Gatewayi na Windowsim serveru, resit jak se procpat skrz 2 NATy, které nemuzes ovlivnit, je opravdu hodne minoritni firemni reseni.
-
Ja bych zkusil tinc. Na windows ho sice nepouzivam, ale funguje udajne stejne dobre. Na Linuxech je to lehce konfigurovatelna parada. Duvodem meho doporuceni je, ze pokud je to aspon trochu mozne, umi tinc probit v NATech UDP diry na primou komunikaci, takze pocitac s verejnou IP je treba jen pro pocatecni napojeni.
-
Ak som to spravne pochopil chces sa dostat cez RDP na nejaky pocitac a nechces pouzit teamviewer. Tak ja tom mam okrem inych moznosti odskusane takto : kedze nemas problem si vytvorit nejaky virtual server s verejnou ip ako si pisal vyssie tak nan by som nainstaloval vpn server aplikaciu softether. nakonfiguroval by som ho a nastavil ze urcita mac bude mat pevnu ip z daneho rozsahu napr 192.168.30.20 . Po vsetkom nastaveni si vygenerujes konfiguracny subor ktory si uz len natiahnes do klienta na kompe v tej dielni. Tam sa uspesne pripojis na vpn server a na hociakom tvojom zariadeni hocikde na svete pokial sa pripojis na ten tvoj server tak budes mat ip z rozsahu aku ma pc-dielna okrem tej 20ciny samozrejme. No a rdp si potom pripojis na ip adresu 192.168.30.20 . Takto mi to pracuje aj s ip kamerami aj s hocicim inym len na tom musi vediet bezat openvpn klient (android,ios,linux) pripadne router pracujuci s openvpn. Hadam som ti dal nejaky napad.
-
Ja bych zkusil tinc. Na windows ho sice nepouzivam, ale funguje udajne stejne dobre. Na Linuxech je to lehce konfigurovatelna parada. Duvodem meho doporuceni je, ze pokud je to aspon trochu mozne, umi tinc probit v NATech UDP diry na primou komunikaci, takze pocitac s verejnou IP je treba jen pro pocatecni napojeni.
A nebo co zkusit tohle??
http://www.freelan.org/
https://en.wikipedia.org/wiki/FreeLAN
-
Hm, a jak moc velký problém je prostě požadovat slevu na nájmu? Pokud je ve smlouvě připojení k internetu a žádný tam není, tak by to přece dal i právník začátečník, když mu dodáte definici, co je internet a popíšete rozdíly... ;)
Pak by ty NATy nebyly až tak moc neprůstřelný, kopanec do peněženky pronajímatele obvykle dost bolí.
-
Nicmene strucne hrabnuti do Googlu napovida, ze resenim by patrne byl MS Loopback Adapter: http://www.nusphere.com/products/remote_file_ssh.htm .
MS Loopback jsem kdysi take zkousel. Je s tim moc klikani pri nastaveni.
Nevite nekdo, jesti se to da cele nastavit skriptem?
-
A co IPv6 tunel třeba přes HE na obou strojích? Skrz šestkovou síť se pak uvidí napřímo. A pak už s VPN nebude problém. Je to sice rovnák na ohybák...
Na to potrebujes verenou IPv4.
@j: Hele, znas ty moderni IT pohadky? Zacina to obvykle: "Za devatero firewally, za devatero NATy....".
Ale jo, znam, jen bych se takovy zhuverilost neodvazoval nazvat pripojenim k internetu, natoz je realizovat (ani duchodci co ho zajima precteni mainpage seznamu). O jakymkoli firemnim vyuziti vubec nemluve.
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou za NATem.
-
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou za NATem.
Tak me ten NAT az tak moc nevadi. Ovsem musi to byt muj NAT s verejnou adresou z druhe strany. Ne nejaky muj NAT bez verejne adresy a za tolika dalsimi NATy, nad kterymi nemam kontrolu, ze traceroute trva pul hodiny. Jestli tobe staci pripojeni do neciho LANu, tak to je tvuj problem.
-
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou za NATem.
Tak me ten NAT az tak moc nevadi. Ovsem musi to byt muj NAT s verejnou adresou z druhe strany. Ne nejaky muj NAT bez verejne adresy a za tolika dalsimi NATy, nad kterymi nemam kontrolu, ze traceroute trva pul hodiny. Jestli tobe staci pripojeni do neciho LANu, tak to je tvuj problem.
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou i za cizim NATem.
-
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou i za cizim NATem.
Naopak, nikoho nezajimaji tvoje blaboly, internet odjakziva byl je a bude verejna sit s p2p konektivitou. Cokoli jinyho internet neni. A vadi to naprosto vsem, jen si vetsina neuvedomuje, proc jim ty veci nefungujou.
-
Nech ho, pro nej je zjevne nesvepravna linka mnohem lepsi.
-
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou i za cizim NATem.
Naopak, nikoho nezajimaji tvoje blaboly, internet odjakziva byl je a bude verejna sit s p2p konektivitou. Cokoli jinyho internet neni. A vadi to naprosto vsem, jen si vetsina neuvedomuje, proc jim ty veci nefungujou.
Muzete si ty prvni dve vety opakovat donekonecna, muzete si s nima doma vytapetovat zachod a presto to nic nezmeni na faktu ze vetsina povazuje za "internet" to co jim provider odNAToval a poslal do bytu, ani na faktu ze jim vsechno co znaji a potrebujou funguje ;-)
-
Tady jsi na Rootu a sem ta vetsina nechodi. Tak si jdi povidat nekam jinam, kde tu vetsinu najdes. Muzete se tam bit v prsa, jak je "Internet" za patnacti NATy a bez verejne adresy ten uplne nejlepsi "Internet" ze vsech.
-
Muzete si ty prvni dve vety opakovat donekonecna, muzete si s nima doma vytapetovat zachod a presto to nic nezmeni na faktu ze vetsina povazuje za "internet" to co jim provider odNAToval a poslal do bytu, ani na faktu ze jim vsechno co znaji a potrebujou funguje ;-)
A koho to zajímá?
-
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou i za cizim NATem.
Naopak, nikoho nezajimaji tvoje blaboly, internet odjakziva byl je a bude verejna sit s p2p konektivitou. Cokoli jinyho internet neni. A vadi to naprosto vsem, jen si vetsina neuvedomuje, proc jim ty veci nefungujou.
Muzete si ty prvni dve vety opakovat donekonecna, muzete si s nima doma vytapetovat zachod a presto to nic nezmeni na faktu ze vetsina povazuje za "internet" to co jim provider odNAToval a poslal do bytu, ani na faktu ze jim vsechno co znaji a potrebujou funguje ;-)
A ty ses kdo? ze tady vystupujes za "vetsinu" ??? A kdo to vlastne je ta "tvoje" vetsina??
Stejny joudove ktery maj stejne nulovej rozhled jako ty??
Mozna by neskodilo doplnit si vzdelani - napr. tady ti clovek kterymu se prezdiva "otec internetu" = Vint Cerf = tvurce TCP/IP rekne jak to tenkrat s tim internetem vlastne mysleli
https://www.youtube.com/watch?v=WkAwZmCm2Fs
Zejmena bys mel nastavit usi kdyz rika "chteli jsme aby vsechny compjutry mohly komunikovat s ostatnima krizem krazem a SDILET SVY ZDROJE.
Pokud TY bys chtel sdilet zdroje (informaci) a byl's za tim tvym slavnym NATem (anebo vice NATy coz dneska uz neni vzacnost protoze ISP misto aby sli kupredu tak jdou presne opacnym smerem) tak by me zajimalo jak bys to udelal...??
Mimochodem kdyz se ptali Vint Cerfa co by tehdy udelal jinak kdyby vedel to co vi dneska tak odpovedel: udelal bych uz tehdy mnohem vetsi rozsah adres (cili ekvivalent dnesni IPv6=tedy aby kazdej na kazdyho v netu videl a moh' se s nim spojit naprimo bez kokotin typu NAT, CGN apod) a taky bych defaultne veskery trafik sifroval. To bych udelal jinak.
Tak a ted si to 1000x vytiskni a vytapetuj si s tim zachod.
-
Muzete si ty prvni dve vety opakovat donekonecna, muzete si s nima doma vytapetovat zachod a presto to nic nezmeni na faktu ze vetsina povazuje za "internet" to co jim provider odNAToval a poslal do bytu, ani na faktu ze jim vsechno co znaji a potrebujou funguje ;-)
A koho to zajímá?
Treba Vas, kdyz mate potrebu na to zareagovat...
-
Nastesti to co Vy nazyvate ci nenazyvate pripojenim k internetu nikoho nezajima a vetsina je zcela spokojena s linkou i za cizim NATem.
Naopak, nikoho nezajimaji tvoje blaboly, internet odjakziva byl je a bude verejna sit s p2p konektivitou. Cokoli jinyho internet neni. A vadi to naprosto vsem, jen si vetsina neuvedomuje, proc jim ty veci nefungujou.
Muzete si ty prvni dve vety opakovat donekonecna, muzete si s nima doma vytapetovat zachod a presto to nic nezmeni na faktu ze vetsina povazuje za "internet" to co jim provider odNAToval a poslal do bytu, ani na faktu ze jim vsechno co znaji a potrebujou funguje ;-)
A ty ses kdo? ze tady vystupujes za "vetsinu" ??? A kdo to vlastne je ta "tvoje" vetsina??
Stejny joudove ktery maj stejne nulovej rozhled jako ty??
Mozna by neskodilo doplnit si vzdelani - napr. tady ti clovek kterymu se prezdiva "otec internetu" = Vint Cerf = tvurce TCP/IP rekne jak to tenkrat s tim internetem vlastne mysleli
https://www.youtube.com/watch?v=WkAwZmCm2Fs
Zejmena bys mel nastavit usi kdyz rika "chteli jsme aby vsechny compjutry mohly komunikovat s ostatnima krizem krazem a SDILET SVY ZDROJE.
Pokud TY bys chtel sdilet zdroje (informaci) a byl's za tim tvym slavnym NATem (anebo vice NATy coz dneska uz neni vzacnost protoze ISP misto aby sli kupredu tak jdou presne opacnym smerem) tak by me zajimalo jak bys to udelal...??
Mimochodem kdyz se ptali Vint Cerfa co by tehdy udelal jinak kdyby vedel to co vi dneska tak odpovedel: udelal bych uz tehdy mnohem vetsi rozsah adres (cili ekvivalent dnesni IPv6=tedy aby kazdej na kazdyho v netu videl a moh' se s nim spojit naprimo bez kokotin typu NAT, CGN apod) a taky bych defaultne veskery trafik sifroval. To bych udelal jinak.
Tak a ted si to 1000x vytiskni a vytapetuj si s tim zachod.
Buh internetu zas do RFC 1120 napsal: "Be liberal in what you accept, and conservative in what you send" tak se trosku dovzdelejte a hlavne se toho ve svych prispevcich drzte ;-)
-
Tady jsi na Rootu a sem ta vetsina nechodi. Tak si jdi povidat nekam jinam, kde tu vetsinu najdes.
Kdyz ja ten fakt pred ctenari roota proste uz nedokazu dyl utajovat :-/
-
Jo, a vecne to pada, a pro komercni ucely to zadarmo neni (a pada to i zaplaceny).
Mimochodem, prijde mi to jako nejaka cernota, protoze pokud by nekdo neco takovyho chtel provozovat ofiko, tak rozhodne nema problem s verejnou IP/portfowardem. A pak nezbyva nez poprat prijemne hledani noveho zamestnani se znaznamem "vyhozen pro hrube poruseni pracovni kazne".
1. Vyhozeni pro hrube poruseni pracovni kazne bych radsi nezkousel. Pokud zamestnanec nechlastal nebo nepredaval tajne info ven tak to muze byt celkem problem s dokazovanim. V cesku dost problem, v nemecku temer nemozne. Pokud chces vyhodit naky plebs, tak i tam musis pocitat ze se ozvou. Je to pali vic nez pocitacoveho expert ktery praci vzdy najde
2. I pokud dostane tak nikoho dneska pri nedostatku co na trhu je moc nezajima. Papiry po mne uz 4 roky cesky zamestnavatel nechtel. Mam pocit jako by ty problemy zehlili "kreativni evidenci" a nejakym vsimnym.
3. Pokud mam zamestnani v zahranici nikoho to nezajima. A to i v EU.
-
najkvalitnejsia vzdialena plocha je medzi 2 Linuxami (bezproblemove pozeranie videa), ale vzdialena plocha pod Win 10 uz je takmer rovnako dobra. Pouziva sa cez win program mstsc.exe al. RemoteNG portable. Celodenna praca v kancelarii, kde prepoji zamestnanec gigabitovym kablom cez gigabitovy switch 2 PC, je takmer bez obmadzeni, pricom firemny PC sa pripoji na firemnu WiFi. Samozrejme traba v programoch nastavit pripojenie 10mbit a viac a zaptnut pod tym styly. Za touto sluzbou vyrazne zaostavaju programi Teamviewer, VNC, alebo vzdialene plochy cez webovy prehliadac, lebo zatazuju velmi CPU a sietovu konektivitu, obraz znich je nekvalitny, zrnity al. rozmazany al. seka video. Preto su vhodne na kratkodobe pripojenie -oprava PC na dialku, ked uzivatel vidi, co ITckar opravuje.
Ked ma pocitac vo firme verejnu IPcku, tak PC/laptop alebo tablet z domu sa nan dokaze bezproblemovo pripojit (mozno po nastaveni port forwardingu na routri). Avsak verejna IP nie je zadarmo a nie kazdy poskytovatel internetu ju ponuka. Navyse pripojenie priamo na IP adresu z daleka cez RDP nie je take bezpecne ako pripojenie cez VPN klienta na VPN server a az potom v LAN cez RDP. Spojenie VPN klient-server je dobre sifrovane aj vdaka certifikatom, v RDP v mstsc sa certifikaty nastavovat nedaju, dokonca ani 'read only' pristup sa neda nastavit.
Spojenie sa da vyriesit bezplatne aj bez verejnej IPv4 adresy a to tak, ze pripojime oba PC firemny aj domaci cez VPN na rovnaky server. Vela firiem siahne po platenej sluzbe VPN servera (firemny PC al. poskytovatela VPN), napriklad Cisco, ktora funguje bez vypadkov na rozdiel od Citrixu.
Webstranka www.vpngate.net ponuka bezplany program Softether zo zabudovanym zoznamom bezplanych vpnserverov, na ktore sa da pripojit. Zial tieto serveri nepodporuju 'Full MESH Topology' a teda pocitace sa navzajom nemozu spojit ani keby sa pripojili na rovnaky server, windows vzdialena plocha (RDP) nebude fungovat.
Riesenie ponuka webstranka cloud.openvpn.net, kde poskytnu bezplatne vpn serveri (bezplatne pre 2 PC, dalsie PC za 18eur rocne), cez ktore sa vdaka bezplatnemu programu openVPN connect mozeme pripojit a pojde nam windows vzdialena plocha. Pri pripajani treba do kolonky 'hostname/IP' zadat IPv6 adresu firemneho PC na ktory sa pripajame. Win 10 ponuka vzdialenu plochu az v 4K rozliseni, pritom firemny PC moze byt smejd. Dnes som to odskusal, funguje to bez problemov v 4K rozliseni.
-
... zrovna tady běží vedle vlákno o levných VPSkách. Já sice provozuju OpenVPN "centrálu" na veřejné adrese na vlastním hardwaru, ale za ty prachy mě skoro svrběj prsty, zkusit to cvičně ve VPSce. Jenom mi vrtá hlavou, kolik TB měsíčně sežere RDP od pár uživatelů... jestli ty jednotky TB nejsou málo. Jo a client-to-client IMO snad ani není potřeba, pokud je centrální VPN "router" ochoten routovat traffic zpátky do téhož rozhraní, ze kterého přišel. Nebo se dají nastartovat dvě instance OpenVPN démona (na různých TCP portech), na jedné může viset RDP server, nad druhé RDP klienti...
-
Okrem pripojenia na bezplatne serveri vpngate.net ponuka Softether (www.softether.org) este moznost pripojit aj na Microsoft Azure server. Netreba ziadna registracia u azure, len v Softether server programe sa zaskrtne tato moznost. Pre firmy je to bezpecnejsie pouzit Microsoft server ako nejake akademicke z vpngate alebo cloud.openvpn serveri alebo Cisco. Skusal som z dvoch roznych internetovych pripojeni s lokalnimi IPckami sa z klientskeho PC pripojit na server PC a islo to bez problemov. Zial windows remote desktop RDP mi nijako neslo, hoci na stranke www.vpnazure.net/en pisu, ze to ma ist. Niekto mi na fore odpisal, ze jemu to ide. Vyskusajte, mozno treba nieco inak nastavit.