caxapa.ru :: А ssh, что, "не лишний сторонний софт" ? Putty пока штатно в винды не входит. Вот клиент pptp входит, другое дело, что сам протокол с фаерволами не очень дружит. И пробросить можно отнюдь не порт, а целый сетевой интерфейс и ip-адрес (с openvpn).

fk0, легенда (15.09.2019 17:17, просмотров: 105) ответил Гудвин на OpenVPN у клиента устанавливать не хочу - лишний сторонний софт. Рассчитываю пробросить один порт через SSH. Пробросить SSH туннель в винде с ключами доступа быстро и без лишних телодвижений можно с помощью Putty. Утилиткой plink.exe. Ибо

А ssh, что, "не лишний сторонний софт" ? Putty пока штатно в винды не входит. Вот клиент pptp входит, другое дело, что сам протокол с фаерволами не очень дружит. И пробросить можно отнюдь не порт, а целый сетевой интерфейс и ip-адрес (с openvpn). Речь не про фильтрацию по IP-адреса, а про то, что внутри VPN адрес конкретного клиента -- фиксированный и, следовательно, он не может раскопировать 10 раз свой комплект конфигурации и подключиться тоже 10 раз с разных компов. Только один раз. Это защищает от копирование клиентов, если у тебя лицензия за рабочее место, условно говоря. С ssh будет как-то неудобно решать вопрос соответствия ключа удалённой стороны (если у ней IP-адрес или доменное имя не фиксированное). Речь не про аутентификацию, а про генерацию сессионнного ключа, когда он говорит "я такого хоста не знаю, проверяй подпись ручками). В openvpn с ключами более однозначно. Может как-то в ssh это решается, не вникал никогда. Менять готовый ssh-клиент, чтоб он читал что-то с usb -- это полная шиза, бред и паранойя. Причём бесполезные. Можно в батнике считать и в командную строку подсунуть. То что ты там "скрыл" в procmon всё равно видно. Про самодельный USB ключ -- чистое вредительство. Хакерам он ничем не помешает, а нормальные пользователи будут только мучаться. За такие решения нужно по рукам топором ебашить, чтоб больше такого говна в продакшн не выходило (сраный hasp у всех в памяти ещё). Раздай логины-пароли (приватные ключи раздавать к тому же нельзя, их клиенты сами генерить должны, а если не могут и ты им их передаёшь -- то пароль ничем не хуже), разреши только один коннект на юзера (чтоб не копировали) и дай всё в открытом виде. Так хоть в случае чего пользователи могут у себя поправить в случае проблем (поставить на более новую винду, на линукс, обновить openvpn клиент и т.п.) Смысла в специальных ключах, уебищных программах под виндовс работающих только в твоей версии и т.п. решениях -- НЕТ ВООБЩЕ. Повторюсь, так делают только законченные гандоны, чтоб усложнить жизнь. Реально оно ни от чего ни защищает, зато вызывает бесконечные проблемы у пользователей. Нужна защита от копирования приложения -- вынеси код (основную логику работы) на сервер вообще. Или в усб-донгл -- вот здесь он имеет смысл. Что-то "шифровать" в донгле нет смысла.

[ZX]

Ответить

- Возможно ты и прав в чем-то. Тоже еще разок обдумал и решил, что plink лучше не трогать -пущай жЫвёт как есть. Но не во всем ;) Мои юзвери никуя сами никаких OpenVPN-ов не установят/не поправят, а заиппут именно меня (20-летний опыт, однако...). Гудвин(441 знак., 15.09.2019 22:16)
  - И да, самое главное - самолепный USB ключик изначально задумывался для создания некоей цифровой подписи для допуска "на том конце" для моии железок. Это потом уже начали проигрываться варианты "роутер с ключиком" -> "без роутера с ключиком". Без Гудвин(17 знак., 15.09.2019 22:48)
  - Лет десять назад отправял клиенту настройки соединения в виде текстового файла с каким-то правильным расширением. Двойной щелчек мыши и соединение установлено. Скрипач(18 знак., 15.09.2019 22:46)

Средства и методы разработки