tunneling cez prostrednika

[miamia]

Dobry den, prosim Vas,

uvazoval som nad vpn a ssh (nevyhody v mojom priklade uvadzam niezsie)

Potrebujem urobit takyto scenar: cez internet komunikuju 2 pocitace. Na PC1 je aplikacia (len pre tuto jedinu aplikaciu potrebujem zabezpecit komunikaciu sifrovanu), do ktorej zadam IP adresu pocitaca2, nadviazu spojenie a komunikuju.

No potrebujem zabezpecit toto spojenie nasledovne:
PC1 s PC2 by malo komunikovat cez dalsi pc PCXX (sprostredkovatel). Teda PC1 sa musi spojit sifrovane s PCXX a PCXX bude posuvat komunikaciu dalej na PC2. Ma to ten hacik, ze v softe na PC1 sa musi zadat ipcka PC2, nasledne by PC1 mal nadviazat zabezpecene spojenie s PCXX (tento ma vzdy pevnu ipcku) a PCXX by mal posunut komunikaciu (kludne uz nezabezpecenu) k PC2. Cesta spat by mala ist z PC2 na PCXX (nezabezpecene) a PCXX posunie opat zabezpecene komunikaciu do PC1. For je, ze ako PC2 moze vystupovat niekolko pocitacov s roznymi ipckami, preto potrebujem vzdy v PC1 pouzit konkretnu ip adresu, aby PCXX vedel, kam ma smerovat komunikaciu.

Rozmyslal som nad takymito rieseniami:
VPN - neda sa ale obmedzit na jedinu aplikaciu (teda nejde len konkretna aplikacia cez VPN a ostatne bez vpn)
SSH - obmedzenie na konkretny port. Nasmerujem teda tunel z PC1 na PCXX ale ako poviem PCXX, ze ma smerovat komunikaciu dalej na urcitu ip stroja PC2?

[matopd]

Mozno som blbec, ale asi pri tretom riadku uz neviem o com pises.

Co tak sa pripojit na ten pc pomocou RDP??? Nebolo by to jednoduhsie a bezpecnejsie???

M

[miamia]

zial to rdp z hladiska bezpecnosti a roznym obmedzeniam nie je dost dobre mozne. a dakujem za tvoju odpoved

[matopd]

RDP a bezpecnost, a RDP a obmedzenia??? Ake?

[miamia]

RDP a bezpecnost, a RDP a obmedzenia??? Ake?

myslis tym rdp = remote desktop protokol?

[matopd]

ano

[miamia]

cez remote desktop to nemoze ist. pointa je, aby len komunikaciu jednej aplikacie smerovalo popisanou cestou. neda sa vzdialene pripajat k ani jednemu stroju v tej ceste.

[faugusztin]

Nechapem preco to chces riesit takto komplikovane. Preco to potrebujes mat obmedzene na jednu aplikaciu ? Cez VPN ti ide komunikacia iba v pripade ze smerujes pakety do danej siete (co by typicky malo znamenat iba momenty, ked pracujes s niecim v tej sieti, napr. Firefox na pretaktovanie.sk by ti tam liezt nemal).

[matopd]

A to akoze cez RDP nedokazem omedzit spustanie programov a ciest? No neviem, mne take nieco chodi...

M

[miamia]

to faugusztin: hm, ak by som bol schopny nejako jednoducho prinutit, aby len urcita aplikacia vyuzivala VPN a vsetky ostatne nie, tak by to bolo fajn (ale neviem to urobit - lebo na PC1 zadavam do tej aplikacie IP adresu stroja PC2 a ona nie je priamo sieti pod PCXX a teda nepouzije sa VPN automaticky pre tuto aplikaciu samo). Figel je v tom, ze PC2 akceptuje iba pripojenia z PCXX a teda preto musim PCXX vyuzit ako sprostredkovatela.

to matopd: remote desktop nie je na ani jednej masine povoleny

[faugusztin]

Skusal si si nastavit routovanie ? Teda aby pre dany cielovy rozsah IP adries bolo pouzite dane (VPN) rozhranie ?

[miamia]

routovanie som neskusal, lebo to by uz bolo pre jednoduchych uzivatelov (PC1 a dalsie pocitace jemu podobne) znacne obtiazne, nastavit si routovanie - su to klasicki ludia, im by bolo najlepsie co najjednoduchsie riesenie typu "spustim, zadam IP a ide to" (maximalne by sa este mohli pripojit do VPNky, vsetko ostatne je uz nad ich moznosti ). Ide o to, aby boli uzivatelia zatazovani v co najmensom pocte krokov a teda vsetko ostatne by malo bezat na "pozadi" tak, aby nemuseli nic nastavovat.

Len to zhrniem: Potrebujem, aby user v PC1 zadal IP adresu pocitaca PC2 v jednom softe, ale vsetka komunikacia z tohto softu musi tiect cez moj server PCXX (lebo PC2 akceptuje prikazy zvonku len z ip adresy pocitaca PCXX)

PC1 (internet) --> PCXX (moj server) --> PC2 (internet)

[matopd]

Skusal si si nastavit routovanie ? Teda aby pre dany cielovy rozsah IP adries bolo pouzite dane (VPN) rozhranie ?

routovanie som neskusal, lebo to by uz bolo pre jednoduchych uzivatelov ...

Ale vsak to by bolo nastavene "navzdy"..., nie? A nikto by nic nemusel spustat, len vpn

[galen]

routovanie som neskusal, lebo to by uz bolo pre jednoduchych uzivatelov (PC1 a dalsie pocitace jemu podobne) znacne obtiazne, nastavit si routovanie - su to klasicki ludia, im by bolo najlepsie co najjednoduchsie riesenie typu "spustim, zadam IP a ide to" (maximalne by sa este mohli pripojit do VPNky, vsetko ostatne je uz nad ich moznosti ). Ide o to, aby boli uzivatelia zatazovani v co najmensom pocte krokov a teda vsetko ostatne by malo bezat na "pozadi" tak, aby nemuseli nic nastavovat.

Len to zhrniem: Potrebujem, aby user v PC1 zadal IP adresu pocitaca PC2 v jednom softe, ale vsetka komunikacia z tohto softu musi tiect cez moj server PCXX (lebo PC2 akceptuje prikazy zvonku len z ip adresy pocitaca PCXX)

PC1 (internet) --> PCXX (moj server) --> PC2 (internet)

skusim moju lama myslienku:

PC1, ktore sa bude pripajat na PCXX sa bude pripajat napriklad cez SSH, plus nastavi sa tunnel na port PCXX (pripojenie prostrednicvom putty, podporuje nastavenia pre sourcePort (portX) -> Destination IP:port1 (teoreticky cokolvek, odskusane mam iba na 127.0.0.1:port1 (resp. localhost:port1)))

na PCXX si nastavis port-forwarding, aby ked ktosi bude lozit na lokalny port PCXX:portX, aby sa to preforwardovalo na PC2:port2


Takze: zo sveta, sa uzivatel prihlasi cez putty (meno/heslo), ktore mu ktosi nastavi tak, aby fungoval tunnel na porty (par klikov, save settings, a potom uz hotovo)
na pocitaci sveta nastavis, aby ta pozadovana aplikacia lozila na localhost, konkretny port. hotovo

na PC XX nastavis portForwarding, plus ucty na pristup, aby ti tam nelozil kadekto-kadeco

a malo by to fungovat ... (alebo mohlo by to fungovat? ?? ???)

[miamia]

kokšo, Galen, to by fakt mohlo fungovať. diky za tvoj príspevok